随着国内外网络安全技术不断发展进步,各类新技术开始形成有效屏障,对网络安全展开全方位坚实守护。
7月17日,工业和信息化部和国家金融监督管理总局联合发布了我国网络安全保险领域的首份政策文件《关于促进网络安全保险规范健康发展的意见》。旨在围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等5方面10条意见,来助推网络安全保险行业更好发展。
而根据IDC数据显示,2021年全球网络安全市场规模达到1519.5亿美元,预计在2025年增至2233.4亿美元,2021-2025年复合增长率将达到10.4%。网络安全成为了企业在数据和个人隐私保护下不可忽视的日常难题。
在此大背景下,无论是国内政策层面还是全球市场展望,推动网络安全险的普及和发展已经成为业内共识,而作为针对数字风险的新险种,网络安全险俨然正成为抵御网络风险的有力防线。
近日,我们在直播中针对网络安全险的新机遇这一主题连线了前海再保险公司财产与意外险业务线副总裁吕晔楠。吕总在直播中和我们共同探讨了目前我国网络安全险现状及存在的难点问题,同时对于各参与方如何构建网络安全险生态屏障问题上,也提出了非常具有建设性的意见,本文的主要内容也来自该场直播。
一个不争的事实是,随着信息数字化技术不断迭代发展,互联网安全问题一直备受关注,尽管在技术层面,可以通过软硬件系统升级加强风险防护,但潜伏在网络冰山之下的攻击风险时有发生,多样且层出不穷的网络攻击与意外难以预测,也给守护网络安全带来了诸多不确定性。那么于我国而言,目前网络安全的形势如何?又有哪些网络安全问题会造成不可挽回的危害呢?
首先,从整个世界网络安全大环境来看,不少欧美发达国家由于产业互联网发展的比较早,都已经进入了工业5.0阶段,企业间的相互竞争也更加激烈。这也意味着随着市场开放程度和敏捷程度的不断提升,其数字化转型所处的整个阶段在这种环境下,网络安全也就变得非常重要,在此境遇下,欧美发达国家也就有很多损失经验可供参考。
比如,据相关研究事项表明,一些欧美企业遭受过网络攻击的大型公司,其股票的走势完全没有受影响,整个业务恢复非常快,而有些公司却受到了非常大的影响,整个股价在很长时间内就处于跳水一蹶不振的状态。这就使得不少公司开始重视在互联互通的数字经济环境下的网络安全重要性,也逐渐开始对网络安全有了更为量化的评估标准。
其次,目前随着我国产业互联网的不断成熟,所有的产业都在进行数字化转型。尤其是在建设自身互联网互联互通时,每个企业都要花很多成本和时间来做这样的事情,网络安全也随之变得越来越重要。
而且国家层面也三令五申的在强调网络安全的重要性,并给予了大量的政策支持,但是具体该怎么做?实际上整个行业还是缺乏经验的。在此背景下,企业的方向会呈现两个特征:一是摸着石头过河,遇到了问题再想办法看怎么办。二是头痛医头,脚痛医脚,企业害怕网络攻击,只是买个相关软件并找保司来做承保,以此达到要求就可以了。
这样的弊端也是显而易见的,于企业而言俨然缺乏一个整体的网络安全策略,没有将网络安全作为数字经济迭代过程中打造核心竞争力的主要指标,仍处在一个野蛮生长的阶段。
最后,国内整个网络安全数字化基础设施的搭建,不像欧美发达国家那样健全,企业发展业务对网络的依赖性也不是特别强。
在这样的情况下,不少企业还没有到达以数字为中心的运营阶段,所产生的有价值数据也很少。而遭受网络攻击的社会影响比较大的往往是一些实力很强,且数字基础设施做得很的好企业,其业务非常依赖网络,也拥有很多知识产权、客户隐私等有价值的数据,开放性和敏捷性都做的非常好。
就此而言,我国中小微企业由于数字化程度比较低,可能会受到过一些网络攻击,但是这些攻击通常并不是特别有目的,很难给这些中小微企业造成比较严重的伤害。而那些数字化程度更深的大企业,所面临的网络安全风险就会越高。
基于以上分析,我们不难预见的是各企业除了从技术层面加强风险防范外,如何避免因为网络安全事故所造成的巨大财务损失也是必须研究的课题。而网络安全险因通过商业保险的形式来转移此类潜在的财务风险损失,也逐渐成为企业最大程度规避网络安全风险损失的最佳选择。
其一,由于网络安全问题本身的复杂性和专业性要求较高,所以相比于传统的保险产品,网络安全险会有更强的技术属性和产业融合的属性。
其二,国内网络安全险是一个专门的保险保单产品,主要对企业网络外来入侵导致的损失加以保障。这种单独的网络安全保单所保障的范围是很广泛的,特别是针对企业最关心的因网络入侵导致的营业中断,大量客户和收入受到极大损失的情形下,网络安全险所提供的相关保障服务也就顺势成为企业关注的首要核心。
其三,在财产险里,网络安全险营业中断是以物质损失为基础的特性,决定了国内现在相关保险主要保的是营业中断。换言之,由网络安全事件引发企业极少物质损失的营业中断行为和传统财产险第一方损失的观念是不一样的。通常而言,企业网络一旦被入侵,需要花费很长时间来修复,这时候企业所投保的网络安全险营业中断免赔期也会被拉长,但这种保障对于极度依赖于互联网进行运营的企业几乎是没有用的,因为在网络攻击期间已经造成了很大利润损失。
也就是说,从客户最重视的营业中断过程中的保障来讲,网络安全险和传统营业中断保险产品是有很大差异的,其对企业每一个时间节点减少利润损失是极其重要的,不能接受很长时间的免赔期。
其四,从保第三者责任方向来看,如果企业遭受到网络入侵造成数据泄露,或是攻击方的威胁,在这种情形下,网络安全险还有一个综合性质,不仅保障第一方权益,也会对第三方责任进行保障,这其中费用囊括了事故调查费用、应急响应费用、硬件改善费用,以及各种各样有特色的费用型经济补偿等全方位的保障险种。
众所周知,国内网络安全问题涉及方方面面,是非常庞大的系统难题。近些年,越来越多的政策层面、法规层面不断强调网络安全,不仅先后颁布了网络安全法、数据安全法、个人信息保护法等法律法规,而且还相继出台了《网络安全审查办法》《云计算服务安全评估办法》等政策文件。这些文件中都提出要丰富网络安全险产品,包括开发面向不同场景下的网络安全财产险、责任险、综合险等,还提出了加快医疗、金融、能源等重点行业的网络安全险布局。
由此可见,给企业提供健全的网络安全险重要性和风险防范迫切性不言而喻。那么,从目前国内网络安全险产品运行状态来看,其在风险评估、定价、核保和理赔等方向上,有哪些挑战是需要去克服的?如今市场上还有没有一些解决方案是可供探索的呢?
第一,在核保方向上。由于网络安全事件的发生并非单一事情,是会受到很多因素在发展过程中影响下形成相互交叉连接的串联闭环,不同的原因会产生不同的结果。以至于在核保的时候,保司并没有弄清楚最终保障的是哪些间接原因、直接原因和哪些间接结果、直接结果,最终在核赔环节就形成了一个乱账,无形之间给核保理赔人员和客户带来诸多不便。
第二,在定价方向上。一旦保司将整个网络安全险框架确定下来,去界定原因和结果进行保障之时,就需要基于企业历史损失为基础做定价,然而一旦客户没有经历过历史损失情形下,保司就没有可量化的标准为其做定价。
而且当客户数字基础设施不断进化,外部接口会越来越多,开放性也得以加强,内部系统和外部的联系越来越复杂,在此基础上企业会逐渐形成一些历史数据,但保司依然很难给其做定价,这是因为企业风险暴露程度也跟着一直在变化,使得网络风险的定价与传统风险定价是完全不一样的。
因此,想要抓出各风险特征来做定价,就一定要将企业本身置于整个网络建设中去来得到真实有效的风险特征。
第三,在销售前端上。一线销售人员在以上提及的核保理赔和定价这些复杂概念下,使得网络安全险的实际销售面临不少难题。这不仅需要销售人员对企业数字化转型到哪一阶段有一个全面评估,还需要对其网络外在开放性和内在敏捷性来做成熟判断,而且也要根据企业对网络安全重视程度、投放资金所占利润比重等因素来做综合考量。这些能力显然对销售人员具有很大的考验。
最后,在针对国家政策深入指导,网络安全技术和风险不断迭代下,保司应该加强哪些能力才能更好与企业通力合作这一问题上,吕总也给出了两个建议:
一是,无论是从国外经验,还是从其本身风险特殊性来讲,网络安全一定是需要多方共同合作。在合作过程中是会有一段磨合阶段,或是出现保险相关人员不是很懂网络安全技术,亦或是网络安全技术公司不了解保险保单专业措辞、企业内部管理规则给两者带来竞争压力等等一系列问题。这就需要各方一定要建立在平等对话,抱着对对方欣赏的心态,去了解各自需求,消除信息不对称去建立起一个非常好的合作关系,而绝非是形成各方批评、怀疑猜忌,甚至是压倒式的关系。
二是,在整个合作过程中,由于各方都没有太多经验,是非常需要互相支持慢慢积累经验的,而于保司而言,这其中会产生大量有价值的信息,甚至是一些非常重要的隐私信息需要借助基础设施来处理,而区块链技术就是一个很好的解决方案,可以让各方共同建立比较适合的规则和体系,使得各方都贡献出自己的知识和能力,形成相互协同合作的关系,一起来解决各类问题,实现共同发展。
总的来看,我国网络安全险市场仍有很大的发展空间,挑战与机遇并存,保司、网络科技公司、企业三方应综合考虑自身技术等方面的特点携手通力合作,加快促进网络安全保险迈向更新高度。同时,在网络攻击事件频发的大背景下,我们也希望未来国内的网络安全保险市场能带给业内更多的惊喜。