邹 宏 宋江云 复旦大学大数据研究院
2022年4月22日,由紫金山实验室、中国网络空间内生安全技术与产业联盟主办,中国信息通信研究院安全所、国家工业信息安全发展研究中心信息政策所、复旦大学大数据研究院网络与数据安全保险研究所、太平再保险(中国)有限公司协办的网络空间内生安全发展大会网络安全保险发展论坛,采用线上研讨、多地互动的形式顺利召开,18位来自高校、科研机构、相关产业的专家出席会议并发表观点,1600余位嘉宾线上参会。本次网络空间内生安全发展大会以“网络安全新范式新生态”为主题,邀请了50余位两院院士及各大高校、科研院所、政府、企业和智库的影响力人士。网络安全保险发展论坛是本次大会的重要组成部分。发展网络安全保险是响应国家加快推进金融支持创新体系建设,聚焦关键核心技术攻关、科技成果转化等重点领域,发挥保险和融资担保机构风险分担作用,强化金融支持科技创新的外部支撑的具体举措。
关于网络安全保险和网络安全技术创新的关系,十三届全国政协经济委员会委员周延礼教授指出,网络安全是数字经济发展的“生命线”,网络安全保险是数字经济发展的“压舱石”“阻尼器”。国外设立网络安全保险相关险种已经有20多年的历史,但在中国还是新兴事物。近年来,数字经济快速发展对网络安全提出了保障需求。没有网络安全,就没有数字经济健康发展,网络安全已经成为各国经济、社会、政治、文化博弈的竞技场。我国在5G网络建设等方面取得了举世瞩目的成就,但网络安全风险防控形势严峻,数字经济对于网络安全保险的诉求与日俱增,数字经济发展需要网络安全保险保驾护航。虽然起步较晚,但我国网络安全保险市场不仅先后出现了保障网络金融账户安全、虚拟财产安全、移动支付安全、云服务安全等产品,而且发展态势良好。
中国工程院院士邬江兴认为,网络安全保险和网络安全技术创新是一对孪生关系,保险为技术创新提需求,为达到“安全门槛”的新技术“贴标签”“加杠杆”、担风险;创新技术为保险业发展增动力,拓展数字产品市场领域,发挥金融产业助推器作用。实际上,推进网络安全保险发展早已成为业内普遍共识。但是,我国网络安全保险一直处于“叫好不叫座”的尴尬局面,目前仅有人保、国寿、平安、太保等大型保险公司和一些再保险公司能够提供相关保险产品且具备承保能力,2021年网络安全保险保费收入不到1亿元,这与我国庞大的数字经济规模极不相称,同时又表明网络安全保险存在很大的市场发展空间。因此,创新推进网络安全保险刻不容缓,网络安全技术创新、开辟市场蓝海与信息产业结构升级换代,都需要保险业的创新服务加持和助力。
工信部网络安全管理局副处长肖俊芳认为,网络安全保险作为承保网络安全风险的新兴险种,日益成为转移和防范网络安全风险的重要工具,对促进网络安全服务创新、构建网络安全社会化服务体系、推动网络安全产业和技术高质量发展具有重要意义。中国信息通信研究院安全研究所总工程师田慧蓉认为,网络安全环境日趋严峻,安全损失呈指数级增长。从国内外经验看,目前网络安全保险发展趋势有三个方向:一是保险公司持续优化网络安全保险产品;二是“保险+安全服务”的业务模式已逐步成为行业共识;三是跨行业数据共享分析机制逐步建立。但目前来看,网络安全保险面临的政策引领作用未充分发挥、行业标准规范缺失、产品数量有限、客户认知不足等问题开始凸显。
江苏省保险学会秘书长刘玉国指出,目前已有多家保险公司在尝试联合安全公司或第三方科技公司共同打造符合国内企业需求的本土化网络安全保险产品以及服务。在此基础上,进一步推动监管机构、保险公司、安全公司、第三方科技公司等共同构建网络安全保险生态联盟,规范合作模式,形成多主体协同推动的发展机制,共同打造保险与安全服务融合的新生态、新产业。
关于网络安全技术创新对保险行业发展的影响,周延礼教授指出,在我国网络化、数字化、智能化建设的进程中,各行业各领域数字化转型正在深入推进,网络安全理念现已逐渐从“被动安全”管理步入“主动安全”管理的时代。网络安全保险是对网络空间的不确定性进行保障,是对传统保险无法覆盖的风险场景的补充。主动的风险管理模式,可以更好地帮助企业降低风险概率和减少风险损失,从传统保险的事后补偿转变为事前的风险防御。网络安全保险不仅在一定程度上转移了网络安全事故的风险,还可以为发展期的网络安全技术增加一份保障,相信拟态技术等网络安全相关技术与网络安全保险会成为驱动网络空间安全稳定发展的双轮,承担起维护网络空间安全发展之重任,共创一个内生安全又附加强力保险的网络空间。
关于内生安全技术对网络安全保险的促进作用,复旦大学发展研究院张铭心博士在研究中提出,内生安全技术可以自然地去接纳和融合已有的安防技术,并不需要更多的冗余投资和过高的边际成本,从而降低损失相关性、减少外部性,进而降低企业最优保费。通过对两种保费策略下的建模研究发现,企业最优安全投入与支付的保费呈负相关;损失相关性的降低可以有效降低最优保费,内生安全技术通过降低损失相关性、减少外部性,起到降低保费同时提高安全性的作用。敏感性分析显示,企业损失规模越大,越倾向于使用保险策略而非安全投入策略,保费激励模式将鼓励企业采用内生安全技术。因此,研究建议,要加强企业信息安全立法工作,及早确定企业信息安全的最低要求;寻求建立行业信息安全责任界定准则,尽快推出旨在提高整体安全水平的网络保险标准和保险产品。
邬江兴院士指出,网络空间内生安全是达成信息化和网络安全“一体两翼、双轮驱动”目标的抓手级创新科技,具有支撑网络安全保险迅速推进的条件,可以一体化解决信息基础设施等系统或装置功能安全和网络安全相互交织的世界性难题,实现广义功能安全性可量化设计、可检验度量,跨越保险业的可保性“门槛”,为网络和数据安全保险“入场”提供技术保障。邬江兴院士正大力推动网络与数据安全保险实施进程,在安全功能可定制、安全指标可度量的基础上,构建“保险+风险管理+服务”的网络安全保险新链条、新业态,为新技术发展和新产业培育注入新动力。
对于智能网联汽车保险发展中的问题,太平再保险(中国)有限公司副总经理李立松认为,智能网联汽车网络安全保险产品,应是一个多方参与的系统工程,包括技术、保险、政策、法规等方面。技术方面,需要测试、风险防范、责任认定等相应的技术赋能。保险公司核保最基础的技术条件是能看得明白、算得清楚,可控可管理,但目前保险公司不具备相应技术条件,需要第三方网络安全企业支持,与保险公司的技术标准有机结合,计算保险赔偿;在风险评估方面,保险行业和网络安全技术需要深度融合,突破可保性问题,实现实用模型建立,将具体技术体现在具体的产品上;在风险管理方面,网络安全保险也需要全流程的技术植入,发展“保险+服务”产品模式;在政策法规层面,在不断完善法律制度和机制的条件下,网络安全保险需要获得更多的政策支持。
众安在线财产保险股份有限公司王文瑾指出,在探索网络安全保险的过程中遇到三个方面问题:一是网络安全事件频发造成单均损失增加;二是产品定价相较于传统行业更加困难,网络安全风险不可预测和信息技术更新迭代快都给定价带来不小的挑战;三是定制化的服务增加保险开发成本和难度。在设置不同场景、不同行业的定制化方案时,保险公司需要深入调研各个行业,了解行业的痛点,加强和科技公司的合作,针对网络安全与功能安全交织的领域开发保险产品。
对于智能网联汽车网络安全保险可保性的问题,上海立信会计金融学院曹毓飞教授认为,要解决广义功能安全问题中的网络安全问题,可以通过提升技术手段达成,但只通过信息技术手段就想彻底解决网络安全问题是不现实的。将保险机制引入网络安全防范系统,不仅可以有效弥补应对此类风险的不足之处,而且能够有效降低网络安全事件发生的概率。网络安全风险具有“肥尾”性、时变性及明显的相关性,曹毓飞团队研究认为,广义功能安全问题的泛在化存在使得包含有数字化、智能化、网联化的产品技术及应用行业都无法回避广义功能安全的威胁和挑战。而我国网络安全保险产品处于起步阶段,对于网络安全保险产品的研究在产品开发、定价、服务等环节依然处于探索阶段。目前网络安全保险定价仍然面临着数据质量和数量不好把握、网络风险不断变化、网络风险信息不对称等诸多挑战。
对于智能网联汽车安全保险模型的设计,上海财经大学冯玉林教授指出,电动化、网联化、智能化、共享化催生了智能网联汽车新型网络安全与功能安全的交织问题。乘用车市场协会数据显示,在新车销售中,智能化和网联化的比例已经高达50%,汽车从过去单纯的出行工具变成了一个超级网络终端、数据终端、信息终端,随着这种变化,相应的网络与数据安全风险也就产生了。智能网联汽车的网络安全依赖其所配置的网络设备。网络设备存在两方面风险:一是易损性问题,软硬件易受攻击,不能安全、稳定地运行;二是可靠性问题,经过一段时间的使用,是否仍能在某些场景下稳定使用。冯玉林团队设计的保险产品以行驶里程为基准,结合单次损失中保险公司的预期赔偿金额、损失发生次数、风险附加,计算出智能网联汽车网络安全可靠性保险的定价。这种计算方式在任意使用情况下,总能得出保费最优解,并且具备较高的灵活性,即使以其他参数作为主要指标,也可为保费定价提供参考。保费定价可在累计行驶里程的基础上,结合瞬时行驶里程,为各类保险产品求得连续时间框架下风险定价的最优解。
对于新技术领域网络安全风险的认知,复旦大学徐炜博士研究发现,不论是国家安全层面(国家网络攻击)、企业安全层面(数据泄露)还是个人安全层面(隐私泄露),社会对于网络安全风险的关注逐年增加,相关的监管措施和新闻报道迅速增加。学术界有许多基于供给端的研究,但对需求端的研究仍然较少。在网络安全风险事件数量逐年递增、社会关注上升的背景下,政府监管或风险管理能力显著影响公众对不同网络风险来源的关注分布;不同风险来源的评价呈现规律性的变化。具体地说,公众对多数负面风险来源的厌恶情绪起初上升、然后下降,呈倒“U”型;正风险维度则与之相反。且研究没有发现公众对某一特定风险来源的评价受到其自身信息影响的证据,即对特定风险来源的评价遵循总体风险信息的变化。未来网络安全保险应将数字货币、商业机密、知识产权、声誉损失等纳入保障范围,随着对企业数字资产价值评估手段的进步,数字资产会在将来得到更好的保障。
关于“元宇宙”等新技术发展对保险业的新需求,复旦大学大数据研究院赵星教授指出,“元宇宙”存在几个方面的内生脆弱性:第一是硬件平台脆弱性,如虚实交互场景硬件故障;第二是内容平台脆弱性,如无数个“元宇宙”空间参差不齐以及相互关联通道的漏洞;第三是“人类”行为的不确定性,在AI、虚拟数智人、生物人化身及其相互行为叠加后,更加难以保证行为的“可解释性”。展望元宇宙保险的可能形态,包括数字资产(如数字藏品)的新险种、虚拟空间及部件(建筑物品)保险、生物人虚拟化身的人身安全保险、数字虚拟人和机器人的安全保险等。以上几个方面,也推动着元宇宙保险产品种类创新、保险方案研究及保险业务创新。展望元宇宙保险产品的可能形态,至少应该包括以下四类:针对平台和系统的安全险、针对元宇宙空间的数据包括生物数据的安全险、元宇宙数字资产类财产险、元宇宙中的“人”身安全险。
对于我国网络安全保险的发展前景,国家工业信息安全发展研究中心总工程师兼信息政策所所长黄鹏指出,我国网络安全保险将随着技术的创新而创新,2021年,我国网络安全保险保费规模预计达到7080万元左右,较2020年增长3.2倍以上。从服务机构来看,约20家中资保险公司有网络安全保险相关产品且具备承保能力,备案了超过50款网络安全保险产品。从产品类型来看,企财险接近半数,责任保险共有10余款,还有综合保险、应急响应专项险等其他类型险种。从服务模式来看,国内保险公司与网络安全专业技术机构开展合作,融合保险机制与网络安全技术服务,能够基本完成网络安全保险产品业务。
对于网络安全保险未来的发展,人保财险南京分公司副总经理王露建议,主管部门应对市场培育加大力度,出台与投保网络安全保险配套的相关优惠政策,统一网络安全服务标准。此外,应引导更多的保险公司、再保险公司、网络安全设备公司、科技服务公司、风险评估公司、专业经纪公司、科研单位等机构,参与搭建网络安全保险服务体系,丰富网络安全保险的基础数据,提供更多贴合企业风险管理需求的创新保险产品。安达保险江苏分公司总经理马明指出,在产品设计方面,中国可以借鉴海外网络安全保险组合售卖的形式;在产品保障和服务方面,建议保险公司更加注重后端的应急响应服务,例如法律咨询、反欺诈咨询等相关服务。紫金保险南京分公司副总经理陈跃飞认为,保险机构将借助新风口、新险种和创新模式的应用驱动保费增长,实现弯道超车。