网络安全保险又一实践 公安三所、平安产险与上海嘉韦思战略合作

联邦快递近期公布的财报中称TNT快递损失3亿美元 ,只因NotPetya勒索软件攻击。像是这种问题,网络安全保险能投保吗?

9月20日,中国平安财产保险股份有限公司(简称“平安产险”)及平安科技(深圳)有限公司(简称“平安科技”)领导到访公安部第三研究所(简称“公安三所”)。公安三所、平安产险与上海嘉韦思三方举行合作协议签约仪式,将在网络安全保险展开跨界合作,致力推动网络安全建设与防范意识。

什么是网络保险

国外对安全事件强制公开有成熟的法律保证,美国50个州中有46个州颁布了在发生数据泄露事件时需强制通知客户,英国也在起草《欧盟数据保护规定EU Data Protection Regulation》,包括了数据泄露的强制通知。

企业为了减少这类安全事件,一般会部署相应的安全机制,但再强大的系统也可能被攻破,一旦发生安全事件,企业就需要告知用户,采取相关的补救措施。这种情况下,对于企业自有损失包括:取证调查,危机公关,法律咨询,通知费用,系统宕机的业务损失;对于企业的客户,则面临重发信用卡、应对管理机构询问,数据泄露等损失。这么大的损失,在现实社会中可以通过保险补偿全部或部分损失,而同样在网络空间,也可以通过网络保险解决企业在信息安全方面遇到“不可抗力”的难题。

小编,这样的事情可以投保不?

网络安全保险有哪些

2016年9月份,文章《国外保险公司Ace推出一亿美元网络安全险,网络安全险是啥?国内如何做》中指出,网络保险覆盖主要包含四大类:

1) 技术错误、失误(Errors and Omissions) 
例如IT企业的产品开发延期,产品集成出现错误,由此造成的经济损失;

2) 版权、商标等知识产权(Media Liability) 
例如与其他企业发生了知识产权纠纷,需要法律方面的费用、赔偿等;

3) 网络、信息安全 
例如企业存储的商业机密或用户数据泄露、数据丢失、病毒传播和勒索等造成的损失。

关于勒索,很多企业曾经受到勒索,如不支付一定费用,其网站就被拒绝服务攻击;2013年出现的勒索软件Cryptowall半年绑架了52.5亿份文件,其v3版本造成了3.25亿美元的损失,之前有加密勒索、ddos勒索)。 关于数据丢失,例如,规模仅次于沃尔玛的第二大零售商Target公司电脑网络在2013年被黑客侵入,损失高达2.64亿美元。

IBM 报告认为每年会出现9千万安全事件,无论是上述哪种事件,企业很可能无法承受如此巨大的损失,此时保险就成为了一种必要的补救手段,减少企业经济损失。事实上,据统计,在2014年,至少有50家保险公司提供网络保险产品,而90%的网络保险费用集中在数据泄露方面。

4) 隐私数据 
同样都是数据层面的内容,隐私数据主要是指现实环境中的失误,如丢失存有敏感数据的笔记本,员工将带有客户信息邮件发错,诸如此类。

上述四类的具体内容如下图所示,综合这四类保险类型,网络保险公司的赔偿费用包括有:对受影响客户的通知和系统修复费用、安全事件的调查取证费用、危机管理费用、业务中断造成损失的费用、支付勒索的费用、受损数据还原的费用、补偿入侵造成的账户财务损失的费用,以及补偿电信诈骗造成的损失的费用。

网络安全闭环体系

平安财险副总经理曹六一在致辞中表示,随着6月1日《网络安全法》正式施行,网络安全问题正式进入“法制”时代;关于网络安全建设,从国家层面到个人信息安全,呈现前所未有的责任感与使命感。平安产险积极寻求与业内专业机构、安全厂商合作,通过安全专业技术与保险产品相结合,搭建网络安全从安全防范到发生事故进行损失补偿的闭环体系。本次的三方签约合作,印证了这一体系的顺利落地。

今天的三方跨界合作是一种积极创新的模式,平安产险作为一家注重创新的企业,在政府政策引导下,与安全行业政府机构及专业技术机构合作,通过建立“安全服务+认证+保险”的体系来支持网络安全建设。——平安产险副总经理曹六一 

网络安全保险可能是未来的必需品

我国每年因为网络安全的损失达到 4000 亿,如果 10% 能够转换成网络安全保险的话,市场份额也会远超目前 300 亿的信息安全服务市场。我们知道国外的网络安全保险产品已经得到了发展,但在国内还是起步阶段,为此需要三方参与,共同努力。

——上海嘉韦思信息技术有限公司CEO 舒首衡

网络安全出事儿了 保险公司理赔吗?

在7月份,在《2025年网络风险市场可达70多亿美元, 网络安全出了事情 保险公司真赔吗?》文中提到这个问题,保险为什么要采用这种方式呢?诚然,这只是一个数字游戏,而非网络风险的权威诠释。数据来源显示,截至2020年或2025年,网络风险市场可达70多亿美元,别忘了2015年该金额才10亿美元左右。现在你会料想保险公司会疯狂兜售网络保险,这对于买卖双方来说是一种不平衡。

保险单实质上是一项合同。买卖双方会签署协议,约定在网络事件发生时,保险公司负责赔偿。实际是这样吗?如果您看一下涉及保险的数据入侵报告,你就会发现很多网络事件发生后,保险公司会以保险单规定的保险范围或排他条款为由拒绝赔偿。或许,更让人捉摸不定的是网络事件发生几率的上升问题。

国内网络安全保险有待法律健全

文章《国外保险公司Ace推出一亿美元网络安全险,网络安全险是啥?国内如何做》认为,随着网络安全保险的普及,会出现两个发展趋势:

  • 1) 会出现研究且系统安全度量的影响因素和体系模型,研究攻击技术的破坏能力量化评估机制。只有存在精细化、准确的安全度量指标,才有可能将整个网络保险科学化和产业化
  • 2) 如脆弱性评估、安全咨询等服务会受到保险公司的重视,会催生多种定制化的长期服务,以评估企业的整体安全状态。

但国内由于法律法规不够健全,所以企业通常没有动力主动公布相关安全事件,所以网络和信息安全方面的保险相对落后。除了金融、运营商、政府和能源等行业的大型企业有安全需求外,很多中小企业没有部署安全产品或安全机制,出现安全事件后没有较大损失,更没有动力去谈网络保险。

当然,也有企业在尝试相关的业务,如2016年1月中旬,阿里云和众安保险共同提供数据安全险,为企业虚拟资产数据的安全承保。也许其初衷是为了实现安全增值,推广阿里云服务,但无论如何,中国的保险公司也开始做这方面的尝试,相信在《网络安全法》颁布后,特别是诸如“及时向用户告知安全缺陷、漏洞等风险”等条款的执行,会推动企业重视自身的安全保障。此时,安全厂商的安全产品和保险公司的网络保险,可共同提供技术和资金上的保障,使企业更愿意在的安全防护方面投入。

做好网络安全保险要跳出传统保险思维

上海嘉韦思信息技术有限公司CEO 舒首衡提出,在科技改变未来的当今时代,做好网络安全保险需要从传统保险的思维中跳出,要从大数据+互联网安全保险的思路来考虑,利用数据平台的优势沉淀用户,解决保险流失率的问题;同时大数据平台记录下的结果则可以作用于了解用户和改善保险产品上。

签约三方认为,网络安全建设可以从创新模式的思路去发展,运用安全服务、安全认证及金融配套手段来支持国家号召。通过运用安全评估、认证结合保险补偿的机制,为企业在经过安全服务后进行最后损失的兜底,鼓励、引导安全防范意识、提升安全建设主动性。

发表评论