美国最大信用机构被黑,网络安全险千亿蓝海市场待开拓
上周,美国最大的信用评级机构Equifax被曝系统受到网络攻击,1.43亿美国居民的个人信息面临被泄露的风险,美国总人口数量为2.23亿,这意味着此次网络黑客事件在美国的覆盖面高达64%。
据相关人士透露,Equifax有就网络安全险、犯罪防护险以及一般责任险等险种进行过投保,此次事故发生后,他们已经和保险公司展开了理赔相关的谈判。据估计,Equifax所投保保单的总保额在1-1.5亿美元之间。虽然Equifax在此次事件中遭受到损失的具体数额我们无从得知,但根据之前的网络攻击事件来推算,这个数字恐怕会比1.5亿美元大得多。这一次,处于起步阶段的网络安全险没能帮助Equifax全身而退。
自上周五消息被曝出之后,Equifax的估价一度暴跌16%,此后略有回升。但当保险无法覆盖其损失的消息在周一被放出后,Equifax再度遭遇大跌,周五以来的累计跌幅超过了21%。
此次Equifax事件并不是今年的第一起大型网络安全事故,在过去的八个月中,还发生过由WannaCry和Petya这样的勒索病毒造成的全球性的网络安全事故。这些事故对全球互联网造成了大范围的危害,带来了严重的经济损失。一些受此波及的公司,在被攻击后的几周甚至几个月内都无法恢复正常。 如果公司规模不够大,无法建立一个属于自己的完善的内部网络,大部分公司无法抵御恶意的网络攻击。有些软件公司可以为企业客户提供系统设计和维护服务,通过建立多重模块和平台,加强企业系统的安全性。但网络安全技术和黑客技术是同一枚硬币的正反面,企业级系统维护也无法做到百分之百的安全。此时,网络安全险这一新兴险种的重要性就体现出来了。 在Equifax的例子中,不知是因为网络安全险的精算模型还不成熟,保险公司没能准确的估算网络风险会带来的潜在损失,还是因为Equifax在投保时选择保额太少,导致最终的理赔款无法覆盖该公司的所有损失。但若是没有网络安全险,只怕Equifax的损失大幅还会增加。 网络风险无异于企业组织面临的其他风险种类(比如火灾、盗窃、洪灾、停电、责任),因此通过保险来对抗网络风险以及相关的经济损失是符合常理的。针对网络风险的保险在国外被称为网络责任险(Cyber Liability Insurance Coverage, CLIC)。2014年,全球因网络犯罪而遭受到的经济损失高达3750亿-5750亿美元。而每家企业因数据泄露事件遭受到的平均损失高达300万美元/起。网络安全险的庞大市场体量可见一斑。 然而,这个市场的余量还很大,2016年全年,美国的传统保险公司对网络安全险的承保总额仅为13亿美元。这一数字有望在2022年达到140亿美元。有调查报告显示,年收入处于10-50万美元区间的中小企业,其每年保费支出处于800-1200美元区间;年收入超过百万美元的企业,其每年的保费支出会超过10万美元。安联集团预计这些企业的保费支出会在未来不断上升,并在2025年达到最快增速。美国的保险行业组织——保险信息协会(Insurance Information Institute,简称iii)预计,未来网络犯罪风险将是企业面临的第三大风险。 就目前情况来看,传统保险公司的资源有限,无法满足企业客户日益增长的网络安全险需求。保险公司在计算网络安全险的保费时,有几个关键因素是必须考虑的,比如投保公司的业务种类、数据的隐患(对于黑客的吸引力)、企业规模以及企业年收入等。但是如何用标准化的流程评估企业面临的网络风险敞口,业内还没有定论。 目前,大多数保险公司是通过问卷调查或者第三方上门评估的方式来预估投保企业的网络风险,这些方式需要投入大量的时间和金钱。因为网络安全险这一险种还不够成熟,整个领域内缺少经验丰富的专业人才进行高效的风险评估。大多数情况下,上门评估都是由保险公司和安全咨询公司的基层人员用非标准化的方法进行评估的。 保险公司或许自己对于这一新兴险种就是保的是什么,以及如何定价还不清楚,因此该领域还略显低效。大家对于企业系统“安全”的定义以及导致系统存在弱点的因素存在相左的意见。如何掌控网络风险也是一门需要深入研究的学问。 好消息是,现在有研究机构正在开发高级模拟系统,通过模仿不同维度和方式的网络攻击来评估投保企业的网络安全程度。这一模拟系统会根据模拟进攻的结果为企业制定一个网络风险评分,这一评分的制定是基于如NIST、CVSS3.0和DREAD模型等这类被广泛接受的风险计算方法的。 这一模拟系统技术有望大幅度提升保险公司对于网络安全险的定价能力,他们可以在几个小时内完成对投保公司的分析,获取该公司的网络风险评分,从而决定是否承保,并且确定保额总量以及保费水平。 此外,通过统一的评分标准来评估网络安全险投保公司,可以降低保险公司的风险敞口水平,在为企业客户提供足够保障的同时,让保险公司获得足够的利润,让整个网络安全险种能够进入一个正反馈的发展轨道。
