近日,上海自贸区知识产权协会理事钱文对外透露,上海自贸区将于9月19日推出中国网络信息安全保险新产品的全国首发。
财联社(上海,实习记者 连城希)讯,近日,上海自贸区知识产权协会理事钱文对外透露,上海自贸区将于9月19日推出中国网络信息安全保险新产品的全国首发。作为在商业秘密保护的深水区里又一与国际接轨的产品,它的必要性、价值以及对中国未来营商环境的变革具体有多深?
全国政协经济委员会委员,原保监会副主席周延礼在9月11日ITC+DIA World Tour中国区首场演讲中对网络安全保险体系作了详细说明。
周延礼提到:“网络风险已成为全球五大风险之一,预计2021年经济损失将1万亿,其中勒索软件和数据泄露是网络安全空间最常发生的事件。”
如今,数据化、在线化、移动化让整个社会与网络深层次地绑定,5G、大数据、人工智能、物联网、区块链等各类技术为我们打造的自动驾驶,智慧城市、智能穿戴、沉浸式娱乐,虚拟资产为人们带来便利生活的同时,也让企业遭受威胁攻击的可能性日益增长。
2019年11月16日,世界最大的石油公司之一Pemex受到DoppelPaymer勒索软件攻击,被迫关闭多个IT系统。
2020年3月31日,万豪国际集团官方网站发布公告称,约520万名客人的资料可能被泄露。这是一年半以内万豪酒店遇到的第二次大规模信息泄露事件。
据悉,McAfee与CSIS在2018年联合公布的《Economic Impact of Cybercrime》显示,从2014年到2017年,网络犯罪造成的经济损失已从5000亿美元上升至6000亿美元,约占2017年全球GDP的0.8%。中国地下网络犯罪的利润可能超过151亿美元(2017),其中超过138亿美元的损失来自于数据丢失、身份失窃以及欺诈。此外,周延礼还说,中国平均每年因网络安全造成的损失高达600多亿美元,居全球第二,亚洲第一。
2019年3月,Accenture联合Ponemon发布的《Ninth Annual Cost of Cybercrime Study》(报告针对11个发达国家的16个行业共355家大型公司进行调研)表示,尽管安全投入在不断增长,但其应付网络攻击犯罪的成本仍然在不断提升,预计从2019年到2023年的5年总风险价值5.2万亿美元。细分行业中,16个行业中受到网络安全攻击最严重的3大行业分别为银行、公共设施和软件。
图 2017-2018各行业受到网络安全攻击的严重程度
复旦大学保险系主任许闲教授会中提到:“科技带来的风险,也是未来保险科技必须解决的问题之一。” 建立完善的网络安全防御体系和提高网络风险抵御能力已经成为企业首要任务。当下主要的网络安全事故包括:勒索软件、数据泄露、DDoS攻击、由于数据泄露导致的索赔和行政处罚,以及可能导致的营业中断。
近年来,勒索软件事故频发,由此造成的经济损失越来越严重,根据2018年火绒安全团队发出的安全警报,每天感染用户电脑的勒索病毒有10余种,日感染量达10-15万台电脑。360安全大脑公布的2020年前十大网络威胁中,勒索病毒排名第一。“用户除了需要搭建完备的安全防御系统外,还急需保险担保,在遇到勒索病毒攻击时,获得经济保障。”周主席表示。
图 2020年前十大网络安全威胁
数据泄露也是网络安全保险要覆盖的范围,Juniper发表的《The Future of Cybercrime & Security》显示,2018年,全球范围内数据泄露造成的经济损失约为9291亿美元,预计2020年将达1.5万亿美元。其中,中国及远东地区2018年约169亿美元,预计今年达305亿美元。
面对如此严重的威胁,网络安全保险是分散网络风险的有效工具。保险公司将投保人信息资产安全性(信息的完整性、机密性、有效性等)作为保险标的,对由于网络空间内的事件给企业造成的负面影响进行赔偿,即补偿企业本身财产损失也包括第三方责任。此外,保险公司还通过主动型风险管理手段对风险进行实时监控,降低被保险企业的网络安全风险。
相比于传统保险产品,网络安全保险的特殊性主要体现在保险标的和风险环境的差异。例如,对于保险标的,网络安全保险的保险标的既包括有形财产,也包括无形财产,如计算机系统,数据,以及企业声誉等,而传统险主要集中于有形资产及其相关利益;对于风险环境,传统险的标的主要暴露于实体物质环境中,受到的风险多来自意外、灾害等,而网络安全保险主要来自于网络空间,如黑客攻击,程序设计错误。
网络安全保险承保过程中主要的难点在于对风险的量化评估、损失预防以及灾后定损。目前,大多数保险公司采取与独立第三方安全评测机构合作,开展相关风险的量化评估和承保后的风险管理工作。评估的难度和工作量会根据保险责任的不同而不同,场景险主要针对单一风险责任进行承保,综合险主要针对中大型企业的多种相关网络风险进行统一承包,相当于将多个场景险集中在一张保险单上。
纵观网络安全保险的历史,第一张网络安全保险产品于1977在美国诞生,承保来自第三方黑客攻击的责任,进入21世纪初期,产品的责任范围扩大到数据泄露损失,但不包含内部员工的故意行为,罚金等,2003年起,随着加州政府颁布了第1部有关安全漏洞的法令,网络安全险责任范围不断扩大至营业中断损失,网络勒索损失,网络资产损失。
截至2018年,全美已有528家保险公司提供网络安全产品。美国企业已然将改险种作为重要的风险管理手段。
2013年,苏黎世保险在中国首次推出网络安全保险,但当时法律不够健全,市场需求冷淡,展业难度大。2016年颁布首部《中华人民共和国网络安全法》以来,市场网络安全风险的关注度不断提升,保险业逐渐开始尝试涉足相关险种。
例如:中国平安于2018年4月推出为中小型企业提供网络安全风险保障和服务的“网安保”;中国人寿联合源保科技开发的针对大中型企业的网络安全综合险,保额最高可达1亿元;此外,太平洋产险、阳光保险、国任产险等也都针对相关网络安全开发专门的场景险。
相比于美国成熟的网络安全险市场,中国目前的发展尚处于起步阶段,到底9月19日上海自贸区会推出哪种全新品类的网络安全险,该险种又会如何影响中国未来的市场环境,让我们拭目以待。
