专题·网络安全保险 | 网络安全保险发展的过去与未来

发布时间:2024-01-09   来源:复旦大学风险管理与保险学系 段晓萱 许闲  浏览次数:97
文 | 复旦大学风险管理与保险学系 段晓萱 许闲2015 年,习近平总书记在第二届互联网大会开幕式上提出要推进“数字中国”建设,这是总书记首次正式提出“数字中国”概念,同时也标志着“数字中国”建设新征程的开启。“数字中国”的发展对网络空间的安全稳定提出了新的要求,网络安全保险的出现顺应了数字经济时代对网络安全的新需求。2023 年 2 月,国务院印发《数字中国建设整体布局规划》,将“数字中国”建设设计为“2522”整体框架,强调要强化数字技术创新体系和数字安全屏障“两大能力”,这为网络安全保险的发展提供了政策支持和指导。网络安全保险的出现和政府的相关政策文件表明,网络安全已经成为“数字中国”建设中不可或缺的一环。这对于保护国家信息基础设施、防范网络风险和维护网络安全稳定具有重要意义,也为网络安全保险的研究和发展提供了更加广阔的前景。


一、全球网络安全风险画像

网络安全风险通常被定义为“会对信息技术资产的保密性、可用性和完整性产生影响的操作风险”,而网络安全保险正是一种针对上述定义的网络安全风险所造成相关经济损失的风险转移工具。网络安全风险作为一种新型风险,具有全球化、大规模化、隐蔽性和耦合性等特点。承载网络攻击损失的主体多为数据、软件和数字基础设施等无形资产,因此,这些风险及其损失往往更加难以量化和评估。为了深入了解全球网络风险画像,复旦大学风险管理与保险学系从监管、学术、新闻和非营利组织四个渠道收集了 35 个数据库,并按数据源名称、所属组织机构等 31 个数据维度将数据库信息组织成格式化数据。

新闻渠道数据最能直观反映网络安全风险画像的动态演进历程。新闻数据库将“网络攻击”与“网络安全”作为关键词,检索了从 2014 年至 2022 年间,来自慧科新闻、EBSCO 和 Hackread 等三个渠道的近千条新闻数据。根据检索结果,我们分析了过去八年时间内与“网络攻击”和“网络安全”相关的新闻动向,并从网络攻击类型和行业分析维度描绘了全球网络风险画像。分析发现,2014 年至 2022 年间,数据泄露、勒索软件、DDoS、黑客入侵和恶意软件成为排名前五的网络攻击类型,其中数据泄露以 39% 的比例位居首位。从行业视角来看,网络攻击在多个行业频繁发生。其中发生频次排名前四的行业分别为金融、政府单位、健康与医疗和教育行业。聚焦到排名第一的金融行业来看,金融行业内遭受网络攻击频次占比排名前二的机构类型为银行(73.1%)和保险公司(15.4%)。由此可见,保险公司既是网络安全保险服务的提供者,也是网络安全攻击的受害者,这种情况彰显了网络安全领域的复杂性和挑战性。综合来看,网络安全攻击类型多样,遭受网络损失的行业多为数据资产集中的信息密集型行业。保险作为一种分散风险的工具,网络安全保险的出现顺应了网络风险损失的需要。同时,这也强调了网络安全保险在当前数字化时代的关键作用。


二、网络安全保险发展与网络安全风险变化交织前行

20 世纪 50 年代至 80 年代是计算机发展初期阶段,这一阶段的网络安全风险主要集中于物理安全,网络规模相对较小,风险程度较低。1977年,美国保险集团(AIG)推出了历史上首份网络安全险(Hacker insurance),网络安全保险由此诞生。互联网发展在 20 世纪 90 年代迎来了转折,进入了崛起阶段。部分保险公司和 IT 公司也相继推出类似的保险产品。2000 年期间,国际计算机安全协会(International Computer Security Association,ICSA)以及劳埃德等保险公司都纷纷入局,提供一些简单的第三方保险服务。需要注意的是,早期的网络安全保险保单以承保投保人自身(第一方)的损失为主。进入 21 世纪 10 年代,网络安全保险进入初步探索阶段。2000 年-2010 年的十年间,是网络犯罪的“银行卡时代”,此阶段的网络犯罪团伙最开始的目标是电商、零售以及支付公司等拥有大量金融数据的企业以及一些实业制造公司,此时的网络安全保险也是针对企业。在这一阶段开始出现包含第三方损失责任在内的网络安全保险保单,随着网络风险的发生频率和造成的损失不断增加,网络安全保险的责任逐渐扩展。21 世纪 10 年代以后,网络安全保险迎来了快速发展时期。2011 年是数据泄露大年,索尼等大型企业在这一年也陆续成为网络犯罪的攻击目标,引发了社会公众的广泛关注。2014 年,美国有 47 个州立法规定私营或政府组织应当就个人身份信息(Personal identifiable information)的泄露承担即时通知的义务,以警告受影响的个体采取相关预防措施。这一阶段第三方风险管理服务机构积极参与网络安全保险市场,帮助相关险企解决核保定价问题,推动网络安全保险保费快速增长。中国的网络安全保险萌芽于全球网络安全保险的初步探索阶段,起步于全球网络安全保险的快速发展阶段。我国在 2000 年代初期开始建立网络基础设施,网络安全问题逐渐引起人们的关注。大型企业和政府部门开始寻求网络安全保险来应对潜在的风险,我国网络安全保险在需求侧和供给侧的共同努力下迎来了快速发展。


三、中国网络安全保险发展现状

我国网络安全保险尽管起步较晚,但在发展中国数字经济新时代的重大战略选择背景下具有重要意义。国外发展历史表明,政府监管的引导和支持是推动网络安全保险发展的重要力量。近年来,我国政府先后出台了《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等法律法规,网络空间治理进入了新的阶段。

网络安全保险的承保内容通常被设置为第一方责任和第三方责任两大部分。第一方责任覆盖网络风险对投保人自身造成的损失,常见的第一方责任类型有网络勒索、数据泄露、营业中断和相关的危机管理费用。第三方责任是指网络风险对第三方造成的损失,主要包含隐私权责任、网络安全责任和相关的其他法律责任。目前,我国网络安全保险市场先后出现了保障网络金融账户安全、虚拟财产安全、移动支付安全、云服务安全、DDoS 攻击风险等侧重部分特定风险类型或保险标的的产品,但存在责任覆盖狭隘、产品种类缺乏、条款表述冗杂、风险控制不足、持续经营能力弱等问题。整体而言,作为一款新险种,由于缺乏行业标准规范,我国网络安全保险过去发展较为缓慢。


四、网络安全保险数据库解析

为了了解国际市场上比较成熟的网络安全保险产品,以此赋能国内的网络安全保险发展,复旦大学风险管理与保险学系搜集整理了国际上传统大型保险公司、专营网络安全保险公司和经营相关业务的保险科技公司所提供的 186 款网络安全保险产品,并将其保障条款、除外责任和服务等整理成库。针对现有数据样本,我们将国外的网络安全保险产品分为四类,分别是独立网络安全保险、必选附加网络安全保险、可选附加网络安全保险以及嵌套网络安全保险服务。其中,独立网络安全保险是覆盖第一方责任和第三方责任的独立财产保险产品,以独立保险合同的形式承保;对应于独立网络安全保险,必选附加和可选附加是以附加责任的形式作为传统财产保险责任的延伸。其中必选附加作为传统财产保险的默认网络安全责任覆盖,可选附加是由客户根据自身需求决定是否承保网络风险,两类附加一般与传统财产保险产品绑定承保;最后,嵌套网络安全保险服务是网络安全保险在网络安全生态中发挥作用的生动实践,通常是由提供网络安全保险的公司与网络安全公司合作,将网络安全保险设计为网络安全公司提供的综合网络安全服务中的一个环节。

在现有数据样本中,国外市场中的独立保险产品占绝大部分(94%),这反映出国外网络安全保险市场趋于成熟,大部分产品已经以独立保险产品的形式出现。两种附加产品占比相近(2.70%、2.20%),嵌套保险服务产品占比最少(1.10%)。通过以上数据不难发现,国外网络安全保险市场上,独立的网络安全保险产品已经占据主要位置,说明独立的保险产品在成熟市场上更受青睐。因为独立保险产品意味着完备的第一方和第三方承保责任和配备的网络安全服务,这种“一键打包”的保险产品更加迎合消费者的需求。聚焦到产品承保的具体责任类型来看,在现有统计到的国际网络安全保险产品中,出现频率前五的第一方承保责任为网络勒索(89.47%)、营业中断(68.42%)、网络犯罪(63.16%)、数据恢复费用(52.63%)和数据泄露损失(52.63%)。网络勒索作为排名第一的第一方责任类型,反映了工业界对网络勒索损失的强烈需求。如前所述,网络风险不止会给被攻击企业带来直接的财物损失,还会间接导致与企业客户群体相关的责任损失。分析来看,隐私与安全责任(89.74%)、PCI DSS 责任(73.68%)、多媒体责任(68.42%)、隐私监管辩护罚金(47.37%)和网络责任(31.58%)是在现有统计数据中排名前五的第三方责任类型。与第一方责任不同,第三方责任是被攻击企业因为一些法律政策或安全协定(比如欧盟的 GDPR 隐私协议)而产生的与客户群体相关的赔偿责任,这一部分支出也在网络安全保险的承保责任范围内。通过对网络安全保险数据库的解析,可以了解到国际市场上比较成熟的网络安全保险运营模式和主流的第一方及第三方承保责任。目前,我国网络安全保险的发展仍处于初级阶段,在基于我国具体国情的基础上,积极借鉴成熟市场的网络安全保险产品发展经验,对于我国做优做强网络安全保险产品、强化数字安全屏障具有重要意义。


五、网络安全保险发展建议与展望

数字经济发展围绕数据资源,依托信息网络,将信息技术和实际应用相结合,推动生产方式和生活方式的深刻变革。而新的发展意味着新的挑战,新的技术伴随着新的风险。基于现实空间传统风险的保险机制和保险能力建设,随着数字经济的发展、网络安全风险的出现,也需要进行相应的发展,以适应网络空间带来的新变化。可以说,网络安全保险是数字经济发展的必然产物。

然而,我国网络安全保险发展滞后于全球背景下的网络安全保险发展节奏。因此,政府和监管机构应进一步加强对网络安全保险市场的监管,以确保产品合规性和质量。这有助于建立投保人信心,降低市场风险。此外,要积极建立合作意识。除了要探索企业间的数据共享机制,提高整体网络安全,共享威胁情报和最佳实践等来降低风险和保险成本;也要积极与国际保险市场合作,学习其他国家的最佳实践,以赋能中国的网络安全保险市场。“保险+技术服务”是网络安全保险的鲜明特征。除了追求更加精确的风险画像和可行的承保范围,做好针对网络安全事件的事前风险干预以及事后及时响应,从技术服务的角度助力实现网络安全保护的闭环,这是网络安全保险在网络安全整体生态中发力的重要突破口之一。综上所述,网络安全保险伴随着数字时代的发展而诞生,数字时代的进一步发展也必将会催生出更多形式的新型保险产品。可以预见,未来随着大数据、人工智能、云计算等新技术的进一步应用,元宇宙、智能网联汽车等新概念的进一步落地,诸如数字财产保险、智能网联汽车保险等新型保险产品也会迎来属于自己的发展,而网络安全保险必将在这些新型保险产品的发展过程中持续发挥自己的指导作用和借鉴意义。

(本文刊登于《中国信息安全》杂志2023年第10期)