長久以來,保險商以其極有條理地使用數據分析來衡量風險并據此承保而聞名。這套方法在車險和房屋險等保險市場上運作良好,因為這些保險的精算表有數十年或更長時間的風險數據可用。

但如果保險公司想承保幾乎不存在長期數據的多變風險環境,那他們的很多精算科學就會變得更像是猜謎游戲了。

01、猜謎游戲

這就是當前網絡保險承保的處境。

由于保險商一直在努力解決非常現實的盈利能力差距,過去幾年網絡保險市場可謂一路狂飆。在保險公司一頭扎進網絡保險市場滋潤過活十年之后,保險商及其投保人撞上了勒索軟件和數據泄露這堵代價高昂的南墻。

如今,算總賬的時候到了。面對不斷攀升的賠付率,保險公司紛紛開始調整其網絡保險產品組合。他們于幾年前開始陸續大幅提高網絡保險費用。到2023年,網絡保費增長某種程度上已然穩定,然而,保單更貴,保險覆蓋范圍卻更少,只有除外條款和限制增加了很多。

提供昂貴但排除了勒索軟件或民族國家攻擊之類常見風險的保單顯然不是可持續發展之路。這種方式雖然當下能助保險商增加盈利,但僅僅是眼前真正問題的短期解決方案。比如說,網絡保單的承保流程就依舊沒那么精密復雜。大多數保險商都缺乏有效衡量新客戶或續簽客戶網絡風險暴露情況的工具。

02、網絡保險商見不得人的小秘密

網絡保險市場的秘密就是,現今大多數保單都是基于自我評估調查表承保的。

有時候這些調查表過于簡單,幾乎不驗證投保人給出的答案。不斷累積的損失迫使一些保險商加強了對投保人技術細節的要求。但最終,自我評估仍然是判斷公司可保性的主要手段。

這在幾個方面造成了問題。有些調查表未能充分審查重大風險,無法科學評估投保人的網絡暴露情況。而除非遇到索賠,理賠師想要找到解除合同的辦法,否則保險公司一般也不會去檢查這些答案。最關鍵的是,即使投保人完全誠實、全面、準確地填寫了調查表,保險公司拿到的當時,調查表就過時了。

網絡保險承保中自我評估的局限所反映出的問題,與供應商管理企業在判斷合作伙伴與供應商所構成風險時面臨的問題相同。最近十年里整個第三方風險管理(TPRM)平臺市場乘勢而上的原因就在于此。TPRM監測平臺用于簡單地持續監測第三方聯網基礎設施的風險暴露情況,即便這些第三方會在第一方要求監督其內部系統時讓他們走開。

網絡保險承保人可以從這一市場演變中學到很多。

03、網絡保險承保變革時機已至

網絡保險承保人可以借鑒供應商管理經驗,以持續監測補充調查表。但區別于TPRM提供的粗略指標,網絡保險承保的正確方法可能更多地落在持續控制監測(CCM)上。

CCM被谷歌云首席信息安全官Phil Venables稱為是近實時持續評估企業安全控制成熟度的好方法,主要用于幫助企業跟蹤其治理、風險與合規(GRC)審計的內部控制,但也可經有效調整后為網絡保險公司提供風險暴露度量。

通過保單條款和捆綁安全產品,保險公司可能有足夠的影響力在自身客戶群中實現這種由內而外的監測方法。但CCM仍舊主要面向中端市場或中小企業,所以網絡保險公司必須創造性地在這些領域打開其知名度。某些情況下,該方法可以搭配托管安全服務提供商(MSSP),甚至直接提供包含CCM的MSSP-網絡保險捆綁包。

無論出自CCM還是其他形式的監測,這都是網絡保險承保領域保險公司不得不尋求的顛覆性創新,不如此不足以令保單對其最終盈利和其承保的客戶都具有吸引力。網絡保險商需要能跟上威脅變化步伐的風險衡量方法。這是創建造福各方的網絡保險市場的唯一途徑。

保險 保險公司 投保人
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接