跌入冰点,网络安全险崛起路漫漫
保观|专注互联网保险
保观曾在2017年写过一篇网络安全险的文章,如今一年半过去了,这一新兴险种的发展并没有如我们之前预料的那样一帆风顺。
打开百度,再次搜索“网络安全险”,搜索结果里没有一个保险公司的广告,仅有的一头一尾两则广告也是来自解决方案供应商。
“网络安全险”这一概念在肃杀寒冬中跌入了冰点,绽放之日遥遥无期。
国内:产品寥寥
网络安全险在国内,产品数量少、形态单一,基本是面向企业用户,而且价格需要定制。
国内知名度较高的产品有两款——众安保险的网络信息安全综合保险(下称“综合险”)和美亚保险的企业网络安全保险。其中,众安的产品是由其和网络安全公司安恒信息共同开发。
论数量,实在是少之又少,在国内八十多家财险公司中,仅有寥寥数家提供网络安全概念产品。即使在以企业为主要销售对象的企财险市场,网络安全险也是少数中的少数。
论保障,以众安为例,其综合险的保障范围为数字资产及相关的第三方责任,而美亚的企业网络安全保险的承包范围则还包含了网络营业中断、数据恢复费用等方面。
后经保观从安恒信息核实,众安的综合险可以为客户定制专属保险方案,数据修复、第三方责任、法律费用等也都可以加入保障范围。
论理赔,保险公司会提供直接经济赔偿或等值安全服务赔偿。
比如2018年12月份所曝光的万豪酒店集团5亿客户信息泄露事件,如果万豪曾投保了美亚的企业网络安全险,美亚将能提供约定保额的直接经济赔偿,降低万豪集团的经济损失。
又比如今年1月份所发生的“拼多多被薅羊毛”事件。
我们假设拼多多购买了众安的网络安全险,在此假设前提下,安恒信息认为:
据媒体报道,拼多多薅羊毛事件是由于网站出现重大系统Bug,被黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券。在网络安全保险责任中,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件,属于网络安全保险的风险范畴。
具体赔付项目视客户所选保险方案及与保险公司的约定,可赔付数字资产损失、鉴定服务费用、数据恢复费用、行政调查费用、法律费用等损失。
该案件中,比较敏感的赔偿是数千万元的优惠券如何定损。但就如安恒信息所说的,具体情况需要看客户与保险公司的约定。
当然,目前拼多多事件还没有最终定性,拼多多也没有购买网络安全险,这次事件造成的损失只能自己承担了。
论价格,众安的产品分为面向大型企业(以及政府、事业单位)和中小企业两类,价格分别是6万元/年和2万元/年起,保额180万和60万起,但因为企业的网络风险情况各异,投保时需要通过众安保险的风险评估来确定保费档次。
而美亚的产品,根据企业情况和风险大小,保费范围在几万到几十万之间,保额最高7000万元人民币。
保观在17年的文章中曾提到,网络安全险发展的难点在于建模难、道德风险高、以及法律不完善。
就前两个难点,安恒信息与保观分享了他们的看法:
网络安全风险建模和定价方式与传统的风险有着很大的不同,主要表现在两个方面:1、网络风险属于动态变化的风险,黑客的技术及战术会不断升级,保险公司缺乏相应的技术手段;2、一旦发生信息安全事件,数据泄露的数量和损失难以精确计算。
因此,保险公司可以通过与第三方安全公司合作,降低产品的开发周期和成品,并提升产品专业化水平。
至于道德风险,在用户投保后,与保险公司合作的网络安全公司会参与到系统维护的工作中,在不触及客户商业机密的前提下,提供相应防护。
国内的网络安全险市场的确才刚刚起步,安恒信息认为,需要有一个用户教育和意识普及的过程。
海外:预期向好
从全球范围来看,网络安全保险的市场规模在2017年时约为45.2亿美元,路透社预计在2023年将达到175.5亿美元(约合人民币近1200亿),年复合增长率25.4%,预期向好。
网络安全险市场的主要参与者有AIG、苏黎世保险、安联、慕再和信利保险等。除了提供产品,这些保险公司也在尝试量化网络风险,通过制定统一标准来促进该险种的发展。
AIG于2017年12月公布了一款网络风险标准模型,可以用于量化和评估投保人的网络风险。该模型能通过分析11种常见网络设备在10种常见网络攻击行为威胁下的表现,来评估投保人的网络安全状况。
信利保险则在2018年3月和RedSeal合作,开发了一款网络风险评分平台,并提出了“数字化抗性评分”的概念。该平台可以用客观数据来评测用户的网络安全状况,其参考数据包括了硬件参数到云服务器等网络设施的各个方面。
上述两方面尝试,都降低了保险公司对网络风险的建模难度。
在理赔方面,丘博保险和AIG分享了几个经典案例:
员工失误导致的风险
一家医疗机构的HR在向应聘者发送资料时,误将4.3名前员工的个人隐私信息(包括姓名、地址、身份证号)一并发送了出去。这一失误所导致的信息泄露,潜在的影响包括造成事故应急成本、因人员信息泄露而招致监管调查以及法律诉讼等,潜在的经济损失高达18.6万英镑。
其实人为失误一直是造成网络事故的重要原因之一,虽然大部分情况都是因无心之举造成的,但其所造成的损失不可小觑。丘博保险在医疗机构申请理赔报案后,派驻了事故应急小组,并提供了法律服务。
信息泄露导致网络勒索
一家中型律师事务所的内网遭到了黑客侵入,多份客户的敏感资料(上市公司收购目标、还未公开的专利申请书、以及一系列诉讼案件原告的隐私资料等)被黑客控制。事发后,事务所收到了来自黑客2.5万美元的赎金要求,如若拒绝支付,黑客将会把所有资料放到黑市上出售。
所有受害者在面临勒索时,都不应该主动支付赎金,因为没有人能保证在支付赎金后,黑客会信守承诺。但如果不及时采取行动,事务所所面临的损失将高达20余万美元。
报案后,丘博保险公司派遣了专业IT调查人员和第三方律师团队入驻现场,处理事故。不过丘博保险并没有此案的最终结果。
网络事故导致营业中断
本案由AIG承保,被保险人为从事生产制造挖掘机的工厂。
12月1日,被保险人的网络被黑客劫持,厂内85%的电脑文件被加密,厂内的外包工程师无法正常工作。报案后,AIG联络IT维修公司派出应急服务人员。最终,上门服务人员和工厂决定,利用备份数据还原系统,解除风险。12月3日,工厂恢复正常。
因为网络事故,工厂于12月1日和2日被迫停工,但外包工程师的费用依然需要按天结算。为了赶进度,工厂必须额外再支付两天的费用给外包工程师,但工厂已经没有足够的预算了。在此情况下,AIG承担了外包工程师额外两天的费用,作为保险理赔。
这几个理赔案例中,当事故发生时,保险公司的角色并非是单纯的理赔支付者,而更像是事故抢救协调者。在事故发生后,损失发生前,介入处理。这样的处理方式,可以较好地规避道德风险。
未来展望
国内保险公司为了在短期内扩大网络安全险的份额,也做出了以下的一些尝试。
形态上 - To C化与场景化
大部分网络安全险在设计之初都是面向企业的,而因为企业情况和面临风险不同,导致保险公司无法设计出标准化的产品。几乎所有的企业网络安全险保单,都需要经过双方协商来敲定各项条款。
如果就特定网络风险开发面向个人用户的标准化产品,匹配用户的特定场景,从而在产品端解决推广难的问题。
市面上已有比较常见的网络支付安全险等。
众安的互联网产品披露信息中,就有多类面向个人的网络风险类保险产品,包括网络支付账户资金损失保险、个人信息安全财产损失保险、网络游戏虚拟财产保险等。但这些产品都是几年前开发和上线的,目前已经下线。
形式上 – 附险起步
以家财险附险或者小额赠险的方式来销售网络安全保险,这也是其场景化思路的一种。通过依附家财险等主流险种,提升网络安全险的知名度和接受度。
思考
保观认为,网络安全险作为一个新兴险种,是对财险市场上非车险品类的一个补充。随着工业互联网时代的发展,网络作为新经济建设的基础设施,其配套的保险市场是有机会能赶上企财险和工程险规模的。
而摆在保险公司面前的,无外乎两条路,一是作为早期参与者入场,培育市场习惯、参与规则制定、承受推广成本;二是等待市场成熟后入场分羹。
而市场的成熟,如果没有先行者开道的话,或许只能等待5G、物联网等新技术来催化了。
End