推动网络安全和金融服务双向创新,工信部会同银保监会发文促进网络安全保险发展

合规科技吴立洋,孙诗卉 2022-11-09 11:40

与传统的财产险或人寿险不同,网络安全保险是高度复杂技术时代的产物。

三季报表现持续走低,网络安全企业如何走出“增收不增利”困局 首例支付网络安全赎金被控妨碍司法罪案宣判,前Uber高管面临八年牢狱之灾 《网络安全法》首次修订,拟引入最高营业额5%罚金与从业资格禁止处罚

南方财经全媒体记者 吴立洋 孙诗卉 北京,上海报道

近年来,随着数字资产在全球范围内愈加受到重视,勒索攻击、数据泄露等威胁逐渐蔓延到在线金融、医疗、教育等社会生活的方方面面,成为数字化进程中不得不加以重视的安全风险。

为应对新型网络安全威胁,各类网络安全防护技术与产品得到快速发展与普及。其中,作为安全风险转移的基础手段之一,网络安全保险开始被越来越多的企业所关注和采用,成为整体安全风险应对方案的重要环节。

但有别于车险、灾害保险等传统风险投保,由于网络攻击形式的多样性以及承保数字资产价值评估的复杂性,网络安全保险在实际推行过程中尚有诸多行业共识有待明确,对数字经济保障的覆盖度仍需进一步提升。

11月7日,工信部会同银保监会起草的《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称《意见》)公开发布并征求意见,旨在加快推动网络安全产业和金融服务融合发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展。

提升安全风险量化能力

在保险产品的设计中,对潜在风险的预测和评估能力是制定承保方案的关键所在。本次发布的《意见》提出,要“研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求”。

据受访业内人士介绍,所谓安全风险量化评估,实际上就是从风险管理角度对企业信息系统数字资产价值、安全防护能力、可能的损失等属性进行数据层面的量化分析,并将分析结果转化为服务于安全建设的决策信息。在保险领域,对安全风险的准确评估是区分险种,合理设置保费、保险责任的基础

源堡科技创始人、CEO韩冰告诉记者,此前由于缺乏对网络安全风险量化分析的标准和工具,保险业在提供网络安全保险时往往面临保费计算困难、成本效益分析不足等问题,缺乏对风险的精益化管理能力。

“以数据泄密责任险种为例,可触发数据泄露的网络安全事件可能有勒索、数据未加密等,从事件防护角度设计量化指标时,需要全方位的考量企业整体安全能力,过严会导致购置门槛高,过低会加大保险公司的风险。”绿盟科技高级安全咨询顾问欧阳周婷表示,统一量化评估标准的形成与推广,将显著提升保险服务商风险量化工作的精准性和客观性,赋能涵盖险种、保额、保费等要素的方案设计工作,降低沟通成本,快速匹配客户实际诉求提供承保方案。

值得注意的是,《意见》中还为风险量化评估的具体措施点明了方向,文件表示,要“围绕电信和互联网行业典型事件,以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析。支持网络安全企业、专业网络安全测评机构等研发网络安全风险量化评估技术,开发轻量化网络安全风险量化评估工具,鼓励保险公司、再保险公司建立网络安全风险理赔数据库,支撑网络安全风险精准定价。”

实际上,近年来相关领域的研发和市场实践已在紧密推进中。IDC数据显示,为了应对复杂度显著上升的网络犯罪形势,亚太地区对安全风险量化产品和服务的投资预计将以13.3%的五年复合年增长率增长,并将于2024年达到350亿美元。

欧阳周婷表示,在具体实践中,需要基于保险险种的定义和承保范围,识别并关联险种相关的安全事件及其触发条件,将其转化为客户的安全能力指标,结合应急响应数据等外部影响因素,搭建了用于在核保过程进行量化的风险模型,而这一过程的诸多环节都有赖于数据库、量化技术和评估工具的成熟运用。

丰富网络安全产品

在网络安全实践中,虽然不同类型的企业或多或少都面临着数据泄露、勒索攻击等问题的威胁,但由于生产方式、管理体系、产业链结构等实际情况的不同,其调查、防御、应对安全风险的成本转移需求亦各不相同,在针对不同企业提供承保方案时,保险公司还需提供更具行业指向性的保险服务。

《意见》指出,鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品,围绕电信和互联网行业典型事件,以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。

韩冰表示,由于数字化进程和信息化建设的实际情况不同,不同行业的信息资产类别和规模,网络和通信的架构,人员管理等方面存在很大差异,不同企业的外部风险暴露情况,攻击面和暴露面的严重情况,内部的安全合规管理状况、防御架构等亦各不相同,面向不同行业的网络安全保险在保险原理、实际风险形成和风险评估等方面亦需量体裁衣,因事制宜。

因此,网络安全保险产品需要从保险责任的触发原因、赔偿责任、除外责任等多个方面针对不同行业进行不同的调整,以便于符合不同行业的客户的差异化需求。”韩冰说。

此外,正对网络安全行业,《意见》还提出,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障;面向网络安全服务开发职业责任险等产品,降低专业技术人员在安全服务过程中因人为操作可能引发的安全风险。

欧阳周婷指出,安全服务依托于人员,网安企业或多或少都会经历过由于不当操作造成用户营业中断等问题的情况,且由于攻防不对等客观因素的存在,百分之百的安全是很难保证的。本次《意见》提出的两类险种,前者有助于增强安全企业的产品保障能力,降低安全产品短暂失效、专项攻击安全产品的影响,后者则能够降低安全服务人员的不稳定性,转嫁安全服务固有风险。

“《意见》注意到了网络安全保险的复杂性。” 西安交通大学法学院人工智能与信息安全法律研究中心助理教授王新雷表示,在业态不够健壮的初级阶段,需要从易到难、从确定性高的领域入手探索,在特定场景中健全网络安全保险的风险评估流程和法律文本,使之标准化规范化,以充分确定安全风险的边界。

加强保险业政策支持

随着勒索攻击等网络安全问题愈加严峻,各类安全防护产品亦迎来快速发展的市场机遇。

但值得注意的是,近年来网络安全保险的增长态势在众多安全产品中亦遥遥领先。据保险咨询公司Marsh发布的报告指出,受勒索软件攻击影响,2021年三季度美国网络安全保险平均价格同比增长96%;Research And Markets发布的《2022年全球网络安全保险市场报告》则显示,2021年网络安全保险市场规模为92.9亿美元,2022年约为119亿美元,预计到2027年将达到292亿美元,年复合年增长率19.47%。

究其原因,除了网络安全保险仍处于早期阶段外,作为风险转移的重要手段,保险业的价值除了发挥保险保障的基本属性,为被保险人提供财务补偿意外,在众多的领域也发挥着第三方风险管理主体的作用。对于兼具安全防护需求和合规管理需求的数字化企业,网络安全保险不失为一种一举多得的选择。

但另一方面,由于安全领域本身具有一定专业门槛,安全防护体系的搭建亦需要不同措施、产品加以配合,在安全实践中,相关保险产品的设计与推广,离不开保险企业与安全企业间的合作。

《意见》提出,要创新发展网络安全保险服务,鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。

同时,加强保险业政策对网络安全保险的支持,指导网络安全保险创新发展,引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策,鼓励提供保险减税、保险购买补贴等政策。

王新雷认为,与传统的财产险或人寿险不同,网络安全保险是高度复杂技术时代的产物,探索网络安全服务+保险的模式,有助于将保险公司的金融优势和网络安全公司的技术优势融合起来,促进保险公司在网络时代探索新业态,挖掘新增长点。

他进一步指出,在高度复杂的网络风险时代,风险治理已经不能仅依靠风险消除的方式,安全解决方案不可能一劳永逸。“而《意见》中提出的全流程网络安全风险管理解决方案,可以通过消解风险和分散风险两种手段,弥补传统安全解决方案的缺陷,在防范逆向选择和道德风险的动态风险管理的流程中,提升网络安全水平。”

相关的政策指引也早已开始布局,2021年7月,工信部在发布的《网络安全生产高质量发展三年行动计划(2021-2023年)征求意见稿》中明确提出,要探索开展网络安全保险,开展网络安全保险的服务试点,全面提升网络安全保险对产业的安全保障能力和服务水平。

韩冰表示,保险公司与网络安全保险服务机构合作,可以帮助保险公司打造“风险管理服务+网络安全保险”的主动型风险管理解决方案,从而解决可不可保、如何定价以及如何尽量不出险的问题。

“由于信息不对称的原因,客户较难判断安全产品的真正效能和质量,保险的承保不仅对企业的风险进行兜底,还对企业的信用状况、产品和服务提供了信用支持,对于增加网络安全企业的财务履约能力、产品的信用水平均具有正面作用。”韩冰说。

(作者:吴立洋,孙诗卉 编辑:郭美婷)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926