为网络安全险定价,保险公司首先要知道这些!
1992年,安德鲁飓风席卷佛罗里达州的南海岸,导致了数十人伤亡的惨剧,并给当地政府造成了高达250亿美元的损失。这次飓风灾难也暴露了财险公司的一个致命弱点——他们未能提前对自然灾害的潜在损失进行量化计算。准备不足的保险公司在灾难发生后几个月的时间里,陆续遭受到了严重的损失,其中甚至有几家最后倒闭了。
如今,保险公司希望对一个全新领域的潜在巨灾做好全方位的、特别是经济方面的准备,这个潜在的风险就是网络灾难。对于这种人为创造的灾难,1992年飓风灾难的部分经验和教训依然有用,但从本质上来看,网络灾难和自然灾难是两个完全不同的问题。
包括AIG和丘博在内的大型保险公司自上个世纪90年代后期就已经开始提供网络安全保险服务了。到如今,已经有80余家保险公司提供此类服务,网络安全保险产品的重点大都集中在数据安全领域。随着近些年重大网络安全事故的频繁发生,大型企业的领导开始意识到,黑客已经对企业的网络安全形成了不可忽视的威胁,网络安全险的热度也因此上升。据普道永华的估算,全球企业的网络保险保费支出在2015年达到了27.5亿美元,这一数字在2020年将达到75亿美元。
但是保险公司依然还在探寻网络安全风险的本质,依然在优化保单条款,希望为潜在的网络灾难做好万全准备,从而不会在网络灾难爆发之时暴露自己的弱点。
创业公司Cyence是一家创立于三年前,致力于帮助保险公司进行网络风险建模的公司,其CEO,Arvind Parthasarathi表示:“人们已经开始将网络安全风险视为一种商业风险,而非单纯的技术问题了。这意味着大家已经认识到,网络安全风险并不是一个有着明确解决方案的难题,而是一个需要通过管理来防范的风险。现在企业领导人们的问题是‘对这个风险应该防范到何种程度?’”
保险公司在为网络风险保险产品定价时,也在问着相同的问题。现代的网络风险非常复杂,而且进化速度极快。对于保险公司来说,最迫切的任务是量化网络灾难波及到所有投保人时的损失,估算最坏情况下的最大损失。这也是1992年安德鲁飓风灾难发生前,大多数财险公司没能做到的。
但是在网络风险领域中量化安德鲁飓风这种级别的大型灾难是很难的,因为这类网络大灾难还没有发生过。或许我们可以从去年的一场网络灾难中一窥网络巨灾的威力。去年十月,黑客感染了网络摄像头、数字录像机以及其他物联网设备,对美国的域名服务器管理服务供应商Dyn发起了DDoS(分布式拒绝服务)攻击,导致了Amazon、Netflix以及Spotify等网站宕机,几百万美国网民在长达几个小时的时间内无法访问平时的常用网站。
Dyn遭受到的这次攻击造成了多大的损失,我们还不清楚。但是根据Cyence的估算,今年2月28日,持续了4个小时的Amazon S3(亚马逊云端资料储存服务)中断事件,导致美股上市公司遭受到了至少1.5亿美元的损失,而这次事件还不是网络攻击,仅仅是一次意外事故。由此看来,大规模网络攻击恐怕会造成数十亿美元的损失。
针对基础设施的网络攻击也不容忽视,比如去年十二月,一次黑客攻击造成了乌克兰首都基辅的大部分电网瘫痪,有人认为该事件幕后主谋是俄罗斯政府,是他们雇佣了黑客发起的这次攻击。伦敦劳合社最近模拟了一个假设情景,并对其进行分析。在该情景下,整个美国东北部地区的供电设施因网络攻击而瘫痪,导致9300万人无电可用。劳合社表示,这种类型的灾难给保险公司带来的损失将在210亿至710亿美元之间波动,如此大范围的波动也表明,为网络风险精确定价非常困难。
从上个世纪90年代开始,保险公司花了15年的时间来收集数据,才建立了自然灾害风险模型。面对网络灾害,保险公司要做的事情与当时非常相似,虽然数据的收集速度更快了,但是现在的数据太杂太乱,这样让保险公司很难高效地整合信息以及判断行业趋势。
自然灾害和网络灾害有很多的不同,其中最主要的一点就是,网络灾害是人为的,而非自然现象。黑客会不断改变其战术、技术以及攻击目标来击溃网络防线。Cyence公司认为,网络安全保险的难点在于理解对手的思维。该公司利用博弈论和行为经济学中的理论来对黑客攻击者的行为进行了建模分析。
对于保险公司来说,掌握数据的地理分布也是评估网络攻击的关键环节。BitSight是一家数字资产地图公司,他们为互联网虚拟资产的分布绘制地图,并会对拥有这些资产的组织进行安全评级。其首席技术官Stephen Boyer表示:“保险公司需要提前知道,那些有价值的数据存储在哪里,以及数据的主人是否配备了周全的保护措施。”
最后,保险公司还需要从1992年安德鲁飓风事件中吸取的一个教训是,不要为佛罗里达州海岸线上的所有人提供同一份保险。在网络安全险的情景下,就是调查清楚所有投保人面临的潜在风险是否一致,比如不要为所有使用亚马逊AWS(亚马逊公司旗下云计算服务平台)的公司都提供相同的保险服务,否则一旦亚马逊AWS遭到攻击,所有的客户都会进行理赔。
