网络安全险发展想要更进一步,需要跨越几道“沟渠”?
随着信息数字化技术不断迭代发展,网络安全问题一直备受关注,尽管在技术层面,可以通过软硬件系统升级加强风险防护,但潜伏在网络冰山之下的攻击风险时有发生,多样且层出不穷的网络攻击与意外难以预测,也给守护网络安全带来了诸多不确定性。
因此在该境遇下,各市场参与主体除了从技术层面加强风险防范外,如何避免因为网络安全事故所造成的巨大财务损失也是必要研究课题。而网络安全保险因通过商业保险的形式来转移此类潜在的财务风险损失,也逐渐成为各大企业最大程度规避网络安全风险损失的最佳选择。
那么,目前我国网络安全险发展得怎么样了?销售情况如何?国内网络安全险未来发展前景又如何呢?相信很多人都有不少疑问。
近日我们在直播中连线了前海再保险有限公司高级核保人吕晔楠,吕总在直播中和我们共同探讨了目前我国网络安全险发展情况,同时对于网络安全难度升级,国内网络安全险供需矛盾如何能得到有效解决,以及随着AI技术迭代发展,会对我国网络安全险带来何种新变化等问题上,也给出了非常中肯的看法,本文的主要内容皆来自该场直播。
我国网络安全面临多重挑战,
网络安全险能够提供助力吗?
众所周知,国内网络安全问题涉及方方面面,是非常庞大的系统难题,对不少企业而言,防范网络安全发生重大风险的重要性和迫切性不言而喻。那么,过去一年以来,国内网络安全环境变得如何了?而目前国内企业在网络安全性方面,又存在着哪些痛点?
第一,随着数字化经济的快速发展,不少企业在数字化转型上已经越来越全面了,生产制造也更为智能化和网络化,物联网设备的急剧增长,也促使着网络安全暴露的风险变得更大。
公开数据显示,2023年全球外部应用程序遭攻击的请求数量有7309亿次,也就是说平均一天就有遭受到20多亿次的攻击,相较于上年增长了30%,应用层DDos攻击则同比增长了26%。分地区来看,境外地区增长明显,达到了220%,针对漏洞的攻击数量也达到了416亿次。
可见,无论是网络漏洞的数量,还是网络遭受攻击的频繁程度,全球都呈现出较快增长趋势,而且发生的频率也是高于我们想象的。比如,有不少勒索组织甚至向我国政府金融、能源、医疗等机构的网络发起攻击进行勒索。这些都能让我们真切感受到在全球数字经济发展的同时,网络安全面临的风险也在与日俱增。
第二,对于我国企业来说,网络安全风险与之前所有风险都不太一样,这是因为公司在网络上所遇到的风险总是在变化,新风险会不断涌现而出,而且很多都是来自于人为因素,只要软件一更新,就会出现新的漏洞,这就意味着企业很难用过去的数据来管理和应对实时变化的风险。
此外,从监管层面来看,我国现有约300多项网络安全标准在规范着企业网络运行,如果企业违反了相关规定,就会被处罚,而自身一旦遭受到了网络攻击,可能也说明企业并没有尽到维护网络安全的义务。
因此,我国企业既要面临着每天都在出现的新风险,又有300多个标准需要去遵守,这与其而言,的确是很难做到双面兼顾。
第三,2022年全球网络经济是非网络经济增长速度的两倍,到了2023年该增速直接扩大至了四倍,然而,在随着技术的发展,每个人都受益其中之际,网络安全风险管理也遇到了一个很大的难点,那就是网络安全资源在很不平等的分配着。
众所周知,当下一些较大型的企业,能够获得更多的网络资源,同时也有实力加大对网络安全的投入,并利用数据让其更精准,表现出很强的韧性。一些小型企业由于缺乏足够的网络安全服务工具和人才资源,在网络安全方面与大型企业差距越拉越大,而这种差距也造成了两者在网络安全保险方面所形成的一个巨大鸿沟。
比如,员工人数在十万以上的大型企业,他们购买网络安全保险的比例已经达到了85%,而那些员工数不多的小企业,所购买网络安全险的比例却只有25%左右。
可以明显看到,各大企业规模不同,也意味着他们在对作为应对网络安全风险重要解决方案上的网络安全保险的重视度和承保能力也有很大的差异。那么,如今国内市场网络安全险真实发展情况到底如何?
一方面,从市场规模来看,中国网络安全险与全球市场有所脱节,因为在全球范围内,整个网络安全产业有接近3000亿美元的规模,其中的网络安全保险大概就占据了约200亿美元。
而根据我国工信部报告数据,国内网络安全保险保费规模仅有2.6亿人民币,对比来看,我国网络安全保险市场规模并不大。而且更重要的是,这两亿多的保费中,竟有一半也并不是由中国企业所购买的,而是一些外资在华机构根据自身当地市场要求来购买;甚至还有一部分保费,是由一些科技园区出于对客户风险管理和处置需求进行有效满足而购买的。
另一方面,从理赔角度来看,公开数据显示,2023年我国整个网络安全保险的赔付率预计为20%。而在保险保障方面,国内网络安全险覆盖面还算是比较广阔的,既有财产险的保障,也有责任险的保障,但与国外市场由于外部攻击越来越多,人为操作失误和软件故障导致的网络安全风险不同的是,国内目前可能更多出现的是人为操作失误和软件故障造成的损失。
需求与供给形成“剪刀差”,网络安全险如何破局?
我们知道,由于网络安全问题本身的复杂性和专业性要求较高,所以相比于传统的保险产品,网络安全保险会对产品供给和客户需求两端有着更为严苛的要求。而就目前来看,网络安全险供给与需求的匹配度如何?我国企业对网络安全险的主要需求又有哪些呢?而这些需求目前还能否得到满足?
事实上,当一家企业遭受过网络攻击后,是非常青睐于购买网络安全险,但在询价阶段,却由于缺乏损失记录,客户对保险公司不信任,或是保险营销员不专业等原因,最终导致了企业没能如愿购买到合适的网络安全保险产品。
也就是说,销售网络安全保险本身就存在很大的难度,尤其是在与企业客户沟通的过程中,最一线的销售人员由于不是特别熟悉网络安全保险,从而导致了客户在提出比较专业的问题上,营销人员很难回答上来,未能及时解决掉客户需求。
此外,从网络安全保险产品本身来看,国内不少产品只是保障第三方恶意攻击所造成的损失,大部分保单甚至把人为操作失误还给剔除在外了,但正如前文所提及的,目前国内企业所面临的网络安全损失更多的是由于人为操作失误和软件故障所造成的。
由此,需求与供给形成的“剪刀差”,会让企业觉得购买网络安全保险是一件太遥远的事情,自身所面临太多风险来源,而保险产品却只能保障单一事项,也意味着当未在保障范围内的风险发生后,保险公司可以轻而易举的拒赔,这显然会让企业没有安全感。
从以上分析中,我们也不难感知到国内网络安全保险销售难度非常大,那么于保险公司而言,主要面临的销售痛点有哪些?网络安全险又该如何破局?
其一,在销售触达问题上,目前市场上销售车险和健康险人员数量是最多的,知识储备也非常专业,容易得到客户的信任,但是对于他们来说,去深入了解和向客户详尽解释网络安全险保单各方面内容,依然是比较困难的。这就需要国内市场上尽快涌现出一些拥有比较专业的网络安全保险知识方面的销售人才,不仅具备过硬的销售能力,而且还拥有为客户解释产品的能力。
其二,目前我国网络安全保险产品库还不够大,而且整个保单做的也比较简单,很多内容措辞含糊不清,不够专业,这也意味着这些保单本身还存在着非常大的完善发展空间。
其三,保险公司在销售网络安全险产品之时,很难找到企业具体负责这块业务的联络人。实际上,国内现在很多企业都特别重视网络安全风险,逐渐开始进行风险管理,但由于缺乏数据,企业无法预估在网络安全上需要投入多少资金,以及怎样在内部进行有效的资源分配和信息沟通。
而作为对比,在美国,网络安全险保单上会注明由企业成立的一个集合财务主管、IT主管和首席数据官等十人组成的控制小组,每个阶段会分配一些指标,向总经理汇报公司所面临不同的网络安全风险。
AI带来新风险,我国网络安全险该如何应对?
毫无疑问,如今AI技术发展的如火如荼,应用范围非常广阔,这会对网络安全险产生新的变化吗?这是目前业内外非常关注的方面。
吕总介绍道,在2024年全球网络安全险展望报告中,针对生成式人工智能对目前网络安全险状况有何影响这一议题上,有56%的受访企业认为生成式人工智能有利于攻击者,9%的人认为是有利于己方,而有35%的人则认为是对双方均有利。
此外,有46%的人觉得生成式人工智能会给恶意钓鱼软件的开发者提供深度伪装工具,还有20%的人认为会造成公司信息数据泄露。这一组组数据背后也反映出随着AI技术的发展,人们对网络安全的担忧程度在加剧。
而在如今这样的数字环境背景下,我国网络安全险发展前景到底如何呢?
从需求层面来看,因为网络安全险是随着数字经济的发展而发展,但我国数字经济体量已经达到上万亿规模,每年还在不停的增长,更加标准化的高质量数据持续推陈出新,都在倒逼着企业进行数字化转型。而在这个过程中,新代码每天都会有新的漏洞产生,企业网络安全受到的攻击会越来越频繁,新的攻击方式也越来越多样化,不同系统之间涉及到的风险来源更是非常之多。因此,我国整个社会对网络安全险的需求也会越来越高。
从市场渗透层面来看,英美等发达国家的网络安全保险渗透率约在60%以上,换言之,100个企业中会有60个企业会购买该险种,渗透率非常高。而在亚洲市场,在2016年之前网络安全保险渗透率非常低,比如像印度,甚至在2013年之时只有三家公司售卖网络安全保险产品,而且保障服务还非常单一。
不过,随着社会的发展,印度IT人才开始大规模涌现,同时也有很多教育、医疗等中小企业开始发展起来,数字化程度很高。在此背景下,印度政府为了维护印度作为IT外包市场安全的声誉,从而大力支持国家发展网络安全保险。经过六年时间的高速发展,印度市场网络安全保险渗透率达到了90%以上,在全世界排第六位。
可见,印度在发展网络安全保险的模式,不仅是以财产险为主,而且最重要的是应急响应非常迅速,是非常值得我们国家的中小企业来借鉴。
另外,就连数字经济发展也较快的日本市场,其网络安全保险渗透率也能够达到26%,而作为鲜明对比,该险种在中国市场的渗透率可能连0.1%都没有,只有一亿多的保费。当然,这同时也意味着我国网络安全保险的发展机会仍有很大想象空间。
总的来说,虽然我国网络安全保险市场规模和渗透率并不高,但从国内数字化经济高速发展网络安全面临新风险加剧的现实境遇下,再到有国家政策指导和市场需求向上,辅以国外历史经验验证,未来我国网络安全保险将会走入到一个非常明显的增量市场,值得我们期待。