希拉里邮件门、WannaCry勒索软件、俄罗斯黑客干预美国大选、徐玉玉电信诈骗案等一系列安全事件在全球频发,网络安全事件出现频率高、影响广、防范难的趋势。如今,网络犯罪更是将黑手伸向了商业领域,勒索软件大行其道、开源软件漏洞危害商业安全,物联网新兴领域和金融机构的网络安全更是令人担忧。
中国在加速信息化发展过程中,国计民生等诸多领域都对互联网产生了极大的依赖,我国信息系统遭受网络攻击的概率也随之迅速提升。国家互联网中心的一份数据显示,现在全球每发生3起网络攻击,就有1起在中国。
哪里有风险,哪里就有保险。
国际上首批网络安全保险产品出现于20世纪90年代中期,从2010年后进入快速发展期。网络风险一般分为第一方和第三方风险。针对第一方的保险责任主要涵盖了企业自己的资产,包括数字资产、网络瘫痪造成的业务中断、网络欺诈、声誉损失、网络盗窃等;针对第三方的保险责任主要包括他人的资产,尤其是客户的资产,通常包括安全和隐私泄露责任、第三方数据的丢失等风险。
机构研究数据显示,2015年全球网络安全保险保费收入约为31亿美元,预计到2020年全球保费规模将翻番达到70多亿美元。
与中国互联网大国地位不相称的是,中国网络安全保险并不发达。直到2015年美亚保险和安联财险才首次将此款保险产品引进中国, 2016年初众安保险推出数据安全险,产品却只面向阿里云用户。此外华泰财险、平安财险和人保财险也尝试推出了相关产品。但产品设计单一,保障范围较窄,与真正意义上的网络安全保险有所差异。
数字就是最好的例证:目前美国网络安全保险市场保费规模超过全球总量的90%,欧洲占10%,亚太地区占1%左右。而亚太地区目前主要的网络安全保险市场集中在澳大利亚、新加坡、日本等,中国并不列在其中。
北京邮电大学信息安全中心主任杨义先是我国知名的网络安全专家、长江学者,也是北京安码科技有限公司的创始人。由于在网络安全方面建树颇丰,目前也正在受托筹建公共大数据国家重点实验室。谈及网络安全保险,他表示:“要说的话很多。”
“频发的网络安全事件造成巨大的损失,这将是网络安全保险的巨大商机,这也是信息化发展到一定程度市场需求的必然产物。”杨义先认为,有必要从制度、标准、安全产品、风险管控、技术管理等多个层面完善我国网络安全险,并引导政府、企事业单位尤其是金融行业单位购置相应网络安全险,确保灾害发生时将自身的损失降到最低。
网络安全险从引进、本土化改良至今,并没有预期中的业务量大。究其原因,保险公司仍受到三方面制约:一是历史数据缺乏,产品定价难;二是产品面临较高的道德风险和欺诈风险;三是相关法规较模糊。
杨义先认为,网络安全险不应“单打独斗”,应该与安全服务结合起来。一方面,目前的网络安全公司拥有自主知识产权的安全态势感知平台,并有着丰富的安全运营和安全大数据资源,利用自身的大数据分析技术和网络安全大数据优势,可以使得保险产品的定价更有据可依。此外,深耕网络安全服务很多年,网络服务公司也大多已经形成了一套针对不同用户不同安全服务的定量定价体系,对于网络安全险的定价有重要的参考价值。
另一方面,网络安全服务公司有能力应对恶意骗保和欺诈等行为,如在投保之初针对投保企业系统定级评估以及在投保后的实时监控和数据保护,事发后的数据恢复等三重防护,从而减少欺诈等风险因素。
《网络安全法》今年正式实施,我国已将信息安全放在了更高的位置,作为我国在网络安全法律层面的框架性文件,为相关领域的法律法规制定起到很好的引导作用。同时也使各大企业对网络安全的重视上升到前所未有的高度,相关法律法规会逐步完善,网络安全保险领域法律法规出台也并不遥远。
杨义先说,传统的保险都还是被动的保险,即灾害发生后提供一些赔付。在网络安全保险领域,网络服务公司可以与保险业展开广泛的合作,利用双方的技术优势,实现“事前预防(安全检测等)+事中服务(应急响应、加固服务等)+事后服务赔偿(赔付、安全服务)”的网络安全全链条建设。
来源:中国食品安全报 2017-12-27
0
元