专家点评

COLUMN NAME

勒索病毒肆虐全球 网络安全保险引关注

更新时间:2017-05-16 14:46:48

  世界经济论坛等组织将网络攻击列为当今世界面临的最大风险之一。在商业活动中,网络相关事故造成的潜在财物损失(第一方和第三方损失)范围非常广泛,这也凸显出相关风险的普遍性。

网络安全,网络安全保险

  根据瑞士再保险分析,人们对网络攻击/安全事故造成损失的担忧,已不再局限于数据丢失、被盗或损坏,还包括对企业财产和声誉造成的潜在损害,以及业务中断或关键基础设施遭受严重破坏的相关损失。损失可能来自组织内外部的恶意攻击,也可能是设备意外或人为错误造成的。

  AIG提供的一份报告里也对勒索软件的数量做了统计,根据数据统计,勒索软件2015年的数量比前一年增加了35%。

  不仅是风险类型更加多样,风险事件的数量也在不断增长。普华永道一份调查报告显示,2015年和2016年,中国内地及中国香港企业检测到的信息安全事件平均数量高达2577起,与2014年相比上升了969%。360、阿里巴巴、腾讯等互联网企业,以及公安部、工信部下属机构的监测数据则显示:2016年监测到的企业信息安全事件数量已超过万起,较2014年增长了近十倍。

  2016年的一项研究估计,数据事故造成的企业中位数损失约为20万美元。但有些经济损失事故造成的损失可能高许多倍,从而推升总体平均成本。多项其他研究试图量化网络事故造成的更广泛经济影响,包括业务中断损失、声誉损害,以及未来客户损失、物理损害成本等。例如据伦敦劳埃德估计,网络攻击每年给企业造成的总损失高达4000亿美元,包括损害本身以及对正常业务流程的后续破坏。

  达信所做的网络风险管理状况调研简述也显示,尽管每年目标明确的网络攻击的数量在以两位数的速度增长,许多中型及大型公司仍未能在网络风险管理中投入足够资源。

  达信《2016年MMC网络手册》中分析,目前网络风险已成为全球风险全景中的一个嵌入特征,并且由于股东、客户、供应链合作伙伴及管理部门越来越关注公司如何管理网络风险,因此,预防性风险管理及事后补救措施的重要性越来越高。保险已成为帮助企业应对网络风险战略的重要一环。

  对于保险公司及再保险公司,网络保险均是发展最快的业务领域之一。在保险公司开发网络风险承保的定价工具的过程中,对总计风险的关注已提高。显而易见的是,网络保险的需求正在上升,保费总额快速增加。

  网络保险发展的现状是,保单的限额一般在500万至1亿美元之间,市场相当集中,但有更多保险公司正寻求进入。另有数据显示,从全球网络安全保险市场分布来看,目前美国约占90%,欧洲约占8%,亚太地区占比仅为1%。美国是网络保险的最大市场,占2015年全球20亿至30亿美元保费的一大半,但美国网络保险中很大一部分是由国际保险公司承保的(如通过伦敦市场)。

  据记者了解,目前包括平安保险、美亚财险及一些第三方中介等均有提供网络安全保险这一产品服务。

  以美亚保险为例,其业务主要内容分成三块:第一块业务主要集中于减少企业因黑客攻击导致正常营业中断而产生的经济损失。保险可以赔偿企业在系统安全失效期间,扣除正常营运开支而损失的部分经济损失;第二块业务则是在鉴定服务以及数据恢复上。承保那些因聘请鉴定服务顾问证实是否已发生数据安全事故并判断原因,提供避免或降低数据安全事故的建议所产生的费用;第三块业务则主要是帮助企业承担法律成本,承保依法向资料所有人披露个人信息泄密或数据安全事故所产生的费用及支出。同时还包括修复企业受损名誉,承保向独立的专业公关顾问寻求建议以减轻其名誉受损所发生的费用。

  平安提供的网络安全综合保险中,在保险责任中则包括第一方损失(营业中断、法律费用、检测费用、勒索费用等)、第三方损失(信息泄露、数据丢失、媒体侵权)以及检测、风控、恢复和危机顾问服务。

  据一位财险业内人士分析:“网络安全保险的需求很多,但挑战主要来源于定价,定价又和量化网络风险息息相关,在缺乏全面的损失经验信息的情况下,如何设定风险衡量的基准是量化网络风险面临的一个挑战。”