近日,中国工程院院士方滨兴在《中国网信》杂志创刊号发表文章《网络安全保险保障数字经济高质量发展》。以下为文章全文:

中国工程院院士

哈尔滨工业大学(深圳)计算机科学与技术学院教授、首席学术顾问

中国中文信息学会理事长

中国网络空间安全人才教育论坛理事长

中国网络空间新兴技术安全创新论坛理事长

习近平总书记指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”网络安全事关国家安全、经济社会发展和人民福祉,是一项极端重要的工作。随着网络化、智能化程度不断加深,数字化转型持续推进,网络空间安全风险格局加速演变,网络安全风险成为数字时代最大的风险。

网络安全保险作为风险转移的重要手段,在转移残余风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥着重要作用,可以有效聚合各方力量,共同提升网络安全风险治理水平,为数字经济发展和建设网络强国提供重要支撑。

网络安全保险概述

网络安全保险的定义

作为针对数字经济特定风险的新险种,网络安全保险是以投保人信息资产安全性(信息的完整性、机密性、有效性等)作为保险标的的保险产品。其本质是传统财产保险在网络空间中的延伸。网络空间可参与保险的资产要素包括设备、系统、应用、数据、人员、组织等。根据不同的风险转移需求,保险公司会开发系统/算法失效险、数据安全责任险、网络安全综合险等不同的网络安全保险,并结合行业特色需求,根据能源、金融、通信、医疗等不同行业设计定制化保险方案。

目前,网络安全保险承保的网络事件类型丰富多样,包括数据泄露、数据损毁、勒索软件攻击、拒绝服务攻击、恶意软件、病毒、网络敲诈、人为错误、编程错误等多种网络事件。

网络安全保险的必要性

迈克菲(McAfee)和美国国际战略研究中心(CSIS)联合公布的研究报告显示,2021年网络犯罪使全球经济损失超过1万亿美元。国内网络安全态势同样面临严峻挑战。据国家互联网应急中心(CNCERT)报告数据显示,2020年,CNCERT协调处理各类网络安全事件约10.3万起。受害企业遭受了数据泄露、营业中断、财务勒索、数据损坏等重大损失。网络攻击已经成为国内企业数字化转型面临的最大风险之一。

对于网络攻击,用来“防患于未然”的成本比事故发生导致的损失要低得多。目前,企业通过购买网络安全产品,可以抵御大部分基础网络安全风险。然而,由于网络安全产品供应商和网络用户之间的信息不对称,用户对网络安全产品缺乏清晰认知,导致网络用户只愿意以平均价格来购买网络安全产品,促使安全防御功能多、价格高的网络安全产品逐步退出市场,网络安全产品为企业带来的风险抵御效用随之降低。

根据网络安全投入效用曲线(见图1),企业在购入网络安全产品后就具备了一定的网络安全成熟度水平,同时,为购买安全产品所付出的增量开销也抵消了降低风险所挽救的预期损失,再增加安全投入会造成所付出的增量部分抵消不了所挽救的预期损失情况。此时,可以选择通过购买网络安全保险的方式转移残余风险。

事实上,法律规范并不能完全制止网络安全犯罪的发生,安全手段也无法确保百分之百安全。如果依靠完备的安全计划可以解决63%的安全风险,剩下的37%安全风险则可以转移给保险机构。

网络安全保险的重要性

网络安全保险作为风险管理的重要财务手段,可以从五个层面助力构建新型网络安全生态。

一是提升风险管理,在战略组织层、核心业务层以及战术系统层进行风险管理赋能。

二是降低社会总成本。网络安全保险和服务能够培养被保企业的风险意识,赋能企业的网络安全整体防灾水平,并可通过保险的责任转移机制来打破企业在应对网络安全过程中所形成的对抗僵局,从而有效降低网络安全事件发生的风险。

三是为企业标注安全标签。保险公司在为投保企业进行网络安全风险评估的过程中,不仅促进企业提升自我保护意识,还为参保企业赋予了精准的安全标签,以反映企业的网络安全防御水平。

四是落实企业社会责任。个人信息保护法等一系列法规条例的出台,规定了企业在网络安全方面的社会责任,对拥有用户数据但不具备网络安全应对能力的企业来说,网络安全保险将是一个有效的运用工具。

五是为安全产品背书。对于安全产品提供商而言,网络安全保险可以给其产品的可信度背书,即通过所附赠的保险额度来展现其网络安全防御实力。

网络安全保险行业发展现状

国外网络安全保险处于快速发展阶段

20世纪90年代,网络安全保险在美国、欧洲等地区出现并快速发展。来自美国政府问责局的信息表明,在2016~2020年,其主要用户集中在电信、互联网、教育、医疗健康等行业,覆盖率均超过50%;2016~2019年,直接保费总额增加到31亿美元,2019年比2016年增长近50%。

根据美国全国保险专员协会(NAIC)发布的网络保险报告显示,2020年网络安全保险市场规模约为41亿美元,比上一年增长近30%,其中勒索软件是网络保险成本上升的最大原因之一。美国前十大保险集团占据了网络保险市场近68%的份额。另外,欧盟《通用数据保护法案》(GDPR)的正式生效,也成为促进网络安全保险爆发性发展的一个催化剂。

我国网络安全保险处于起步阶段

近年来,我国有关网络安全保险的政策开始受到关注。2019年9月,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中提出要“探索开展网络安全保险服务”。“十四五”规划和2035年远景目标纲要提出,培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,催生新产业新业态新模式。

2021年7月,工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》提出要“探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力”。

国内相关政策的陆续出台,为我国网络安全保险的发展营造了良好的政策环境。因此,网络安全保险行业发展将迎来发展机遇,有望成为一个千亿级别的新兴业务领域,将助力我国数字经济可持续健康发展。

在早期,外资财产保险公司依托其在国外市场的先进经验以及较为成熟完整的风险管理体系开拓了中国的网络安全保险市场。近几年,我国财产保险公司在借鉴国外产业发展经验的基础上,通过与专业的第三方网络安全量化风险管理服务机构建立战略合作关系来提升其风险评估和风险定价能力,充分发挥其本地市场的竞争优势。

国内保险公司已经构建了以“风险管理服务+网络安全保险”主动型风险管理为核心的保险服务生态,这是一种以第三方科技公司的风险量化管理技术赋能传统保险业的新兴业务模式。第三方风险量化管理公司作为保险服务生态中的关键一环,以专业的网络安全技术能力、场景化评估分析能力和数据整合分析能力,协助保险公司和被保险企业审查风险累积水平并实施网络安全风险管控。

当然,国内还有网络安全公司直接提供保险的案例。但从长远来看,这种方式并非长久之计。因为网络安全公司从事网络安全保险业务,容易形成自我博弈的悖论:在出现险情后如果赔偿,则意味着承认自身网络安全能力薄弱;如果拒赔,则让保险业务失去信誉。同样,在承保采用其他企业提供安全产品的业务时也会引入“有色眼镜”,所收取的保费将会高于采用本企业网络安全产品的情况。这就会被质疑其保险业务的公正性。

2021年10月11日,西安,观众参观2021年国家网络安全宣传周网络安全博览会。

网络安全保险模型与实施途径

网络安全保险模型

目前,保险公司难以通过该业务获得最佳溢价,且无法准确地将网络安全风险量化为有吸引力的保费。其主要原因在于:一是网络保险的保费数据因其商业敏感性而很难在公共领域获得;二是网络系统的演变性及网络攻击的演变性使得网络安全风险难以预测,一个受损系统可能会影响其他系统的风险;三是网络安全保险的合同双方由于缺乏充分的信息,在确定有关保险条款时存在信息误差,会引发由投保企业主导的逆向选择和投保企业的道德风险问题。

斯凯奇(Skeoch)提出了一个基于戈登-洛布(Gordon-Loeb)模型来构造的、关于竞争性网络安全和网络保险投资的GL-CI网络安全保险模型。戈登-洛布模型的基本思想是寻求信息安全最优投资增量,公司仅关注中等脆弱性而非最脆弱的信息,公司只拿出预期损失的一小部分来进行保险投资以求预期回报最大化。模型旨在为管理者提供一个分配信息安全资金的框架。CL-CI网络安全保险模型则简化了现实生活中安全投资问题的复杂权衡和决策原则,提出在保险介入到企业的预期安全收益效用时其与安全投资之间的关系。

网络安全保险实施途径

网络安全保险并不是简单的产品,还需要提供与之相匹配的全周期服务。保险是风险管理的必要手段,服务则是风险管理的重要依托。与传统的健康保险、汽车保险等被动式保险模式不同,网络安全必须采取“风险管理服务+网络安全保险”的主动型风险管理模式,需要为投保客户提供从网络安全风险评估到风险预防管理和安全事件管理的承保前、承保中、出险后的全方位安全保障,从源头降低出险率,帮助客户减少由网络安全事故带来的损失,实现“不出险、少出险、出小险”的目标。

承保前的风险评估通常有三个环节。

一是网络安全风险的自动化评估环节。该环节属于非配合式评估,主要是利用安全扫描、资产探测、第三方威胁情报分析等技术或手段,研究企业暴露在互联网端的安全状况和风险敞口大小,为保险公司可否对之承保提供技术研判支持

二是网络安全能力评估环节。一旦确定进行承保,则着手进行配合式网络安全能力评估,即依据投保的视角,从合规遵从、组织架构、制度体系、技术措施、人员培训等方面对投保对象的网络安全成熟度进行评估,评估结果也可以为用户的网络安全能力建设提供参考。

三是基于场景的量化风险评估环节。当酝酿场景险的时候,则需要针对特定场景或指定的控制措施采取专项评估,以采取与潜在风险相适应的配套安全措施。在此,需要根据威胁源、攻击方法、脆弱点、安全事件及负面影响这5个评估要素来计算特定场景的风险值。

在承保过程中,需要强化风险预防管理,并进行持续风险监测,还需要进行安全意识培训,各种合规配置训练等,从而将风险控制在一个特定的程度范围。

在出险后,则需要提供应急响应、数据恢复、公关法务等服务,还包括理赔、溯源、信息采集等必要操作。

对于保险公司来说,打造“风险管理服务+网络安全保险”的主动型风险管理解决方案,需要解决可不可保、如何定价以及如何尽量不出险的问题。因此,保险公司需要通过与独立的第三方风险量化管理公司合作,为投保企业提供承保前的风险量化评估和承保后主动损失防御服务,以降低企业出险概率及出险后的损失。

网络安全保险发展对策建议

在网络安全领域引入保险机制,是解决我国网络安全风险问题,提高网络安全风险治理能力的新途径。目前网络安全保险市场仍然面临着许多挑战,如网络风险定义不够清晰、缺乏一致性,网络安全事故或损失历史数据有限,以及企业对网络风险和保险责任覆盖范围认知程度有限等。

为加快推进网络安全保险在我国落地发展,充分发挥保险风险转移作用,带动重点行业、重点领域网络安全保障能力快速提升,发展壮大网络安全产业体系,提出相关对策建议。

加强顶层设计,引导网络安全保险规范发展

研究和制定促进网络安全保险业发展的相关战略规划,加快网络安全保险法规、政策出台,指导网络安全保险市场发展。

鼓励产学研协同合作开展网络安全保险服务标准化研究,组织制定网络安全保险行业标准及规范。

健全数据泄露等网络安全事件惩罚制度,推动互联网服务提供商、关键信息基础设施运营者、数据中心等加大对网络安全保险的重视程度和投入力度,引导其将网络安全风险转移到资本市场。

鼓励支持保险公司开展网络安全风险评估、风险损失量化、保费和理赔定价体系等研究,对互联网安全保险产品优先审批备案。

加快网络安全保险支撑技术创新和服务保障体系

推动网络安全技术范式创新,实现功能安全可定制、可度量、可检验。

构建“保险+风险管理+服务”综合业态,实现保险产品创新与网络安全服务深度融合,促进具有内生安全属性的网络安全产业技术发展。

推动研究机构、保险公司和网络安全公司等相关单位加强合作,建立安全漏洞、威胁信息、安全事件等风险数据共享机制,定期发布网络安全风险报告。

组织开展网络安全保险相关学历教育和社会化培训,加快培养网络安全保险人才。

丰富网络安全保险产品供给

鼓励保险公司开展保险产品创新与风险管理服务优化,强化网络安全保险供给能力。面向不同行业差异化风险管理需求,开展风险场景研究,推动网络安全保险场景化并开发专项保险产品。

促进网络安全投保需求释放

积极发挥引导作用,构建“强制、补贴、鼓励”三位一体的政策支持体系。比如,为中小型企业提供网络安全保险购置减税政策、保险购买补贴政策等,以鼓励中小型企业主动投保网络安全保险;针对开展网络安全保险的保险公司推出奖励或补贴政策;面向网络安全需求迫切的重点行业,开展网络安全保险试点工作。

加大网络安全保险服务的宣传推广力度

充分利用国家安全教育日、全国保险公众宣传日、国家网络安全宣传周等全国性宣传机会,开展网络安全保险相关宣传教育活动,介绍网络安全保险的承保范围、真实案例、作用意义等。

挑选保险服务发达、安全程度较高的区域和行业,开展网络安全保险服务试点,总结试点经验,形成可供全国推广的网络安全保险服务模式。

来源:《中国网信》2022年第1期

声明:本文来自中国网信杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。