方濱興:網絡安全保險保障數字經濟高質量發展
近日,中國工程院院士方濱興在《中國網信》雜志創刊號發表文章《網絡安全保險保障數字經濟高質量發展》。以下為文章全文:
中國工程院院士
哈爾濱工業大學(深圳)計算機科學與技術學院教授、首席學術顧問
中國中文信息學會理事長
中國網絡空間安全人才教育論壇理事長
中國網絡空間新興技術安全創新論壇理事長
習近平總書記指出,“沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。”網絡安全事關國家安全、經濟社會發展和人民福祉,是一項極端重要的工作。隨著網絡化、智能化程度不斷加深,數字化轉型持續推進,網絡空間安全風險格局加速演變,網絡安全風險成為數字時代最大的風險。
網絡安全保險作為風險轉移的重要手段,在轉移殘余風險、優化資源配置、保障組織財務穩定性和業務連續性等方面發揮著重要作用,可以有效聚合各方力量,共同提升網絡安全風險治理水平,為數字經濟發展和建設網絡強國提供重要支撐。
1 網絡安全保險概述
1.1 網絡安全保險的定義
作為針對數字經濟特定風險的新險種,網絡安全保險是以投保人信息資產安全性(信息的完整性、機密性、有效性等)作為保險標的的保險產品。其本質是傳統財產保險在網絡空間中的延伸。網絡空間可參與保險的資產要素包括設備、系統、應用、數據、人員、組織等。根據不同的風險轉移需求,保險公司會開發系統/算法失效險、數據安全責任險、網絡安全綜合險等不同的網絡安全保險,并結合行業特色需求,根據能源、金融、通信、醫療等不同行業設計定制化保險方案。
目前,網絡安全保險承保的網絡事件類型豐富多樣,包括數據泄露、數據損毀、勒索軟件攻擊、拒絕服務攻擊、惡意軟件、病毒、網絡敲詐、人為錯誤、編程錯誤等多種網絡事件。
1.2 網絡安全保險的必要性
邁克菲(McAfee)和美國國際戰略研究中心(CSIS)聯合公布的研究報告顯示,2021年網絡犯罪使全球經濟損失超過1萬億美元。國內網絡安全態勢同樣面臨嚴峻挑戰。據國家互聯網應急中心(CNCERT)報告數據顯示,2020年,CNCERT協調處理各類網絡安全事件約10.3萬起。受害企業遭受了數據泄露、營業中斷、財務勒索、數據損壞等重大損失。網絡攻擊已經成為國內企業數字化轉型面臨的最大風險之一。
對于網絡攻擊,用來“防患于未然”的成本比事故發生導致的損失要低得多。目前,企業通過購買網絡安全產品,可以抵御大部分基礎網絡安全風險。然而,由于網絡安全產品供應商和網絡用戶之間的信息不對稱,用戶對網絡安全產品缺乏清晰認知,導致網絡用戶只愿意以平均價格來購買網絡安全產品,促使安全防御功能多、價格高的網絡安全產品逐步退出市場,網絡安全產品為企業帶來的風險抵御效用隨之降低。
圖一 網絡安全投入效用曲線
根據網絡安全投入效用曲線(見圖1),企業在購入網絡安全產品后就具備了一定的網絡安全成熟度水平,同時,為購買安全產品所付出的增量開銷也抵消了降低風險所挽救的預期損失,再增加安全投入會造成所付出的增量部分抵消不了所挽救的預期損失情況。此時,可以選擇通過購買網絡安全保險的方式轉移殘余風險。
事實上,法律規范并不能完全制止網絡安全犯罪的發生,安全手段也無法確保百分之百安全。如果依靠完備的安全計劃可以解決63%的安全風險,剩下的37%安全風險則可以轉移給保險機構。
1.3 網絡安全保險的重要性
網絡安全保險作為風險管理的重要財務手段,可以從五個層面助力構建新型網絡安全生態。
一是提升風險管理,在戰略組織層、核心業務層以及戰術系統層進行風險管理賦能。
二是降低社會總成本。網絡安全保險和服務能夠培養被保企業的風險意識,賦能企業的網絡安全整體防災水平,并可通過保險的責任轉移機制來打破企業在應對網絡安全過程中所形成的對抗僵局,從而有效降低網絡安全事件發生的風險。
三是為企業標注安全標簽。保險公司在為投保企業進行網絡安全風險評估的過程中,不僅促進企業提升自我保護意識,還為參保企業賦予了精準的安全標簽,以反映企業的網絡安全防御水平。
四是落實企業社會責任。個人信息保護法等一系列法規條例的出臺,規定了企業在網絡安全方面的社會責任,對擁有用戶數據但不具備網絡安全應對能力的企業來說,網絡安全保險將是一個有效的運用工具。
五是為安全產品背書。對于安全產品提供商而言,網絡安全保險可以給其產品的可信度背書,即通過所附贈的保險額度來展現其網絡安全防御實力。
2 網絡安全保險行業發展現狀
2.1 國外網絡安全保險處于快速發展階段
20世紀90年代,網絡安全保險在美國、歐洲等地區出現并快速發展。來自美國政府問責局的信息表明,在2016~2020年,其主要用戶集中在電信、互聯網、教育、醫療健康等行業,覆蓋率均超過50%;2016~2019年,直接保費總額增加到31億美元,2019年比2016年增長近50%。
根據美國全國保險專員協會(NAIC)發布的網絡保險報告顯示,2020年網絡安全保險市場規模約為41億美元,比上一年增長近30%,其中勒索軟件是網絡保險成本上升的最大原因之一。美國前十大保險集團占據了網絡保險市場近68%的份額。另外,歐盟《通用數據保護法案》(GDPR)的正式生效,也成為促進網絡安全保險爆發性發展的一個催化劑。
2.2 我國網絡安全保險處于起步階段
近年來,我國有關網絡安全保險的政策開始受到關注。2019年9月,工信部發布的《關于促進網絡安全產業發展的指導意見(征求意見稿)》中提出要“探索開展網絡安全保險服務”。“十四五”規劃和2035年遠景目標綱要提出,培育壯大人工智能、大數據、區塊鏈、云計算、網絡安全等新興數字產業,催生新產業新業態新模式。
2021年7月,工信部發布的《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》提出要“探索開展網絡安全保險。面向電信和互聯網、工業互聯網、車聯網等領域,開展網絡安全保險服務試點。加快網絡安全保險政策引導和標準制定,通過網絡安全保險服務監控風險敞口,鼓勵企業構建并完善自身網絡安全風險管理體系,強化網絡安全風險應對能力”。
國內相關政策的陸續出臺,為我國網絡安全保險的發展營造了良好的政策環境。因此,網絡安全保險行業發展將迎來發展機遇,有望成為一個千億級別的新興業務領域,將助力我國數字經濟可持續健康發展。
在早期,外資財產保險公司依托其在國外市場的先進經驗以及較為成熟完整的風險管理體系開拓了中國的網絡安全保險市場。近幾年,我國財產保險公司在借鑒國外產業發展經驗的基礎上,通過與專業的第三方網絡安全量化風險管理服務機構建立戰略合作關系來提升其風險評估和風險定價能力,充分發揮其本地市場的競爭優勢。
國內保險公司已經構建了以“風險管理服務+網絡安全保險”主動型風險管理為核心的保險服務生態,這是一種以第三方科技公司的風險量化管理技術賦能傳統保險業的新興業務模式。第三方風險量化管理公司作為保險服務生態中的關鍵一環,以專業的網絡安全技術能力、場景化評估分析能力和數據整合分析能力,協助保險公司和被保險企業審查風險累積水平并實施網絡安全風險管控。
當然,國內還有網絡安全公司直接提供保險的案例。但從長遠來看,這種方式并非長久之計。因為網絡安全公司從事網絡安全保險業務,容易形成自我博弈的悖論:在出現險情后如果賠償,則意味著承認自身網絡安全能力薄弱;如果拒賠,則讓保險業務失去信譽。同樣,在承保采用其他企業提供安全產品的業務時也會引入“有色眼鏡”,所收取的保費將會高于采用本企業網絡安全產品的情況。這就會被質疑其保險業務的公正性。
2021年10月11日,西安,觀眾參觀2021年國家網絡安全宣傳周網絡安全博覽會。
3 網絡安全保險模型與實施途徑
3.1 網絡安全保險模型
目前,保險公司難以通過該業務獲得最佳溢價,且無法準確地將網絡安全風險量化為有吸引力的保費。其主要原因在于:一是網絡保險的保費數據因其商業敏感性而很難在公共領域獲得;二是網絡系統的演變性及網絡攻擊的演變性使得網絡安全風險難以預測,一個受損系統可能會影響其他系統的風險;三是網絡安全保險的合同雙方由于缺乏充分的信息,在確定有關保險條款時存在信息誤差,會引發由投保企業主導的逆向選擇和投保企業的道德風險問題。
斯凱奇(Skeoch)提出了一個基于戈登-洛布(Gordon-Loeb)模型來構造的、關于競爭性網絡安全和網絡保險投資的GL-CI網絡安全保險模型。戈登-洛布模型的基本思想是尋求信息安全最優投資增量,公司僅關注中等脆弱性而非最脆弱的信息,公司只拿出預期損失的一小部分來進行保險投資以求預期回報最大化。模型旨在為管理者提供一個分配信息安全資金的框架。CL-CI網絡安全保險模型則簡化了現實生活中安全投資問題的復雜權衡和決策原則,提出在保險介入到企業的預期安全收益效用時其與安全投資之間的關系。
3.2 網絡安全保險實施途徑
網絡安全保險并不是簡單的產品,還需要提供與之相匹配的全周期服務。保險是風險管理的必要手段,服務則是風險管理的重要依托。與傳統的健康保險、汽車保險等被動式保險模式不同,網絡安全必須采取“風險管理服務+網絡安全保險”的主動型風險管理模式,需要為投保客戶提供從網絡安全風險評估到風險預防管理和安全事件管理的承保前、承保中、出險后的全方位安全保障,從源頭降低出險率,幫助客戶減少由網絡安全事故帶來的損失,實現“不出險、少出險、出小險”的目標。
承保前的風險評估通常有三個環節。
一是網絡安全風險的自動化評估環節。該環節屬于非配合式評估,主要是利用安全掃描、資產探測、第三方威脅情報分析等技術或手段,研究企業暴露在互聯網端的安全狀況和風險敞口大小,為保險公司可否對之承保提供技術研判支持。
二是網絡安全能力評估環節。一旦確定進行承保,則著手進行配合式網絡安全能力評估,即依據投保的視角,從合規遵從、組織架構、制度體系、技術措施、人員培訓等方面對投保對象的網絡安全成熟度進行評估,評估結果也可以為用戶的網絡安全能力建設提供參考。
三是基于場景的量化風險評估環節。當醞釀場景險的時候,則需要針對特定場景或指定的控制措施采取專項評估,以采取與潛在風險相適應的配套安全措施。在此,需要根據威脅源、攻擊方法、脆弱點、安全事件及負面影響這5個評估要素來計算特定場景的風險值。
在承保過程中,需要強化風險預防管理,并進行持續風險監測,還需要進行安全意識培訓,各種合規配置訓練等,從而將風險控制在一個特定的程度范圍。
在出險后,則需要提供應急響應、數據恢復、公關法務等服務,還包括理賠、溯源、信息采集等必要操作。
對于保險公司來說,打造“風險管理服務+網絡安全保險”的主動型風險管理解決方案,需要解決可不可保、如何定價以及如何盡量不出險的問題。因此,保險公司需要通過與獨立的第三方風險量化管理公司合作,為投保企業提供承保前的風險量化評估和承保后主動損失防御服務,以降低企業出險概率及出險后的損失。
4 網絡安全保險發展對策建議
在網絡安全領域引入保險機制,是解決我國網絡安全風險問題,提高網絡安全風險治理能力的新途徑。目前網絡安全保險市場仍然面臨著許多挑戰,如網絡風險定義不夠清晰、缺乏一致性,網絡安全事故或損失歷史數據有限,以及企業對網絡風險和保險責任覆蓋范圍認知程度有限等。
為加快推進網絡安全保險在我國落地發展,充分發揮保險風險轉移作用,帶動重點行業、重點領域網絡安全保障能力快速提升,發展壯大網絡安全產業體系,提出相關對策建議。
4.1 加強頂層設計,引導網絡安全保險規范發展
研究和制定促進網絡安全保險業發展的相關戰略規劃,加快網絡安全保險法規、政策出臺,指導網絡安全保險市場發展。
鼓勵產學研協同合作開展網絡安全保險服務標準化研究,組織制定網絡安全保險行業標準及規范。
健全數據泄露等網絡安全事件懲罰制度,推動互聯網服務提供商、關鍵信息基礎設施運營者、數據中心等加大對網絡安全保險的重視程度和投入力度,引導其將網絡安全風險轉移到資本市場。
鼓勵支持保險公司開展網絡安全風險評估、風險損失量化、保費和理賠定價體系等研究,對互聯網安全保險產品優先審批備案。
4.2 加快網絡安全保險支撐技術創新和服務保障體系
推動網絡安全技術范式創新,實現功能安全可定制、可度量、可檢驗。
構建“保險+風險管理+服務”綜合業態,實現保險產品創新與網絡安全服務深度融合,促進具有內生安全屬性的網絡安全產業技術發展。
推動研究機構、保險公司和網絡安全公司等相關單位加強合作,建立安全漏洞、威脅信息、安全事件等風險數據共享機制,定期發布網絡安全風險報告。
組織開展網絡安全保險相關學歷教育和社會化培訓,加快培養網絡安全保險人才。
4.3 豐富網絡安全保險產品供給
鼓勵保險公司開展保險產品創新與風險管理服務優化,強化網絡安全保險供給能力。面向不同行業差異化風險管理需求,開展風險場景研究,推動網絡安全保險場景化并開發專項保險產品。
4.4 促進網絡安全投保需求釋放
積極發揮引導作用,構建“強制、補貼、鼓勵”三位一體的政策支持體系。比如,為中小型企業提供網絡安全保險購置減稅政策、保險購買補貼政策等,以鼓勵中小型企業主動投保網絡安全保險;針對開展網絡安全保險的保險公司推出獎勵或補貼政策;面向網絡安全需求迫切的重點行業,開展網絡安全保險試點工作。
4.5 加大網絡安全保險服務的宣傳推廣力度
充分利用國家安全教育日、全國保險公眾宣傳日、國家網絡安全宣傳周等全國性宣傳機會,開展網絡安全保險相關宣傳教育活動,介紹網絡安全保險的承保范圍、真實案例、作用意義等。
挑選保險服務發達、安全程度較高的區域和行業,開展網絡安全保險服務試點,總結試點經驗,形成可供全國推廣的網絡安全保險服務模式。
