国外保险公司Ace推出一亿美元网络安全险 网络安全险是啥 国内如何做

网络保险(Cyber insurance)或网络责任保险覆盖(Cyber liability insurance cover ,CLIC)在中国还是新鲜事物,但在美国市场已经有差不多十年的时间了。尽管少为人知,但近年来发展势头增加加快。 

网络安全险初衷是降低各种网络安全事件(包括数据泄露、网络破坏及业务运营中断)带来的损失。拥有数10亿美元资产的公司迫切需要这种保险,愿意为此一掷千金而毫不犹豫。然而,实际上,网络安全险只是将事故的部分风险转移给了保险公司,而无法弥补数据丢失、声誉受损或业务丢单所带来的间接损失。

保险业如何承保网络安全险,至今未有统一的方法。保险公司面临的主要问题仍然是在承保时如何量化网络风险。2015年,全美保险监督官协会(NAIC)为保险公司承保网络安全险提出了指导性原则,但是对于保险业如何确定网络安全险范围仍缺少总体标准或评估方法。

什么是网络保险

首先,国外对安全事件强制公开有成熟的法律保证,美国50个州中有46个州颁布了在发生数据泄露事件时需强制通知客户,英国也在起草《欧盟数据保护规定EU Data Protection Regulation》,包括了数据泄露的强制通知。

企业为了减少这类安全事件,一般会部署相应的安全机制,但再强大的系统也可能被攻破,一旦发生安全事件,企业就需要告知用户,采取相关的补救措施。这种情况下,对于企业自有损失包括:取证调查,危机公关,法律咨询,通知费用,系统宕机的业务损失;对于企业的客户,则面临重发信用卡、应对管理机构询问,数据泄露等损失。这么大的损失,在现实社会中可以通过保险补偿全部或部分损失,而同样在网络空间,也可以通过网络保险解决企业在信息安全方面遇到“不可抗力”的难题。

网络安全保险有哪些

网络保险覆盖主要包含四大类:

1) 技术错误、失误(Errors and Omissions)
例如IT企业的产品开发延期,产品集成出现错误,由此造成的经济损失;

2) 版权、商标等知识产权(Media Liability)
例如与其他企业发生了知识产权纠纷,需要法律方面的费用、赔偿等;

3) 网络、信息安全
例如企业存储的商业机密或用户数据泄露、数据丢失、病毒传播和勒索等造成的损失。

关于勒索,很多企业曾经受到勒索,如不支付一定费用,其网站就被拒绝服务攻击;2013年出现的勒索软件Cryptowall半年绑架了52.5亿份文件,其v3版本造成了3.25亿美元的损失,之前有加密勒索、ddos勒索)。 关于数据丢失,例如,规模仅次于沃尔玛的第二大零售商Target公司电脑网络在2013年被黑客侵入,损失高达2.64亿美元。

IBM 报告认为每年会出现9千万安全事件,无论是上述哪种事件,企业很可能无法承受如此巨大的损失,此时保险就成为了一种必要的补救手段,减少企业经济损失。事实上,据统计,在2014年,至少有50家保险公司提供网络保险产品,而90%的网络保险费用集中在数据泄露方面。

4) 隐私数据
同样都是数据层面的内容,隐私数据主要是指现实环境中的失误,如丢失存有敏感数据的笔记本,员工将带有客户信息邮件发错,诸如此类。

上述四类的具体内容如下图所示,综合这四类保险类型,网络保险公司的赔偿费用包括有:对受影响客户的通知和系统修复费用、安全事件的调查取证费用、危机管理费用、业务中断造成损失的费用、支付勒索的费用、受损数据还原的费用、补偿入侵造成的账户财务损失的费用,以及补偿电信诈骗造成的损失的费用。

 

国外网络安全保险面临4大方面的问题

Infogix公司的FSI战略运营经理Senthil Rajamanickam就网络安全险发表了自己的看法。

估值不准确

数据资产估值不准确会给数据驱动的组织造成灾难性的后果。网络安全险提供商负责缓解这一风险,但这个任务挑战巨大。对数据估值过高,需要付出额外保费,给企业带来巨大的成本压力,更糟的情况是,企业因此失去价格竞争力而被挤出市场。若数据估值过低,组织则置自身资产于风险之中,因为保险公司仅需要兑现协议约定便可。

 

保险覆盖范围有限

迄今为止,网络安全险仅覆盖部分直接成本,而实际上间接成本是所覆盖直接成本的2倍还多,导致保险无法为企业带来充分的保护。

 

量化网络风险

承保网络安全最大的问题是量化网络风险,而如何承保网络安全险,至今未有总体标准或评估方法。

承保网络责任之类的非传统险种绝非易事,因为商业保险中易于识别的量化精算数据在新型险种中却处于缺失状态。在零售业中,很容易为商品精确定价,但数据就是另外一回事了。

数据评估繁琐复杂,使数据安全很难承保,保险公司需要用综合方法评估数据资产的价值。实际上,因为数据是无形的非典型资产,其价值很难估量,鲜有保险公司对这些数字资产的网络责任会有直观、深入的了解和认识。

 

把握数据相关风险

把握与数据隐私相关的风险非常麻烦,因为这些风险具有不同的级别。承保这类险种困难重重,因为保险公司得考虑到每个受影响用户的个人信息、被窃取的信用卡信息、黑客利用窃取的这些信息所购买的商品或服务、更换信用卡及信用监督的成本等。

总之,要考虑的因素涉及受影响用户、业务以及所有其他相关信息。网络安全险承保人在为公司提供充分保护前须深入考虑上述各层次问题。

 

专利相关问题

从公司角度看,在数据遭泄露后,许多专利相关问题会浮出水面,使公司面临法律诉讼及争端。若黑客入侵文件存储系统,窃取了与正在研发的技术相关的信息,则会危及整个组织的安全。

值得注意的是,数据泄露后,许多组织甚至缺乏必要的工具来检测相关事件并提供直观的实时感知,而在计算云服务提供商或企业网络所储存的被保险数字资产的风险时,实时感知必不可少。

 

网络安全险承保现状

保险公司目前获取输入的渠道包括安全信息与事件管理(SIEM)之类的信息安全工具以及大量案例中的结构化问题,保险公司期望基于此预测潜在的数据泄露风险,并帮助组织缓解网络风险。

然而事实并不尽如人意,这些工具仅提供组织的过往安全事件、事件发生的主要原因以及网络攻击的发生过程,对预测未来事件并无帮助。

 

网络安全险承保方法:关联成本

在数据泄露发生后,保险公司基于现有的容灾方案评估更新或重建业务所需的成本。然而,容灾方案在多数情况下并未考虑无形数据资产价值,仅提供了有形资产的价值。

此外,保险公司还要审核组织为防护未来攻击采取安全措施(仅为风险缓解手段,而非风险预防方法)所需的成本。

 

网络安全险承保方法:数据控制

确定哪些新技术可用于关联数据资产的价值有助于数据估值。在网络安全事件发生前便部署数据控制措施,可持续监控组织的数据环境,货币化其数据价值,生成数据货币化月报,基于数据使用率揭示组织的数据资产价值。保险公司在数据泄露事件发生期间需确定网络责任,而上述做法会为这项工作带来极大的便利。

组织还应部署自动化数据控制措施,以有效扫描网络威胁特征,并在发现威胁后,进行自动通知与升级,保证对网络安全事件的流程化响应,进而减少网络事件所造成的间接损失。

价值尺度

承保网络安全风险很大,而这种风险在短期内不会消除。保险公司须接受风险,而保险业对于风险的接受度也在悄然变化。传统保险业模式特点是规避高风险、控制中风险、缓解低风险,这种模式正在改变驱动业务发展的价值尺度。

即使风险很大,只要业务价值高,便是好风险。以云数据应用为例,这些高价值业务伴随着潜在的安全问题,但是因为其高额回报,仍值得冒险一试。

 

安达保险(Ace)计划提供1亿美金保险与安全行业联姻

这项计划的服务商来自能够识别网络安全漏洞以及应对网络攻击的多家公司,它们包括了安全评级技术公司BitSight、安全公司FireEye、全球管理咨询公司Nacigant Consulting Inc、网络风险评估服务公司NetDiligence、Promontory金融集团以及Verizon通讯公司。

Ace集团全球网络实践部门高级副总裁Toby Merrill对此项计划解释道:

申请这项保险的客户在认购时需要通过严密的安全审查,这个过程包括网络安全防御评价、降低泄露影响的策略以及董事会对攻击的应急响应。

即使被发现存在问题,申请者仍然可以获得保险,但是他们必须允许一家由Ace指定的第三方网络安全公司对其进行现场评估。

保险顾问会提出修复网络安全问题的建议,尽管保单中并不要求客户立刻实施。Merrill表示,具体细节他们将在本周四正式公布,公司将在这期间重新审核保险细节。

面对网络威胁,企业不再孤军奋战

有专家称,承保期间Ace因与各个安全公司的合作机制重新量化风险,这一过程对于其他保险商来说无疑是个巨大的挑战,因为他们没有足够的数据支持。

来自Ace合作伙伴之一FireEye主管Karen Kukoda说,

“网络风险中不存在精算表格,Ace通过将我们(这些公司)纳入承保过程,可以更好地为客户评估风险。”

Ace的此项措施中不仅提升了保费以及利润空间,同时让大家关注到网络安全的重要价值,未来保险市场几个快速增长的领域必将会出现网络安全险的身影。

PwC资讯公司本月早些时候发消息称,预计到2020年每年的网络保险总费用将增长两倍至75亿美元。报告警告面临剧烈竞争的保险公司,如果再不迅速采取行动、开发新产品,未来可能将受到来自谷歌等网络公司的强烈冲击。

据PwC的整理,去年25亿美元网络安全险大部分都是来自美国的。越来越多的数据泄露事故反而增加了企业对于网络安全的重视。

 

网络安全保险正在成为安全的催化剂

1) 企业侧 随着攻击事件的增加,管理层对各类安全事件产生恐惧,但不清楚安全。所以企业开始注意安全保险这一新事物,如果保险能从经济上确保安全事件不影响企业的整体营收,那么在网络保险方面投入资源是有很大意义的,企业的期望也在随之上升。

2) 管理和立法机构 如前所述,美国和欧洲的立法机构开始制定相关法律,管理机构也开始强化合规性检查,这也从根本上推动了网络保险的发展。
这意味着网络保险公司将大发利市。路透社引用一家咨询公司的研究报告报道说,网络保险的市场将在今后5年内扩大三倍,达到大约75亿美元。

当网络保险普遍被企业所接受时,如何提高企业安全水平,减少针对企业的安全事件,就是摆在保险公司面前的现实问题。目前的常见的保险风险评估都是以调查问卷的方式,缺少必要的技术手段,也就是说缺少精细化的手段,去评估某个企业的安全水平,那么也就无法给出量化指标,从而指定准确的保费。

正是遇到了这些问题,Mark提到网络保险今后发展的一些方向主要有:

  1. 持续监控将成为新的常态,实时感知威胁和脆弱性,以更好地支持对机构风险的评估
  2. 在1的前提下,基于动态的威胁和脆弱性环境中,投保费用每月、每天、甚至每小时都会变化
  3. 保险公司将会与安全厂商建立新的更紧密的关系

 

国内网络安全保险有待法律健全

笔者认为,随着网络安全保险的普及,会出现两个发展趋势:

1) 会出现研究且系统安全度量的影响因素和体系模型,研究攻击技术的破坏能力量化评估机制。只有存在精细化、准确的安全度量指标,才有可能将整个网络保险科学化和产业化

2) 如脆弱性评估、安全咨询等服务会受到保险公司的重视,会催生多种定制化的长期服务,以评估企业的整体安全状态。

回到国内,国内由于法律法规不够健全,所以企业通常没有动力主动公布相关安全事件,所以网络和信息安全方面的保险相对落后。除了金融、运营商、政府和能源等行业的大型企业有安全需求外,很多中小企业没有部署安全产品或安全机制,出现安全事件后没有较大损失,更没有动力去谈网络保险。

当然,也有企业在尝试相关的业务,如2016年1月中旬,阿里云和众安保险共同提供数据安全险,为企业虚拟资产数据的安全承保。也许其初衷是为了实现安全增值,推广阿里云服务,但无论如何,中国的保险公司也开始做这方面的尝试,相信在《网络安全法》颁布后,特别是诸如“及时向用户告知安全缺陷、漏洞等风险”等条款的执行,会推动企业重视自身的安全保障。此时,安全厂商的安全产品和保险公司的网络保险,可共同提供技术和资金上的保障,使企业更愿意在的安全防护方面投入。

最后需要提到的是,虽然作为企业安全防护的最后一道防线,网络保险可以避免企业造成巨大的损失,但应该要意识到保险本身不是万能的,如网络保险不能解决如信誉受损、未来营收受影响内部系统需改进,以及知识产权丢失这些问题。所以采购安全产品,部署安全方案,使用安全服务,还是企业在安全防护方面应该考虑的第一要素。

发表评论