郑如潮 人保财险福建省分公司
党的二十大提出:“坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。”数字经济的重要性,已经被提高到了前所未有的高度。2021 年,中国数字经济规模达到45.5 万亿元,占GDP 比重为39.8%。数字经济为社会经济发展注入新活力,同时也带来了越来越多的网络安全问题。
2021年8月,全国人大常委会通过《中华人民共和国个人信息保护法》,自此,我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心基础的网络法律体系,也为网络安全保险的未来发展奠定了法律基础。2022年11月,工业和信息化部会同原中国银保监会发布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,2023年7月,工业和信息化部、国家金融监督管理总局正式联合印发《关于促进网络完全保险规范健康发展的意见》,旨在推动网络安全保险政策标准体系的建立,也进一步明确了国家通过保险管理工具解决网络安全风险的政策导向。在数字经济全面发展的大背景下,网络安全保险在转移网络安全风险、保障企业稳定经营方面发挥着积极作用。如何将信息技术发展与网络安全保险有机结合,有效解决网络安全风险问题,将是中国未来向“网络强国”发展的重要命题。
2022 年上半年,中国电信、中国移动和中国联通总计监测发现分布式拒绝服务攻击约31.65 万起;工业和信息化部网络安全威胁和漏洞信息共享平台总计接报网络安全事件约1.57 万件。在信息技术不断更新迭代的大环境下,各种未知的网络安全风险层出不穷。 2022 年发布的《安联风险晴雨表》指出,勒索软件攻击、数据泄露、远程办公导致的IT系统漏洞和云平台数据供应链中断是企业最为担心的四类网络安全风险。网络安全防御体系的建设作为企业对抗网络安全风险的主要手段,由于边际效应递减,当网络安全防御体系达到一定成熟度后,边际效果将大打折扣。面对难以通过技术手段完全清除的网络安全风险,越来越多的企业选择通过保险手段转移残余风险,实现企业成本收益的最大化。
慕尼黑再保险公司在2022 年关于全球网络安全保险的调研结果认为,网络安全保险是经济成功数字化的基础。慕尼黑再保险公司对中国大陆的调研结果显示,49%的受访者担心遭受网络攻击,超过55%和60%的受访者曾分别受到网络欺诈和数据泄露的影响。在全球范围内,网络安全保险已经逐步成为解决网络安全问题、提高网络安全风险治理能力的新途径。鉴于我国网络安全事件日益频发,在网络安全保险服务供给与需求不匹配的市场环境下,网络安全保险未来存在巨大的发展空间。
网络安全潜在风险主要包括第一方损失、第三方损失和其他损失。第一方损失主要包括被保险人因网络安全事故导致的营业中断、网络欺诈、网络勒索、数据恢复、紧急响应等费用损失;第三方损失主要包括被保险人因网络安全事故导致的网络安全责任、公司及个人信息泄露、知识产权泄露等费用损失;其他损失主要包括因发生保险事故导致的检测鉴定、法律抗辩、系统升级、媒体责任等费用损失。
从行业网络安全风险角度来看,不同行业遭受的网络攻击类型也不尽相同。由于行业竞争、信息集中等,通信和互联网行业更容易遭受DDoS 攻击,使用户无法正常访问,进而导致企业的经营服务被迫中断;电商行业存储着大量的用户资料、银行卡账号、交易记录等个人信息,极易出现系统漏洞导致信息泄露的情况;在政务民生领域,便民服务理念推动政务服务不断线上化,政务服务网站更大程度地暴露在DDoS攻击风险下,当政务服务网站遭受攻击时,不仅影响居民办理事务的效率,而且严重影响政府部门的公信力。
以车联网行业为例,车联网是由车辆位置、行驶速度和行驶路线等信息构成的巨大交互网络,通过信息网络平台实现车辆动态信息的有效利用,提供包括交通管理、安全预警、汽配维修、紧急救援等多方面服务。车联网网络安全风险主要集中在智能汽车车端、车联网服务平台、通信、数据等方面,2022年上半年,仅针对车联网平台的恶意网络攻击行为就超过百万次。随着车联网行业信息化和网络化水平的不断提高,智能网联汽车搭载的信息平台存储着巨量的信息数据,面对日益复杂的网络安全风险环境,轻则个人信息被泄露,重则危害交通安全。
我国数字经济的快速发展伴随着网络安全问题的不断暴露,市场对网络安全保险需求呈几何级数增长,推进网络安全保险的标准化、规范化迫在眉睫。目前,国内外尚未对网络安全保险作出统一明确的定义。结合相关国内外权威解释,本文对网络安全保险作出如下定义:被保险人遭受网络安全事故而导致的营业中断、信息泄露等损失,由保险人根据保险合同约定负责赔偿。由于我国网络安全保险起步较晚,虽然市场需求强烈,但还有许多问题亟待解决。
行业标准规范是保险产品能否大范围推广的先决条件,在我国现阶段还有待完善。现有市场环境下,各方在定价模型、保险责任、理赔流程、服务内容等方面难以达成共识,缺乏统一的行业标准。借鉴国外保险产品的经营模式,已很难满足国内企业对网络安全保险本土化的需求,导致企业购买意愿不足。在缺乏行业标准的情况下,面对承保风险的复杂性和应用场景的多样性,国内网络安全保险的推广必然举步维艰。
坚持探索创新,不断提升稽查执法工作水平。总队积极贯彻落实国家总局和省局“创新监管手段、提高工作效能”精神,2015年完成投诉举报信息化系统省、市联通,在此基础上,进一步创新开发了稽查案件管理系统。目前,投诉举报信息化系统二期工程已全面启动,将实现省、市、县三级全覆盖。率先建立了食品药品快检实验室,为监管提供技术支撑,也为全省食品药品快检工作做出了示范。
在产品供给方面,我国网络安全保险产品供给体系所提供的保险方案较为单一,未能细分风险场景,难以为不同类型的企业客户提供定制化的保险保障。在保险服务方面,我国的网络安全保险方案依然沿用传统险种的模式,缺乏与大数据服务商、保险科技公司、风险管理机构等第三方的协同合作,使得对网络安全风险的判断不清晰,保险服务方案保障不全面,严重影响网络安全保险的市场化推广。在产品销售方面,传统直销依然是保险主要的销售模式,其对于网络安全保险这一类新兴险种,难以快速实现业务规模化,通过互联网线上平台或供应链上下游进行网络安全保险销售的新模式还有待挖掘。
整体来看,我国网络安全需求主体对网络安全保险的认知严重不足,在这一点上,中小微企业反映出的问题尤为突出。相较于网络安全这类难以获得直观收益的投入,中小微企业更愿意将资金投入生产环节。而大型企业对网络安全的投入虽然逐年增加,但资金主要流向企业的网络安全建设,这意味着大型企业更倾向于以信息技术手段消除网络安全风险,尝试借助保险进行风险减量管理的则少之又少。与此同时,保险公司自身对网络安全保险的模糊认知也阻碍了业务发展。我国保险公司囿于自身积累的保险数据,对此类产品的方案设置、核保定价、风险管理等运作尚不成熟,难以根据不同客户的需求提供全面的保险服务,这进一步导致了市场对网络安全保险的认知存在偏差。此外,近年来,我国一直大力倡导数字经济发展,但是对网络安全保险的推介力度较小,因而市场对此类保险产品反应冷淡,投保意愿不强。
近年来,网络安全已上升到国家战略高度,网络安全保险巨大的市场需求也随之形成,针对网络安全问题可能造成的第一方损失和第三方损失,社会各界急需一款本土化的网络安全保险产品为网络空间的平稳运行提供保障。作为转移和防范网络安全风险的重要管理工具,基于网络安全保险的新型解决方案将在未来成为网络安全建设的重要组成部分。
现阶段,国内主流的网络安全保险主要包括营业中断保险、网络安全责任保险、信息技术服务费用保险、应急响应费用保险等,较为全面地保障了第一方损失和第三方损失。从事故原因上看,现有的保险方案已将黑客攻击、DDoS攻击、信息泄露、诈骗窃取等引发网络安全事故的主要原因涵盖在内;从损失类型上看,由保险事故产生的经济损失、调查费用、法律费用等主要损失均可以承保。在产品保障范围层面,现有的保险方案基本可以满足当下的客户需求。国内网络安全保险的具体实施过程如下。
在承保前的风险评估阶段,通过网络安全评价、风险场景评估、漏洞扫描、渗透测试等方式,全面了解包括安全管理制度、安全防范等级、监测预警系统在内的相关信息,将不同场景下的潜在网络安全风险进行货币化评估,使客户对网络安全风险有更直观的感知,同时了解该风险可能带来的预期经济损失。
在这个过程中,保险公司一方面可以通过量化风险评估技术来快速掌握企业的网络安全风险管理水平,测算企业的风险敞口,不断优化定价模型,确保精准定价;另一方面,根据评估结果对客户的网络安全系统提出网络安全加固意见,这既有利于保险公司控制承保风险,也便于保险公司后期参与网络安全事件应急响应与恢复工作,减少网络攻击造成的损失。
在承保阶段,保险公司结合7×24 小时风险监测、风险安全态势分析、钓鱼邮件测试等手段,为客户打造主动型风险管理体系,实现风险全覆盖;同时,动态关注客户的风险变化,发挥保险风险减量管理作用,当发生风险异动时,采取适当的措施,将风险控制在合理的范围内。
以DDoS 攻击风险监测为例,DDoS 攻击通常用大量合法或伪造的请求占用大量网络及设备资源,致使目标企业网络瘫痪,从而导致企业发生营业中断、信誉受损、信息泄露等损失。针对这一情况,保险公司可以通过“保险+服务+科技”的模式,为企业的网络环境附加DDoS检测工具。当检测到网络在短时间内出现访问量急剧增长时,风险预警系统会及时通知网络安全服务公司的人员提供应急响应服务,减少企业损失。在企业日常运营期间,DDoS 检测工具将定时扫描漏洞,清理植入程序,确保企业网络系统安全运行。
网络安全保险的理赔流程基本按照“报案—现场查勘—责任认定—第三方鉴定—损失金额核定—赔款支付”的常规流程进行。在事故减损过程中,保险公司通过与具备网络安全服务资质的服务厂商合作,进行应急响应、事件监测、风险抑制、风险消除四个阶段的服务工作,帮助企业减少网络安全事故损失,使企业尽快恢复生产经营。
在理赔定损过程中,保险公司业务部门与理赔部门协同开展网络安全事件调查,进行损失评估与责任认定,如发生争议则聘请权威机构做第三方鉴定,确保应赔尽赔;事后及时总结经验,在实践中逐步完善网络安全保险保障体系,推动业务可持续发展。
总之,从保险产品供给侧来看,近几年,国内市场提供网络安全保险的公司以及网络安全保险产品正在逐渐增多。据统计,国内市场上已有超过50 款注册备案的网络安全保险产品为客户提供网络安全风险保障。但由于行业标准、服务模式、保险科技等其他环节发展落后,我国网络安全保险产品并不能和市场需求有机结合,进而导致网络安全保险市场拓展缓慢。2021年,我国网络安全保险保费仅约7000万元,不到网络安全产业规模的千分之一,覆盖率极低。因此,未来网络安全保险的发展急需创新破局。
目前,我国的网络安全保险还处于萌芽阶段。结合我国网络安全保险存在的问题以及现阶段的保险解决方案,笔者认为,应该从以下五个方向进行发展创新。
建议相关政府部门及行业协会加快推动形成网络安全保险的行业标准规范,依托行业标准规范促进业务可持续发展。借助国家层面的学术研究力量,明确网络安全保险定义、规范条款措辞、统一承保服务流程、完善理赔定损机制,实现市场标准化,引导行业有序发展。在逐步实现行业规范化的同时,继续加强市场监管体系建设,完善相关法律法规,确保合规经营。2022年9月,上海市保险同业公会发布了国内首个网络安全保险服务团体标准《网络安全保险服务规范》,对保险公司开展网络安全保险业务涉及的承保、风控、理赔等各环节制定了统一标准,该规范标志着上海地区网络安全保险产业发展的新起点。下一阶段,国内网络安全保险行业应以此为契机,制定全国性的行业规范,最终引导网络安全保险产业健康有序发展。
实践证明,有力的补贴支持政策是新兴保险业务快速铺开的强大推动力。从我国近几年各省科技保险、知识产权保险的补贴效果来看,政策扶持直接推动保险产品供给扩大,拉动市场需求提高。补贴试点的模式,以点带面,可以让社会更快地接纳新兴保险产品,也有利于保险公司在实践中探索发展。另外,针对极端网络安全风险损失,建议政府、保险公司、再保险公司尝试建立风险基金池,实现风险共担,促进网络安全保险产业可持续发展。
网络安全保险产品体系的不健全,是目前国内市场发展的桎梏,笔者建议从以下四个方面进行改善。一是模型定价方面,应联合政府部门、头部保险公司、数据中介机构、网络科技公司等多方共同建立风险数据库,在实践中不断积累承保理赔数据,辅助产品精算,实现精准定价。二是产品创新方面,应重点围绕互联网、金融、交通等重点发展战略领域进行深入调研,挖掘市场对网络安全保险的不同需求,积极创新保险产品供给,提供个性化保险方案,实行差异化定价。三是服务模式方面,积极倡导推广“保险+服务+科技”网络安全新理念,将保险科技主动融入到保险服务中。充分应用人工智能、区块链等前沿技术提高网络安全风险预防能力,打造前端技术控制、后端保险兜底的一体化服务模式,全方位保障企业的网络安全。四是销售渠道方面,相对于传统直销效果不佳的现状,通过网络安全服务厂商进行保险产品销售将成为未来的主流发展方向。由网络安全服务厂商筛选安全意识较强的目标客户,提供“技术+保险”的双重保障,使保险迅速渗透到企业的网络安全管理中去,有效提高市场占有率。与此同时,网络安全服务厂商也在一定程度上简化了保险公司的风险评估工作,降低了其承保风险。
针对社会对网络安全保险认知不足的现状,在发展初期,保险公司应多层次、多渠道、全面开展宣传推介工作:一方面,政府部门、行业协会、行业头部公司等多方共同宣传,不断提高企业客户的网络安全意识以及对网络安全保险的认知水平,引导客户需求,快速打开市场;另一方面,积极总结国内外先进经验,通过学术宣讲、主题沙龙等多种形式,组织推介网络安全保险,激发企业的投保意愿,推动形成市场认可的网络安全保险服务模式。全方位的宣传工作,将使得社会公众更全面地了解该险种的保障内容,刺激市场需求,加速推进网络安全保险的落地及发展。
网络安全保险作为保险行业的新兴领域,产业发展面临着较大的技术壁垒,对保险公司业务部门、理赔部门、客服部门等相关部门工作人员的专业素质有较高的要求。提前布局,作好网络安全专业团队建设,是业务发展初期保险公司快速占领市场的关键条件。
由于网络安全专业人才培养难度较大,短期内难以匹配业务发展需求,建议保险公司与高校开展人才培养项目合作,培养网络安全保险专业人才,提升专业队伍素质。保险公司内部可以聘请高校教师、行业专家进行授课,定期总结分享国内外行业优秀经验,不断提高从业人员专业能力;同时,可以针对网络安全保险建立专营团队,提高团队准入门槛及薪资待遇,激发队伍活力。
在大数据时代背景下,保险公司应强化行业内外部共享合作,为客户创造新价值。网络安全保险是未来行业发展的新赛道,建议保险公司、科技公司、网络安全服务厂商加快保险业务的融合,聚焦前沿科技,创新技术服务,重塑网络安全管理体系。在网络安全保险产业发展初期,保险公司可以通过网络安全产品附加保险保单的模式打开市场。在保险产品获得一定程度认可的情况下,保险公司可以采用“保险+服务”模式,为企业提供全方位的网络安全管理服务,提升产品附加值,增强客户黏性。当网络安全保险产业形成规模时,保险公司可以引入大数据定价、智能风险评估等科技手段,以“保险+服务+科技”模式构建立体化的网络安全管理矩阵,最终深度参与到社会各行业的网络安全管理中去。
此外,网络安全保险产业的发展应当以保险公司为媒介,加快整合产业链上下游的生态发展,引入第三方鉴定机构、数据中介等角色,完善整个网络安全产业链条,在深度融合中激发产业活力,培育健康的市场生态。
我国网络安全保险市场虽然起步较晚,但随着法律法规的不断完善,网络安全保险业务发展即将迎来风口。预计未来的网络安全保险产业将以“保险+服务+科技”模式为基础得到全面发展,实现传统型保险保障向智能化保险服务转变。随着网络安全风险和网络安全保险需求的不断增加,保险行业与其他各行业将在网络安全领域不断深化融合,实现多方共赢,助推网络安全产业业态迭代升级,为我国迈向“网络强国”打下坚实基础,助力数字经济腾飞。