◎ 本刊记者 蒋向利
日前,工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),提出建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等十条意见。专家认为,随着网络安全保障需求上升,加快推动网络安全保险的发展已提上日程。下一步,开发更符合产业需求的网络安全保险产品还需整合网络安全企业、保险科技公司、第三方风险管理技术机构和各行业企业等资源,深化跨行业合作。
近年来,数据泄漏、网络攻击、网络安全违规事件等网络安全事件频发,相关事故时常带来巨额损失。
“目前的网络空间环境中大型企业业务复杂导致攻击接口繁多,同时,一些中小型企业不具备完善的网络安全防护手段。”奇安信天工实验室安全专家孔宪梓在接受记者采访时表示,近年来网络攻击事件频发,境外势力的恶意攻击与网络黑产的存在,导致针对于企业的勒索攻击、APT 攻击与信息泄露事件已经严重危害企业与客户财产安全。
接受记者采访的360 数字安全集团安全专家表示,数据已经成为一种新的生产要素,企业在开展业务时,会与其他的供应链上的机构产生数据交换,而由于企业内所使用的软硬件产品由于自身存在缺陷,可能导致供应链风险不断扩大,一旦发生网络安全事故,应急处置困难且责任难以认定。
上述专家同时提出,通过“产品+服务+运营”的传统网络安全风险防范模式,只能降低大部分的网络安全风险,面对无法预期或处置的剩余网络安全风险,只能选择被动接受,而往往代价巨大且难以承受,如高额的勒索赎金、大量的数据泄漏索赔、业务中断带来的经济损失、恶意网页篡改等。
孔宪梓表示,网络安全保险体系的建设可减轻网络攻击对于企业的损害,有望发展为网络安全基础设施,一定程度上可提升国内网络安全的整体水平。
事实上,网络安全保险作为为网络安全风险提供保险保障的新兴险种,已日益成为转移、防范网络安全风险的重要工具。目前,人保财险、平安产险、众安保险等多家保险公司已推出网络安全保险产品。
360 数字安全集团安全专家表示,网络安全险本质上是一种风险转移的处置模式,是传统风险处置模式的变革。企业通过购买低成本的保险,一是降低网络安全风险处置总成本。当发生网络安全事件时,会有专业的网络安全公司协助处置网络安全事件,并且可以通过保费的赔偿降低经济损失。二是提升企业的整体网络安全防护能力。企业在购买网络安全险的过程中,会有专业的网络安全公司提供全程的技术支持服务,如承保前的风险评估及加固建议,承保中的风险监测,承保后的应急处置,可以给企业带来安全能力的提升。三是减轻关基单位的连带网络安全责任,下游中小企业可以通过网络安全险中的技术服务减少被攻击成功的风险,为关基单位的防护创造良好的环境。四是降低因供应链软硬件产品采购引入的风险。
在吉林大学法学院金融与保险法制研究中心主任潘红艳看来,本次《意见》内容有四大亮点:
一是为网络安全保险发展提供配套政策支持。《意见》以健全完善财政政策、减少税收及提供保险购买补贴等形式,为网络安全保险发展提供配套的政策支持。
二是引导开发符合互联网产业需求的网络安全保险产品。发挥保险市场的效能,鼓励保险公司结合互联网产业发展的实际,开发网络专业技术人员责任保险等多种形态的网络安全相关保险产品。
三是引导提升技术赋能的网络风险防范服务水平。结合保险公司、再保险公司的专业服务优势,引导提升网络风险防范服务水平。以建立网络安全风险量化评估模型、建立网络安全预警等方式,提升网络安全保险的技术赋能。
四是提升网络安全保险推广的能动性。有点有面地拓展网络安全保险的应用行业,提升企业网络安全风险应对能力,培育网络安全保险产品推广的市场,整合行业资源,构建具有能动性的网络安全保险推广体系。
但总体而言,我国网络安全保险发展仍处于初级阶段,市场规模较小,保险产品数量和种类也较少。
对于背后的难点,360 数字安全集团安全专家解释,一是网络安全险作为一种新的保险创新模式,缺乏相应法规、标准规范作指导;二是网络安全险涉及企业的信息资产量化风险评估,一旦发生网络安全事件,确切的经济损失难以界定;三是网络安全险所采取的风险监测,应当采取轻量化、低成本的部署模式,而市场上成熟的解决方案较少(SAAS);四是国内市场网络安全险产品不成熟,企业对于网络安全险的信任度和认同度不高;五是网络安全险是一种跨行业的整体解决方案,需要保险机构和网络安全企业共同努力打造生态,单靠任何一方难以推动。
孔宪梓也认为,网络空间安全错综复杂,不同的网络业务场景有着其独特的安全风险体系,因此针对于各个层面和各个场景的安全保险制度与体系需要持续研究与改进。同时,针对企业的部分网络攻击较为隐蔽且难以察觉,同时很多企业对于攻击事件后知后觉,导致在取证层面存在较大难度,评测机构需加强网络安全取证人才的培养,完善评测取证体系。
业内人士建议,为推动网络安全保险的产业发展,未来需整合各方优势资源,深化跨行业合作。比如,保险科技公司、保险公司、安全厂商、各行业企业等可联合起来,建立跨行业数据共享分析机制。
众安科技与赛博研究院发布的《2022 网络安全保险科技白皮书》显示,在网络安全保险的完整业态中,包含网络安全企业、保险科技公司、第三方风险管理技术机构三个角色。网络安全企业采取网络安全技术与服务,协助保险公司为客户方提供全面风险管理方案;保险科技公司针对场景化网络安全风险,协助保险公司基于数据清洗整合优势,优化风险定价模型、构建全流程保险业务体系;第三方风险管理技术机构则将网络安全企业的安全技术能力与保险科技公司的科技能力进行有机整合,逐渐成为保险生态中关键一环。
网络安全险开拓了网络安全产业的一个新赛道。作为专业的网络安全服务商,360 数字安全集团认为,未来应该从五方面推动网络安全保险发展:一是加强与监管单位的沟通协同,积极参与网络安全险的标准规范制定;二是开展网络安全信息资产量化风险评估的研究工作;三是以网络安全险为载体,通过“企业安全云”等SAAS 化网络安全产品的部署,实现全面的风险监测,能够让企业特别是中小企业以较低的成本提升网络安全防护能力;四是加大产品研发投入力度,同时通过ISC、网络安全周、网络安全产业高峰论坛、网络安全技术应用试点示范等活动,宣传普及网络安全保险,增加企业的认知度;五是加强与保险公司的战略合作,共同打造和开拓市场。