網絡保險兜底：保險行業缺之不可嗎？

網絡保險行業正游說政府兜底。政府原則上并不反對。但保險兜底到底是什么？有必要嗎？

2023年1月底，在接受網絡安全媒體SecurityWeek的采訪時，再保險業巨頭慕尼黑再保險公司（Munich Re）網絡卓越中心主管Chris Storer證實，網絡保險行業正在游說政府，尋求網絡保險兜底。

2023年3月1日，美國政府公布了其《國家網絡安全戰略》。《戰略》第3.6節（“探索聯邦網絡保險兜底”）指出，“政府將評估聯邦保險應對災難性網絡事件的必要性和可能的結構，以支持現有網絡保險市場。”

網絡保險行業尋求聯邦網絡保險兜底，而政府正在考慮提供這一保障。行業是否需要這份保障？能否得到這一保障？缺乏這一保障又能否生存下去？以上問題就是本文將要討論的內容。

何謂兜底？

Storer解釋道：“政府兜底本質上就是政府提供的擔保，保證在出現真正災難性無法控制的系統性風險時，政府將作為最后的手段介入。

簡單講，政府兜底就是聯邦擔保，保證在行業遭遇可能危及理賠和繼續經營能力時聯邦政府將會介入。

禮德律師事務所（Reed Smith）保險追償訴訟合伙人Andrew Moss補充道：“政府成為投保人的終極承保人并不是為了向保險業追加資金，而是為了保護保險業免受系統性風險的影響，在發生系統性風險時保護投保人。”

凱捷咨詢公司（Capgemini）全球保險副總裁Kiran Boosam表示，“這指的是政府提供資源池，目的是讓風險集中領域的某些險種更加實惠。” 

英國版兜底名為Pool Re，是1993年愛爾蘭共和軍（IRA）炸了波羅的海交易所后設立的。Pool Re是由在英國提供商業財險的大多數保險商和勞合社組成的共同再保險人，得到了英國財政部的支持，其成員保證承保任何相關損失，無論多少。

從本質上講，網絡保險承保各類攻擊者與其目標之間的沖突，無論攻擊者是罪犯、民族國家，還是恐怖分子。“任何形式的沖突都會令保險商感到十分緊張。”安全合規服務提供商Qualys北EMEA總經理Matt Middleton-Leal評論道，“第一次世界大戰期間，保險行業曾考慮在海事保單中排除戰爭相關的損失。這一考慮的負面影響就是沒人想讓自己的船出海了，重要的海上貿易甚至可能會因而停止。為避免出現這種后果，英國政府提供了兜底，為遭敵方擊沉的商船承擔起財務責任。今天的網絡安全行業正在考慮采用同樣的方法。”

為什么保險業堅持需要兜底？

網絡保險行業的顧慮在于無法控制的風險，也就是所謂的系統性風險。Storer表示：“系統性風險不僅僅影響單一風險，還可能切實影響到大部分投資組合。無法控制的系統性風險很可能會帶來巨大損失，不僅會影響慕尼黑再保險這樣的公司的償付能力，還可能使整個保險行業遭到質疑。”

可以認為，NotPetya事件給網絡保險行業敲響了潛在系統性網絡風險的警鐘。而這次事件中，索賠金額尚未達到不可控制的程度。投保網絡保險的受影響公司得到了網絡保險行業的償付。但有些公司沒有單獨的網絡保險保單也針對其商業保險中的“一切險”提出了索賠。保險公司拒絕償付，聲稱根據標準商業保單中的“戰爭除外”條款，該事件是被排除在外的。

結果就是一片混亂。2022年1月，新澤西州一家法院裁定安達美國保險公司賠付默克公司14億美元。法院認為，如果保險行業要在保單中納入戰爭除外條款，就必須更加明確地列出來。2022年8月，勞合社發布了一份公告，要求承保人納入“適當的條款，排除任何國家支持的網絡攻擊所致損失的責任”。

何謂“國家支持的網絡攻擊”很可能在未來交由法院定義，但與此同時，保險行業已經意識到，一次網絡攻擊就可能造成廣泛而巨大的后果，而目前，他們唯一能仰賴的就是排除條款和/或提高保費。兩種選項都不是什么良好商業操作。

真正系統性風險的另一個例子是當前局勢。這與網絡無關，但跟戰爭擦邊。烏克蘭危機爆發后，俄羅斯扣押了外國租賃公司的500架商用飛機。機主目前正起訴勞合社保險商，因為這些承保人拒絕償付大約100億美元的索賠。法院定于明年開庭審理。

接受《英國電信報》采訪時，國際保險集團Howden Group Holdings創始人兼首席執行官David Howden表示：“保險市場不能成為英國和俄羅斯之間戰爭的系統性兜底。它沒這個功能。沒有保單會承保這種風險。而且，即使我們真的承保了，最終還是政府兜底——我們到時候都破產了。”

網絡保險行業擔心，未來的網絡事件如果未被戰爭排除條款有效涵蓋，可能會擴散，造成威脅整個保險業的系統性風險。這種情況不符合任何人的最大利益。

政府兜底會獲批嗎？

政府兜底有幾個問題尚有待討論。首先就是正當性，其次是影響，再次是資金支持。

正當性

美富律師事務所（Morrison & Foerster）全球風險與危機管理小組聯合主席Alex Iftimie指出：“設立網絡保險兜底在美國是有先例的，《恐怖主義風險保險計劃》（Terrorism Risk Insurance Program）幫助穩定了9/11后的保險市場，并確保組織還能找到價格合理的恐怖主義風險保險。”

但先例能提供現在的正當性嗎？網絡保險行業真的需要，或者說應當獲得兜底嗎？Middleton-Leal表示：“作為一個網絡安全純粹主義者，我的直覺告訴我他們不具備這份正當性。”他并非反對整個保險行業，也對其需要盈利的需求毫無異議。“更令人沮喪的是，組織遭入侵十有八九是因為他們自己的網絡防御存在一些久為人知的漏洞。領先威脅一步固然很難，但連基本防護都沒做就說不過去了。”

這種觀點并不罕見。很多網絡安全專業人員認為，提高保費和政府支持都不能解決問題，真正的解決方案是加強網絡安全實踐。保險與安全緊密結合可以推動這一點，而且，老實說，這項工作正在進行中。只要保費是根據現實安全態勢定的，安全狀況越好，風險就越小，保費也就更低。

作為供應商，Cowbell堅定支持這一觀點。這家供應商提供基于人工智能（AI）的持續網絡風險意識平臺，專門用于向承保人展示可保性。2023年4月12日，SecurityScorecard發布了與Marsh McLennan全球網絡風險分析中心聯合進行的調查研究結果，揭示了可供預測安全事件的七大風險因素。結果很明顯：加強網絡安全可以減小漏洞發生的可能性，進而降低保費，而糟糕的網絡安全可能會導致保費上漲，或者給多少保費都無人承保。

Middleton-Leal繼續說道：“積極的一面是，缺乏兜底可能會讓董事會更多地參與網絡安全。”不過，盡管或許會有這種積極影響，但歸根結底，這并不能解決重大網絡事件極有可能帶來的威脅——引發超出保險承保能力的大范圍災難性損害。關鍵行業遭遇災難性勒索軟件/數據清除器攻擊可能產生的連鎖效應令這些行業難以投保，無論其安全狀況如何。

影響

“政府為網絡入侵等不可預測風險兜底的問題在于，這往往會導致更多道德風險和冒險行為。比如說，政府兜底的水災保險可能會助長洪泛區房地產開發。”Teleport聯合創始人兼首席運營官Taylor Wakefield評論道，“政府應該緊跟行業頂尖的安全實踐，制定要求，并將責任轉到不遵守要求的那些人頭上。”

順帶一提，美國《國家網絡安全戰略》中也提到了最后一點，但具體提到了安全供應商。第3.3節（“不安全軟件產品和服務責任轉移”）規定，“我們必須開始將責任轉移到那些未能采取合理預防措施保護其軟件的實體身上，同時認識到即使是最先進的軟件安全計劃也無法防止所有漏洞。”

目前尚不清楚引入網絡保險兜底可能產生什么影響，這個問題需要進一步研究。Iftimie表示：“關鍵問題是，這種兜底是否有助于降低網絡保險成本，推動保險公司為消費者提供更加全面的網絡保險。”

“我們已經看到一些網絡保險商削減或限制國家支持的攻擊和某些普遍性網絡事件的保險范圍，這么做會造成保險范圍缺口，在發生災難性國家網絡事件這種正需要保險的時候反而無法覆蓋。”

提供兜底的目的是要讓網絡保險更加普惠，但目前尚不清楚是否能達成這一目的。Moss警告稱，兜底本身是可能會產生不利影響的。如果被保險人的安全狀況與保費之間無需任何必要聯系均可獲得兜底，那“保險人的承保能力基本就毫無限制了。市場上會突然出現暴多保險，從承保視角看，其結果實質上就是一場逐底競爭。”

資金支持

在對“責任轉移”的描述中，政府并未將供應商的責任與保險責任聯系起來。盡管如此，任何兜底總得從什么地方獲得資金支持。有兩個主要選擇，其一是聯邦基金（實際上就是對所有納稅人征稅），其二是對利益相關者征收特定稅種。 

第一個解決方案政治上有問題。第二個選項在2002年《恐怖主義風險保險法》中已采用，該法案是為應對2001年9月11日的恐怖襲擊而通過的。這基本上是恐怖主義保險兜底，由對私人投保人征稅來提供資金支持，涵蓋多種不同保單。

網絡保險的問題是，對網絡保險投保人征稅會增加本已高昂的保費，可能是阻礙而不是助推網絡保險業。因此，“最終可能還是納稅人掏錢，聯邦銀行買單。”Moss說道。

也就是說，美國政府希望將安全狀況差的責任轉移到安全性差產品的供應商身上，這就有可能對安全供應商征稅，或者收取安全違規罰款，以此補償網絡保險兜底的成本。

美國政府原則上顯然并不反對提供聯邦網絡保險兜底，但具體如何管理、涵蓋哪些內容，以及如何獲得資金，都與是否提供兜底的決策直接相關。

如果缺乏兜底，網絡保險行業還能繼續存在嗎？

面對保險商可能面臨系統性災難性風險的真實恐懼，設計、提供和資助網絡保險兜底的難點引發了一個無法回避的問題：缺了兜底，網絡保險行業還能繼續存在嗎？

答案是“能”，只要行業還能盈利。但要實現持續盈利，就需要行業重新定義一個有限制的網絡保險競爭環境，增加對某些客戶的拒保，排除特定風險，設置更嚴格的償付條件。

Boosam描述了當前形勢，指出未來三年全球網絡犯罪成本預計將以每年15%的速度增長，到2025年達到每年10.5萬億美元，遠遠高于2015年的3萬億美元。

他表示：“盡管網絡保險保費上漲以應對風險上升的情況，但這與保險商眼中增加的損失并不成比例。美國國家保險專員協會（NAIC）的資料顯示，美國網絡保險直接承保保費同比增長92%；但過去三年中（2021年）索賠額年增100%。同一時期，已償付索賠年度增長200%，2021年8100件索賠償付令巨額虧損準備金和盈利能力面臨風險。想要在當前網絡風險環境中更好地管理風險，保險公司確實需要單獨的資金池來應對這些大規模網絡災難。”

因此，當前競爭環境下，保險公司繼續以目前的保費承保重大網絡風險事件是不現實的。“截至目前，網絡保險公司的增長是通過再保險資本實現的。”Boosam繼續道，“由于再保險商也尋求自身賬簿的多樣化，這種資本流入將會放緩，保險相關證券或許是發展方向之一。最近（2023年1月），保險相關證券（ILS）市場最大的供應商之一漢諾威再保險公司完成了價值1億美元的風險轉移”，這在資本市場和保險業之間架起了一座橋梁。

問題是，這種新的資本流入并沒有解決網絡保險的根本問題。政府兜底能否為網絡保險提供公平競爭環境也是未知數。保險逐漸融入被保險人的網絡安全態勢也尚未消除系統性風險的終極威脅。

唯一可以確定的是，保險公司、企業和政府等各方都在尋求解決方案。能否實現可行的兜底就是問題所在。缺乏最后擔保，網絡保險或許仍然存在，但僅有極少數能夠證明自己其實并不真正需要的人才能投保。