網絡安全保險成本大漲 企業還能負擔這一重要的風險管理工具嗎？

根據 Huntsman Security 的數據，到 2023 年，無法負擔網絡安全保險、被拒絕承保或面臨重大承保限制的企業數量將翻一番。

即使對于那些被投保的人來說，持續上漲的攻擊、日益趨嚴的監管和不斷增長的財務壓力所形成的強烈風暴，也使得攻擊、違規和安全事件都更可能被暴露出來。

“供應鏈危機、通貨膨脹和缺乏安全技能等因素都增加了企業試圖建立健全其網絡安全戰略的難度。與此同時，對于許多企業來說，保險費用的增加、承保范圍的限制、承保及賠付的嚴格性以及責任認定都限制了網絡安全保險的可及性，”亨斯邁安全 CEO Peter Woollacott評論道。

“除非保費收入能更好地匹配當前的賠付支付水平，否則賠付率不會得到改善。隨著網絡威脅增加和監管收緊，保險準入減少，許多企業正在失去網絡安全保險這一重要的風險管理工具。即使是那些仍然可以獲得保險的人也要付出高得令人望而卻步的費用，”Woollacott 繼續說道。

數據顯示，三分之一的英國公司每周至少遭受一次網絡攻擊，網絡安全保險作為整體風險管理的一部分是至關重要的。為了彌合這種可及性的差距，保險公司正在尋求提高風險信息的質量，以便保費更好地反映該風險的真實成本。除非企業能夠證明他們有保險公司指定的控制措施來管理其安全風險，否則保險公司將繼續難以量化安全風險。正是由于這些原因，保險公司改變了提供產品的基礎，以更準確地反映承保的風險。

在安全419的近期采訪中，安恒信息高級副總裁袁明坤也指出，風險量化是網絡安全保險落地的一大難點。網絡安全保險需要理解和把握網絡安全產品在各種場景下的安全風險。需要量化安全風險的概率，而這需要時間和數據來支撐。從安全企業側來說，不同場景下，安全企業需要與保險業共同就場景特性制定相應的風險量化模型，這是風險量化的起步支撐。

在這種環境下，改進和展示安全控制的有效性至關重要，無論是對于希望提高網絡彈性和監測能力、同時提高其保險資格的企業，還是對于需要通過確保準確性來最大限度地減少自身風險的保險公司。相關關鍵因素包括：

•  多因素身份驗證
•  端點保護
• 受限的管理員權限
• 修補操作系統/應用程序
• 員工安全意識
• 定期備份
• 經過測試的業務彈性規劃
• 災難恢復計劃

Forrester Research 在其于今年4 月發布的《2022 年頂級網絡安全威脅》報告中指出，隨著風險信息的改善，保險公司很可能會納入新的承保要求，并對風險控制和安全計劃成熟度進行更嚴格的審查。如前所述，許多保險公司已經在進行這種更嚴格的承保流程。如果其他行業的保險流程可以作為參考，隨著企業開始改進其網絡風險的管理和監控，保險公司將改進其風險定價模型，并以更優惠的保險成本和條款服務那些更高級別安全水平的企業。

眾安科技網絡安全事業部、眾至網絡安全聯合共創實驗室負責人秦峰在接受安全419采訪時就表示，與車險、健康意外險等等有相應的責任判定機構而言，處于起步階段的網絡安全保險在這方面仍有巨大差異。所以，賠與不賠的責任界定，也是網絡安全保險目前階段的落地難點之一。比如說是安全產品的問題，還是風險意外問題，又或者是存在主觀惡意問題。

同時還有價值定義方面的難點，“網絡安全產業幫助企業保護的數字資產價值到底是多少目前難以具體評估，這也影響一定的參照依據是否準確適用。網絡安全企業在接到安全評估、滲透測試類服務時，需要對標的物進行界定，從網絡安全保險角度來講，同樣需要做出界定，因為這將決定保險保額。”秦峰說道。

基于以上，不斷變化的市場買賣雙方對網絡安全的需求無疑將推動保險市場不斷進行調整。

Peter Woollacott評論道：“目前，網絡安全保險行業正在全球范圍內推動安全控制。即使立法者、監管機構和法院都在加碼，保險公司仍將尋求提高其風險定價信息的質量來設定安全條款。企業應盡可能去增強其安全控制和態勢，與網絡安全保險形成良性配合，共同完善安全建設體系以提高安全水平。”

網絡安全保險需要生態閉環彼此理解支持，秦峰指出，保險公司則作為承保主體，保險產品指向具有可保利益，進一步凸顯其重要性。網絡安全企業則能夠去補充保險公司在網絡安全技術能力上的不足，以及在承保期間，對于用戶風險監測能力的不足。投保用戶收益則尤為顯見，如果出現殘余風險或意外，在投資回報方面會有兜底保障。

就國內市場而言，現階段處于網絡安全保險市場培育期，需要各方以坦誠包容的態度共同致力于市場的做大做強。待市場成熟之后，各個角色自然會有自己的市場空間和地位。