网络安全保险保障缺口仍大量存在

近日，怡安集团在全新发布的《新兴市场中的网络风险》报告中提到：“几乎每天的新闻里，都在讨论最新技术发展及对应产生的网络安全风险，因此保险业务在竞争中必须跟上不断变化的环境。为满足这些需求，亚洲网络安全保险市场正在增长。”

　　报告认为，随着新兴技术的不断发展，企业日益重视对应产生的网络安全问题，并开始积极寻求保险方案规避网络风险的敞口。《新兴市场中的网络风险》将帮助亚洲企业更深入地理解多种保险产品间的相互联系，筑起网络风险防范墙。

　　网络安全保险取得进展，但保障缺口仍大量存在

　　相对于全球成熟市场，亚洲网络安全保险市场正经历快速发展。

　　怡安集团认为，网络安全保险取得进展，但保障缺口仍大量存在。网络安全保险实质上是健全的网络弹性风险管理方法的一种补充。每家企业都应通过将企业网络风险管理战略与企业文化和风险容忍度相结合的方式，来识别和保护其关键无形资产，以防止未编入预算的突发损失和资产负债表波动。

　　报告认为，任何行业都可能遭受数据泄露事故，但非个人身份信息的主要处理公司通常比个人身份信息（PII） 的主要处理公司拥有的个人身份信息（PII） 记录少，且个人身份信息（PII） 记录的潜在泄露严重性低于其他潜在的损失，例如营业中断损失。

　　独立网络安全保险最初是为了解决隐私泄露和安全成本，它们与个人身份信息（PII）的泄露相关，该险种通常并不保障资金盗转账、密码泄露、人身伤害或有形财产损失等。

　　报告称，与个人身份信息（PII）相关的网络风险通常会导致无形损失（即纯粹的经济或财务损失）。然而，网络风险敞口最终可能导致人身伤害和有形财产损失。

　　同时，持续出现的新技术不断带来新型风险。例如云计算、人工智能、5G、物联网、移动设备、自动化供应链和分布式账本/区块链等，这些进步都带来了新型的、不同的网络风险。

　　与之相对地，企业必须能够识别网络风险，并根据其独特的业务运营模式对潜在的网络相关损失进行建模。企业应该在公司层面对关键资产进行梳理，并分析会导致重大事故发生的潜在攻击路径。

　　每个组织的网络损失类别并不相同。因此，对于每个组织来说，能够承保网络损失的保险类型的分析也不尽相同。

　　网络风险对财务报表影响增强，企业对此认知提升

　　当下，应对网络风险的保险市场与产品发展得如何？不同保险产品间有着怎样的关系？企业应当采取什么样的网络风险防范策略？

　　根据风险和保险管理协会的数据显示，2017 年，企业的总风险成本连续第4 年下降，但网络风险成本却反其道而行之，上升了33%。这意味着在企业风险总体走低的趋势下，网络风险逆势而上。

　　因此，大多数董事会和管理层现在都将网络风险和解决方案纳入公司治理讨论中，企业越来越认识到重大网络安全事故可能对财务报表造成的潜在影响。

　　然而，相比于许多公司对其传统有形资产充足的保险投保程度，其对无形资产的投保相对依旧较少。

　　《经济学人》近期的一篇文章准确地指出“企业最主要的、有价值的资产很多都还未得到保险的保障”。企业承认其无形资产的价值大大超过有形资产的价值。 然而，企业却通常不会分配相应的资源来保护无形资产并使其价值最大化。例如，大多数企业不了解专利侵权保险和商业秘密保险能够搭配其他类型的保险，以应对版权、商标、服务标识等知识产权领域的风险敞口。

　　此外，谨慎的保险公司正在为其财产和网络保单增加“共享”保额和“总损失”限额背书，以避免因保险术语中所谓的“冲突”事件（即两种不同的保单需向同一事件进行赔付）而造成网络业务中断损失的“双重赔付”情况，这也是企业需要留意的。因此，对于导致人身伤害和/ 或有形财产损害（以及犯罪、海事、航空、环境、绑架和赎金、产品召回、董事和管理层以及恐怖主义保险）的网络风险一般责任和网络/ 职业责任保险之间的潜在“冲突”触发因素，也可以应用类似的分析。

　　报告提出，非网络安全保险保单的趋势是增加特定的除外条款，目的是为了避免保单出现所谓的“沉默的网络风险保障”。“沉默的网络风险保障”是指各类非网络安全保险产品有意或无意的在保单里忽略使用与网络风险保障有关的除外条款。

　　报告指出，被保险人须理解单项的基本网络安全保险和职业责任保险潜在的保险范围缺口。网络安全保险和职业责任保险通常是“列明风险”保单，而不是“一切险”保单，这意味着保单内的承保及限制条款对保险责任的范围至关重要。常见的独立网络保险的保障条款明确不包含资金转账、加密转账和其他现金及证券货币的损失赔偿,而犯罪防护保险则可以在应对特定情况下承保资金损失。类似的，网络安全保险责任范围通常不涵盖“电子欺骗”、“网络钓鱼”和其他社会工程事件的支付转移欺诈，但犯罪商业防护保单则有可能承保上述事件。

　　报告认为，在考虑网络风险的保险保护时，公司应该明确决定购买保险的额度和类型，以及如何利用保险应对更大的网络风险。

　　在承保和定价网络保单时，保险公司需要考虑投保人的网络安全成熟度，例如预防，检测和响应控制等。与最佳实践标准保持一致将有助于公司抵御网络攻击，并且有利于得到更有利的保险条款和条件。保险公司在承保网络风险时会考量投保人是否能对网络安全采取主动性的措施。

　　怡安建议，企业在配置网络风险保险时，应取得专业保险经纪公司的建议。怡安作为网络风险专家，将为企业在更广泛的风险背景下寻找可用的保障范围，配置完善的网络安全风险解决方案。