文 | 中国财产再保险有限责任公司创新业务部 周俊华

网络安全保险是为网络安全风险提供保险保障的新兴险种,是转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。发展网络安全保险服务,是护航数字经济可持续发展,助力数字化转型网络安全保障体系建设,有助于加快形成“发展+安全”双轮驱动发展态势的关键举措。

一、国内外网络安全保险现状

随着全球网络攻击呈现上升趋势,以及法律法规的持续完善,网络安全保险市场变得越来越重要。从国际经验看,网络安全保险于 20 世纪 90 年代在美国、欧洲等地区出现并快速发展,在 2020 年后迎来了高速增长,保费规模迅速突破 100 亿美元。截至 2022 年,全球网络安全保险保费总体规模约为 119 亿美元,较 2021 年增长了 27%。根据《2022年全球网络安全保险市场报告》,到 2027 年,全球网络安全保险市场总体保费规模将达到 229 亿美元,市场需求和发展空间巨大。

从区域上看,在 2016 年之前,美国地区网络安全保费规模占世界的 90%,但是 2022 年已经迅速下降至 60%,主要原因是欧洲地区保费增长显著。从行业上看,服务业、金融业等掌握大量个人信息的行业贡献了近 60% 的保费;制造业出于购买利润损失险(Business Interruption,BI)保障的需要,保费占比也上升至 14%。从投保对象规模分布来看,中小企业(SME)占 62%,成为保费的主要来源,大型企业占 27%,而微型企业占 11%。

美国是全球网络安全保险发展最久最深的区域。近年来,美国网络安全保险的保费规模持续上涨,根据惠誉评级公司(Fitch Ratings)的统计,从 2015 年的 10 亿美元增长至 2021 年的近 50 亿美元,2021 年的保费年增长率达到 74%,近三年增长 138%。与此同时,由于全球数字化经济高速发展,网络安全事件频发,2018 年起,美国网络安全保险已发生损失不断增长,2021 年网络安全保险赔付率达到 67%,2022 年赔付率回落为 44.6%。

国际上网络安全保险呈现出几个主要的趋势:一是损失巨灾化,即一次网络袭击造成的经济损失和保险损失均堪比一次重大的自然巨灾;二是损失分布极化。根据各家保险公司统计,其承保的大型企业的损失均远远超过行业平均损失,损失主要集中在大型企业;三是利润损失化。BI 占比越来越大,购买利润损失保障的保费占比也成为主流;四是网络勒索袭击成为主要损失来源;五是保单更加明确网络安全责任,规范了隐性网络安全风险保障(Silent Cyber Risk Coverage),即修正了一些财产险/责任险保单中源自保险条款术语表达的不完善或局限性,未明确免除网络安全风险责任的表述;六是网络战争风险除外条款更加明确,市场出台网络战争除外条款,对网络袭击、计算机系统、战争等进行了定义,从而为市场提供了更明确、更具有可操作性的条款工具。

然而,网络安全保险在中国市场的总体规模偏小,其总体规模不到美国市场网络安全保险保费规模的 1%,可以说我国的网络安全保险还处于起步阶段。据国家工业信息安全发展研究中心发布的《网络安全保险白皮书》统计,2021 年,我国网络安全保险保费预计 7080 万元,较上一年增长 3.2 倍以上,最高保额超 4 亿,2022 年保费为 1.4 亿元。从国内市场的行业分布来看,高风险行业,包括信息及软件、制造业、金融业、卫生及医疗行业等投保需求较高,且投保案例也较多,低风险行业投保需求总体不足。现有的投保案例中,客户大多也基于合规要求及合同要求进行投保,真正因风险转移驱动而选择投保的客户较少。这也体现了网络安全保险在我国总体上还处于一个缺乏需求及没有大规模普及的状态。

目前,我国共有 30 余家保险公司备案了 77 款网络安全险产品,但除外资财产保险公司以外,中资财产保险公司能够独立承保并具有一定承保技术的财产保险公司总体较少,市场整体处于承保能力不足的状态。国内网络安全保险的发展还存在着以下的痛点:

一是重保障轻风险管理难以满足客户需求。目前网安保险更加倾向于对补偿资金的支付,缺乏对保前风险评估和保中的监控即保后的风险管理服务,难以真正提升被保对象的风险管理水平。二是保单保障的所有风险难以实现。随着云服务器的普及,所有风险的描述使风险状况变得愈发不明,难以应对愈发普遍、流程化且多元化的网安风险。三是保司问卷调查表存在缺陷。愈发复杂的问卷调查表已经无法真正在核保过程中识别风险,在拒赔抗辩中有效性不够。四是政府治理缺乏价值。目前网安保险更多是一个保险产品,缺乏对风险的全流程把控和监督。五是核心关键企业缺乏足够的保障额度。网络安全复杂性使得保险人对风险认知有限,承保能力投入大幅受限。六是小微企业缺乏投保途径。小微企业难以满足传统意义上的网络安全保险投保要求。

为克服上述痛点,优化我国网络安全保险发展环境,助推网络安全保险进入快速发展阶段,2023年 7 月,工业和信息化部联合国家金融监督管理总局发布了《关于促进网络安全保险规范健康发展的意见》,立足我国网络安全保险发展实际,以促进网络安全保险规范健康发展为目标,围绕建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态的五个方面提出 10 条意见。这标志着网络安全保险作为企业网络安全风险管理的必不可少的环节,正式在国家层面纳入政策引导及支持的领域中。

二、网络安全保险实践

网络安全保险作为国内的新型险种,一直是保险市场热切关注。中再产险作为国内再保险市场的国家队和主渠道,深入贯彻风险减量管理的理念,全面服务数字中国和网络强国战略。在网络安全保险领域持续深耕,为业界提供产品设计、流程优化、条款拟定、承保能力支持等一揽子解决方案,构建新型网络安全保险产品生态,2021 年,中再产险推出《我国网络安全保险发展蓝皮书》(2021),其核心是提出“保险+服务”的“检、防、救、赔”特点,提出了网络安全保险产品生态的“六步走”方针,并开展针对小微企业的普惠型网络安全保险和针对中大型企业的示范型网络安全保险场景应用。在此基础上,2022 年中再产险推出新型网络安全保险产品生态的概念。新型网络安全保险产品生态不同于传统网络安全保险,是一种包含了网络安全“服务+保险”的新型产品模式。

新型网络安全保险由六步走方针驱动,包含保前诊断、保前治疗、保中服务、保中监控、保后救援和保后赔偿,主要体现了风险减量的原则。六步走方针要求所有被保险人在投保网络安全保险前和保险过程中必须进行保前诊断和保中监控,并定期出具诊断报告。这首先简化了网络安全承保的技术门槛,其次使得被保险企业能够便捷、动态地了解自身安全状况,再次能够为政府整体把控网络安全全局信息提供统计级数据支撑。保前治疗有针对性地提高了被保险企业的网络安全等级,促进了网安服务企业的发展。保中服务能够为被保险企业提供安全意识教育、安全咨询服务和部分网安产品(保险业集中采购,成本更低)。保后救援能够使得保险公司雇佣的安全修复公司按照连贯性的网络安全评估报告找到网安漏点,快速定位问题,并选择最优修复、救助行为,降低事故损失,保障国家网络数据安全。保后赔偿为被保险企业因应对网络安全事故而导致的财务波动进行经济补偿(如图所示)。

图 “六步走”方针图

基于上述方针,中再产险设计了针对小微企业的普惠型网络安全保险产品和针对大中企业的行业示范型网络安全保险产品。小微普惠型网络安全保险采用“保险+服务”的方式,能够以低于市场价 8 倍的条件为被保险企业提供网络安全服务和网络安全保险、面向全部企业的网络安全免费体检和面向被保险企业的风险全流程监控以及应急救援。大中型行业示范型网络安全保险采用“保险+动态监控+服务”的方式,能够为企业提供第三方的完整安全动态监控和测评优化、降低企业的网络安全合规成本和法律责任、提供高额的赔付额度、提供精准的安全修复服务。

2022 年 7 月 26 日,在上海银保监局和上海市经信委的指导下,由中再产险与六家保险公司共同设计并推出的国内首款普惠型网络安全保险产品、行业示范性网络安全保险条款和《网络安全保险服务规范》《网络安全保险服务技术要求》等一系列成果在全国信息消费城市行暨上海信息消费节上推出。

2022 年 11 月,在工信部、北京市朝阳区的指导和推动下,成立北京市朝阳区-中再集团-三六零集团网络安全保险专项工作组,目标以中关村朝阳园为网络安全试点区域,探索“保险+风险管理+服务”的新型网络安全保险模式;研究中关村朝阳园相关企业的网络安全特征,探索制定承保前网络安全风险量化评估方法、承保中网络安全监测管理服务模式、承保后理赔服务标准等;开发符合中关村朝阳园企业风险状况的网络安全保险产品,以及相应的保险条款、费率及风险转移方案,并推动保险的落地实施,提升企业网络安全风险应对能力;形成中关村朝阳园特有的网络安全保险范式,并探索在整个朝阳区和其他地区的推广应用。2023 年 7 月 11 日,“北京市朝阳区-中再集团-三六零集团”网络安全保险发布与签约仪式顺利举行,代表着北京市朝阳区第一个“政府主导,多方参与”的新型网络安全风险管理模式试点成果正式落地。

三、总结与展望

随着新一轮以人工智能为主导的新型数字化技术的发展,网络安全风险将更进一步由虚向实,网络安全保险的未来将面临更多全新的挑战与困难,但是发展新型网络安全保险生态的方向是明确的,不断促进保险业与其他领域进行深度融合,不断探索新的网络安全保险产品和服务模式,满足不同业态、场景、政府部门、企业和个人的多样化风险分散的诉求是明确的。

在构建网络安全保险生态的过程中,需要进一步考虑以下的发展方向:一是建设生态圈,推动产业政策落地。加强保险行业、政府部门、第三方科技企业的合作,持续推进法律法规的拟定促进、政策的落地推动、产品的宣传需要等工作。二是加强网络安全保险产品服务创新。小微企业普惠型产品和关键企业示范型产品能较好地适应行业新的需求,但智能网联车、供应链等细分网安新需求仍需要进行进一步产品细化。三是提升行业整理能力。再保、直保及第三方科技公司共同进行模式设计、平台建设、数据建模、产品优化方面的研究,充分发挥网络安全企业、专业网络安全测评机构技术优势,联合保险公司提升网络安全保险服务能力,并联合发布相关行业报告,探索建立网络安全风险量化评估模型。

中再产险将继续深耕网络安全风险管理,不断优化产品设计,为客户公司提供更为优质的服务,同时加强与政府部门、第三方科技企业的合作,整合行业力量,发挥各自优势,共建网络安全保险生态,加速网络安全保险产业创新升级,为数字经济发展和建设网络强国提供重要支撑。

(本文刊登于《中国信息安全》杂志2023年第10期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。