54%高增长巴菲特称不懂，网络安全保险，外资众安阳光平安...还有谁敢来？

随着各行业纷纷进行数字化转型，在“万物互联”的时代，企业和个人面临的风险也逐渐由传统的火灾、盗窃，自然灾害等向网络攻击、个人信息外泄、虚拟资产损失等演化。

全球网络安全保险保费增长强劲

在非寿险领域，全球保费增长最强劲的，莫过于网络安全保险（Cyber Insurance）。2007年全球大约只有17家保险公司承保网络安全保险，年保费收入仅3.5亿美金。到了2017年，该业务“玩家”已经达到了65家，保费收入高达35亿美金。最火爆的当属美国，Fitch数据显示，2017年美国网络安全保险（包括主险和附加险）保费合计同比增涨54％，达到21亿美元。

数据来源：《金融时报》Cyber attacks: the risks of pricing digital cover 2018

摩根史坦利预测，到2020年，全球网络安全保险市场规模将会达到80亿-100亿美元。

AM Best的数据显示，全球网络风险市场份额第一位的是Chubb保险集团（被ACE收购之后中文名改为安达），直接承保收入在2017年增长了112.9%，达到了2.84亿美元，但是其中94%是以附加险形式。

AIG (美国国际集团) 网络安全保险保费收入虽然在2017年微降0.3%，但是仍然以2.27亿美元的规模位占主导地位，其网络安全险的主险保单（Standalone）在全球占最大份额。

XL Catlin (信立集团) 的网络安全保险直接承保收入增长了10.6%，达到1.78亿美元，占据其总保费的4%。其他美国公司还有Travelers， Beazley和CAN。

巴菲特：网络风险会更糟

表面上看来，网络攻击频发似乎为保险公司带来新的业务增长点，但事实真的如此吗？股神巴菲特先要站出来泼一盆冷水了。

巴菲特在伯克希尔2018年股东大会上说，他不希望 伯克希尔.哈撒韦（Berkshire Hathaway Inc）在网络安全保险业务上出风头，因为无论是他自己还是行业其他的公司，都没人真正了解网络风险。每年做一些网络安全保险业务，以维持竞争力是可以接受的，但是无意进入行业前三名。

巴菲特称网络风险是那种每年有2%的可能招致巨灾的风险，损失可能达到4000亿美金，甚至更多。这样的灾难会摧毁很多保险公司。伯克希尔力图保持足够低的风险暴露，确保即使遇到这样的大难然能够盈利。

“Buffett said that cyber risk is part of his estimate that every year carries about a 2 percent chance of a super catastrophe that would cause $400 billion or more of insured losses. While that kind of disaster will wipe out many companies, Berkshire will aim to keep its exposure low enough to remain profitable in such a year。” (Source: Bloomberg | Buffett Cautious on Cyber Insurance Because No One Knows Risks 2018.5.5)

他甚至调侃道：“相较于预测电脑黑客袭击而言，我的公司对预测加利福尼亚的地震，或者弗罗里达的飓风，更有把握。如果有人说他知道网络安全风险损失的基数和最坏情景，他完全是拿自己开玩笑。”

但是饱受红海之苦的保险公司，好不容易发现这么大一片蓝海，也是喜忧参半（mixture of delight and fear）。保险公司的担忧主要表现在三个方面

保费定价难

诚如巴菲特所说，网络灾害并非天灾，而是人祸：黑客会不断改变其战术、技术以及攻击目标来击溃网络防线，其风险是动态的。第二个难点在于，网络安全产业包含了繁多的参数、标准、基准和评分等技术性指标，这些种类繁多的指标也加大了保险公司建模的挑战。

Fitch评级也在其2017年的报告中指出，“那些缺乏专业承保经验的独立保险机构，将会在网络安全保险的承保中处于最不利的地位，从而导致其评级下降”。这种网络风险小白（naive capacity），为了追求保费增长，匆忙入场，其实非常危险。

损失预测难

市场专注于对个体事件进行定价，而忽略累加风险。“祸不单行”用在里十分恰当，网络袭击带来的连带风险事件往往非常难以估量。

金融时报（Financial Times）不久前报道过一家名为Lloyd’s and Guidewire Cyence的风控模型公司， 模拟了黑客袭击一家大型云服务提供商，评估结果：服务提供商及其客户遭受了大约150亿至1210亿美元的连带经济损失。他们也模拟了对许多大型公司使用的操作系统进行袭击，平均经济损失约为290亿美元。

网络安全理赔金额也在近几年大幅度上升。美国国际集团（AIG）披露，该公司2017年网络安全保险在EMEA（欧洲，中东和非洲）地区的理赔金额已经超过了前四年的总和。

沉默的网络风险

在普通的财产险保单中，网络风险也是一个暂时沉默的地雷。比如，一个工厂的控制系统收到网络攻击，导致锅炉爆炸，造成财产损失。此类事件，传统保险的理赔范围就比较难以界定。一些监管部门建议保险公司在一般企财险中明确，网络风险是否是除外责任。因为如果不明确说明，如果发生理赔诉讼，法院一般会偏向保护被保险人。

为了应对网络风险的巨大不确定性，许多保险公司采取常规套路控制风险。

比如把网络袭击带来的财产损失作为除外责任，排掉“沉默的网络风险”这颗雷；

控制每张保单的最高保额；

在数据累计不足的情况下，提高分出比例，通过再保险控制风险;

还有一些保险公司试图从客户那里获取更多更详细的信息，以便提高模型定价的准确度。

安联保险网络风险专家Jens Krickhahn表示"网络风险管理非常复杂，并非个人或单独的部门就能解决，因此建议智库，邀请不同利益相关方代表参与进来，共同合作，分享风险管理知识"

中国网络安全保险先行者们

与中国互联网大国地位不相称的是，中国网络安全保险并不发达。直到2015年，美亚保险和安联财险才首次将网络安全保险产品引进中国。2016年初，众安保险推出数据安全险，产品却只面向阿里云用户。此外华泰财险、人保财险也尝试推出了相关产品。但产品设计单一，保障范围较窄。2017年后，入场的玩家又开始增多，包括阳光产险、平安产险等。

安联、美亚：借助国际经验技术

安联财险、美亚网络安全保险承保范围大致类似，主要包括敏感数据外泄（个人及企业数据）、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃等引发的第三方索赔或导致的业务中断以及网络勒索相关赎金的保障。可以说保障非常全面， 产品设计与定价可充分利用其国际经验和专业人才优势。

众安：借助阿里云起步

众安作为互联网保险公司，背靠大树好乘凉。2015年8月，众安携手阿里云，基于企业用户在租用阿里云服务器时对信息安全方面的需求，推出了国内首款云计算保险。在承保前，根据阿里云用户对服务器的使用情况及是否有被黑客入侵的历史记录等进行筛选。投保生效后，一旦用户因网络安全、云服务、硬件设备故障等问题遭受损失，只需向阿里云反馈情况，核实后即可得到赔付，同时还对数据的私密性和销毁性等提供相应保障。

2016年1月，众安保险又与阿里云又推出信息安全综合保险，包含数字资产损失保险和数字资产安全责任保险两部分保障范围，最高赔偿达100万元，保费由阿里云承担。但是硬伤在于该产品是为云服务商的用户度身定制，但保险公司只能通过云服务商才能接触到该客户，因此在产品推广上相对被动。（资料来源：网络安全保险的新兴发展与监管研究 王禹 众安保险 2017）

阳光：上来就敢保8000万

相比之下，阳光产险步子更大一些，公司于2017年9月，面向金融机构、医疗卫生行业、政府事业单位等企业客户推出网络安全综合保险，该产品对单一客户可提供最高达8000万元的风险保障。因计算机恶意行为、恶意软件、操作人员失误、DOS攻击等导致的数据损坏，以及网络勒索、名誉损失、利润损失、数据泄露等风险均在保障范围之内。可以说是国内公司非常勇敢的先行者。

随后的11月9日，阳光产险又与网络安全公司厦门易备安科技有限公司签订协议，达成全面战略合作，在虚拟财产(数据)保险等创新领域展开合作。

平安：“保险+安全服务”

平安入场显得更谨慎，确保找好技术端的合作伙伴，再签发保单。2017年9月，产险总公司和公安部第三研究所（公安部第三研究所承担了信息安全领域的诸多任务，如网络安全领域评估体系建设，信息安全等级保护国家安全实验室，国家反计算机入侵和防病毒研究中心等）、上海嘉韦思信息技术有限公司，就网络安全保险项目框架合作协议，发挥各自专长，打造网络安全保险体系与服务平台。

紧接着，平安产险广东分公司与网络安全公司蓝盾股份合作，推行“保险+安全服务”模式，蓝盾股份为政府、企业、个人网络安全提供的网络安全产品服务体系及安全评估，广东平安产险提供网络安全风险综合保障，尝试搭建了网络安全从安全防范到发生事故进行损失补偿的闭环体系。

归根结底，网络安全保险的难题在于：保险公司试图设计出符合客户需求的产品，但是自己本身该风险认识不足。互联网企业奉行的产品迭代文化，开放共享文化，有助于保险公司寻找到两者之间的平衡。而传统业务中保费至上，抢占山头的做法，可能会遭受重大损失。