互联网保险观察 > 海外 > 正文

量化网络风险,Cyence能带领保险公司击败黑客吗?

2017-08-24 10:43
作者:张翀
来源:互联网保观

Cyence是一家致力于量化网络风险的创业公司,他们为保险公司打造了一款数据分析平台,帮助保险公司对网络风险这一新兴险种进行建模和定价。其分析平台和解决方案可以让保险公司更高效地选择、勘测和管理网络风险,并且引入动态风险定价,帮助保险公司能够灵活应对快速变化的网络风险。

 

团队和融资

 

Cyence是由ArvindParthasarathiGeorge NG2014年联合创立的。两位创始人都是技术出身,Arvind毕业于麻省理工学院,曾创立了数据挖掘技术公司Yarc Data,利用大数据和人工智能为企业指引发展之路。George毕业于加州大学欧文分校,他曾担任Yarc Data的首席数据科学家。两人在看到网络风险市场的巨大潜力后,携手离开原公司,建立了Cyence

 

Cyence20169月获得了4000万美元的A轮投资,该轮投资由DowlingCapital Management和恩颐投资(New Enterprise Associates)领投,InstitutionalVenture Partners跟投。

 

网络风险建模的痛点

 

越来越多的大型企业开始意识到,网络安全风险不仅仅是一项技术难题,更是企业面临的商业风险之一。企业应对和管理网络风险,不仅要通过技术手段来防范和减轻风险,还需要利用保险产品来转移风险。保险经纪公司Marsh的研究报告显示,目前全球网络安全险的市场规模超过了30亿美元,并且预计将在未来几年内翻倍。

 

但是网络风险的评价和建模方式和传统风险有着很大的不同,保险公司在开展网络风险业务前,往往会受困于该险种异于传统的分析逻辑,无法有效地对风险进行定价。Cyence认为原因有三,这三点正是保险公司目前在网络风险领域经历的痛点。

 

1、数据收集的痛点

 

建立网络风险模型的第一个挑战就是数据。保险业的传统建模方法中,数据是取自权威统计机构的。比如美国保险公司在评估地震风险时,会从美国地质勘探局(USGS)获取地震相关的数据;在评估飓风和热带风暴风险时,会从国家海洋和大气局(NOAA)获取相关数据。对于上述这些自然灾害来说,风险相对来说处于稳定状态,同样的风险模型可以用上十几年。

 

而对于网络风险来说,并不存在一个可以提供大量数据的权威统计机构。而互联网的发展是动态而又迅猛的,随着技术的发展,互联网本身的构造也越发复杂。网络风险也会随着互联网的发展而大幅波动,不断变化,不断进化。所以,建立网络风险模型时,保险公司不仅需要想方设法收集相关数据,还需要在一个动态的、实时变化的大环境下跟上网络风险发展的脚步。

 

数据收集和风险建模相辅相成,并且会互相影响互相反馈。一个优秀的网络风险模型是可以在两者间建立起可持续发展的正反馈闭环的,随着数据量的增加,模型的准确度会越高,而更高的正确度会带来更有意义的数据,从而进一步提升模型的准确度。

 

2、人和流程的痛点

 

网络风险建模的第二个挑战就是在分析好技术原因之后,分析人和流程。任何首次接触网络安全领域的人,都会首先关注技术层面的原因,这也是情理之中的,毕竟网络风险是基于网络技术发展产生的。但是大多数网络安全事故发生的直接原因是涉及人为操作和流程的。

 

有部分网络安全事故是由内部人员故意造成的,比如说对公司愤愤不满的员工,他们可以轻而易举的接触到公司的重要数据。另一个造成网络安全事故的主要原因是操作上的意外或失误,比如有人忘了关电脑、点击了恶意链接或者无意间透露了自己的账号密码等。这些原因所造成的网络安全事故是与技术层面无关的。

 

IBM2014年的研究显示,95%的网络犯罪事件都或多或少夹杂这人为失误的因素,而这些失误中又有59%是属于无心之过。

 

网络风险模型需要关注纯技术以外的因素,让整个模型也能反映人和流程的问题。这才能创造出一套完整的由数据驱动的网络安全险解决方案,让保险公司能够清晰地全方位地看懂网络安全险。

 

3、整体化痛点

 

网络安全产业包含了繁多的参数、标准、基准和评分等技术性指标,这些指标用来描述僵尸网络、垃圾邮件、系统缺陷、配置错误等状况对某公司系统和网络安全的影响。同时,这些指标和状况可能带来的潜在影响还和一个因素有关系,那就是发生网络攻击的可能性。

 

保险公司需要一个描述网络风险的量化经济模型,该模型不仅能预测网络攻击的频率(可能性),还要能对网络攻击的严重性、可能造成的经济损失以及二次攻击的可能性等性质做出预测。

 

此外,因为保险公司关注的往往并非是一家公司,而是整个行业或者整个公司组合的网络安全表现,所以网络风险模型还要能够反映风险累计后产生的综合经济效应,从而让保险公司可以有详实的依据在网络风险领域做出决策,即满足投保人的需求,也能达到股东的期望。

 

Cyence平台——动态、量化

 

Cyence数据分析平台的目标正是为了帮助保险公司解决上述三个网络风险的痛点。

 

用户背景、网络流量、技术基础设施、恶意软件防护、敏感信息的内部处理流程、事故应对措施、员工行为和专业知识等因素共同组成了公司的网络风险档案。虽然保险公司可以通过购买报告来了解部分信息,但是就如上文所述的,网络风险是一个高度动态化的风险系统,传统的调查报告耗时较长,数据的准确性和即时性往往会有所折扣。Cyence则开发了一个多样化可扩展的数据引擎,该数据引擎能够以非侵略性的方式收集特定公司人员和机器的数据,从而创造出客观真实并且具有实时性的风险评测模型。为了和网络风险的动态趋势匹配,Cyence这一配备了数据引擎的平台,也会实时校准模型,最大程度地精准分析网络风险。

 

Cyence还会对一些过往的网络安全事故进行分析。在最近Cyence和劳合社联合发布的报告中,Cyence对一起重大的网络风险事故进行了量化分析。在这起事故中,黑客攻击造成全球云服务器宕机,最终在全球范围内造成了530亿美元的经济损失。如此巨大的经济损失已经超过了2012年飓风桑迪所造成的500亿美元损失,更令人唏嘘的是,该起云服务器宕机事件中,大多数受害企业并未投保网络安全险,因此他们无法获得理赔,只能自己承担这些损失了。

 

2017年爆发了两次勒索病毒事件,是网络风险恶劣影响的最新体现,第一次是3月份出现的Petya病毒,导致俄罗斯和丹麦等国家的大型企业,甚至是乌克兰政府系统遭到了攻击。第二次是5月份出现的WannaCry病毒,让150个国家、30万名用户遭到了攻击。据Cyence的估算,Petya病毒造成了8.5亿美元的损失,而WannaCry更是在全球范围内造成了80亿美元的经济损失。

 

Cyence预估,网络安全险的保费规模将在2020年达到75亿美元。

 

随着网络安全事件发生频率的增加,以及大型企业面对网络安全事件的敞口风险日益增长,我们相信,保险公司和企业都会进一步加强网络安全险产品的开发和部署。而随着人工智能以及自动驾驶技术的快速发展,网络系统的安全性将会成为人们生活和出行解决方案可靠性的重要评价标准,因此,Cyence的预估在未来极有可能成为现实。

 


Copyright ©2016 互联网保险观察