网络技术在给大众带来便捷性的同时,也隐藏着极大的安全隐患。各种勒索软件、钓鱼软件层出不穷,同时,包括ChatGPT等在内的人工智能技术也给犯罪分子带来可乘之机,网络安全保险的需求越来越受到重视。
业内专家认为,在国家大力推进数字化转型的大背景下,2023年,网络安全产业蓬勃发展的势头将继续保持,而网络安全保险将成为不可或缺的支撑力量。
新技术催生新需求
根据知名网络安全公司Check Point Research(CPR)最新发布的报告显示,与2021年相比,2022年全球网络攻击量增长38%,中国所在的亚太地区网络攻击数量增长位居全球第二。CPR预计,2023年全球网络攻击活动将有增无减。随着AI语言模型ChatGPT等消费类应用程序的日渐成熟,网络攻击或将愈演愈烈,黑客将能够以更快、更自动化的速度生成恶意代码和电子邮件。美国网络安全公司Recorded Future也认为,ChatGPT或对于“脚本小子、黑客行动主义者、欺诈分子/垃圾邮件发送者、支付卡欺骗者等技术水平不高的网络犯罪分子”最有帮助,把恶意软件、钓鱼攻击推向了规模化时代。
在此背景下,网络安全保险逐渐受到关注。所谓网络安全保险,是一种对企业面临的网络安全损失进行保障的保险,其保障责任通常包括数据的丢失和恢复、网络转账损失、计算机欺诈和网络勒索赎金。举例而言,如果企业数据遭到黑客窃取,网络安全保险将承担企业通知用户的费用、民事损害赔偿、计算机取证的费用、公关成本,同时保险人有义务在诉讼中为投保人辩护。
《金融时报》记者在采访中了解到,网络安全保险在投保前和投保后的两阶段会对投保人的网络安全防护进行综合评估,提升风险处置能力,降低损失可能。前期阶段,保险公司会连同专业网络安全机构进行安全检测和风险评分,并将高风险问题告知用户来查漏补缺,随后,保险公司会根据风险监控反馈,向用户提供风险改善、安全防护、风险应急处理等服务。
据国家工业信息安全发展研究中心总工程师黄鹏介绍,2021年,我国网络安全保险保费规模在7080万元左右,较2020年增长3.2倍以上,呈现高速增长的态势。2022年以来,上海地区共承保网络安全保险业务355件,提供风险保障金额140亿元。网络安全保险正在成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。
发展机遇期已至
2022年11月,工业和信息化部会同中国银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称《征求意见稿》),从建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等五方面提出了10条意见,标志着国家层面对于网络安全保险的高度重视,对网络安全保险市场形成重大政策利好。
国内首个网络安全保险服务团体标准《网络安全保险服务规范》也于去年9月在上海发布,对保险公司开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求,特别是针对承保前风险评估服务、承保中风险管控服务、事件发生后应急处置服务以及保险理赔服务明确了服务标准。
市场研究机构Research And Markets发布的《2022年全球网络安全保险市场报告》预计,到2027年,网络安全保险市场规模将达到292亿美元,年复合增长率达到19.47%,市场发展空间与需求巨大。
就我国网络安全保险经营情况而言,约有20家中资保险公司具备网络安全保险相关产品和承保能力,备案超过50款网络安全保险产品。从产品类型来看,企财险接近半数,责任保险共有10余款,还有综合保险、应急响应专项险等其他类型险种。
据记者了解,包括中国人保、中国平安、中国太保以及众安保险等在内的机构都在推动网络安全保险向纵深发展。去年12月,人保财险浙江省分公司与国家计算机网络应急技术处理协调中心浙江分中心签订合作协议,发布了专属网络安全保险产品,为浙江省各级政府和企业的网络安全提供保险保障。众安保险也发布了全覆盖式网络安全保险产品,为医疗、教育、金融等网络安全风险重点领域的中小微企业提供一站式“保险+科技+安全”服务,涵盖开展网络安全核查、风险评估、风险态势监测、风险提示、责任划分、定损评估及理赔等关键环节,以防范网络安全事件发生。
多方联动创新产品
据介绍,在海外,网络安全保险相对完善,成为企业标配。但在我国,基于多数行业及企业的网络安全风险意识比较淡薄,网络安全建设投入普遍不足,对于网络安全保险的投入预算基本处于空缺状态。另外,相关的产品数据和技术层面的欠缺,也导致网络安全保险的产品创新不足、相对单一。
对于网络安全保险的发展难点,360数字安全集团安全专家解释称,网络安全保险涉及企业的信息资产量化风险评估,一旦发生网络安全事件,确切的经济损失难以界定;其所采取的风险监测,应当为轻量化、低成本的部署模式,而市场上成熟的解决方案较少。
“风险量化能力比较弱,精算模型的定价能力不足等也是产品创新痛点。”众安保险相关负责人对记者表示,在市场供给端,即使保险公司获得了有关网络损失事件的更多历史数据,网络风险建模仍将继续带来挑战。网络保险建模问题的核心是历史攻击不一定会在未来重复,为了帮助保险公司准确定价未来的网络风险,必须开发预测性网络风险模型。
中国工程院院士邬江兴认为,创新推进网络安全保险刻不容缓,网络安全技术创新、开辟市场蓝海、信息产业结构升级换代都需要保险业的创新服务和助力。他建议,可以在关键领域试点网络安全保险,如新基建、数字城市、云计算和数据中心、新能源或智能网联汽车等行业和数字基础设施建设方面率先试点。
《征求意见稿》也指出,在产品端,鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。如面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力;面向信息技术产品开发产品责任险;面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。
专家表示,网络安全险是一种跨行业的整体解决方案,还需要保险机构和网络安全企业共同努力,单靠任何一方都难以推动。因此,应充分发挥网络安全企业、专业网络安全测评机构的技术优势,联合保险公司一起提升网络安全保险服务能力。