网络风险趋势及国外网络安全保险发展情况
网络风险趋势及国外网
络安全保险发展情况 TYYGROUP system office room 【TYYUA16H-TYY-TYYYUA8Q8-
网络风险趋势及国外网络安全保险发展情况本期摘要:
网络风险新趋势及监管环境
网络安全保险的发展情况
对我国的启示
随着网络科技的发展,互联网应用已遍及各个行业,伴随而来的网络风险也在不断加大。近年来网络安全事件频发,众多公司饱受网络安全事故的困扰。2014年12月索尼影业遭黑客攻击,损失或超10亿美元。此事件再次将网络安全推向风口浪尖。根据美国《商业保险》杂志的调查,2014年网络安全和埃博拉病毒及奥巴马医改方案并称美国保险业的三大热点问题。本文将从分析网络风险的新趋势、网络风险监管的变化入手,介绍网络安全保险的发展前景及对我国的启示。
一、网络风险的新趋势及监管环境
随着新经济的兴起,越来越多的企业使用网络技术实现跨越式的发展。但与之同时,云计算、移动终端、大数据和社交媒体等新技术运用也给网络安全带来前所未有的挑战。日益猖獗的网络黑客活动使很多公司的数据频遭泄露,给公司带来了巨大的经济和名誉的损失。根据Aon的一项调查,2013年9月至2014年9月的一年间,全球有%的公司遭受数据泄露或重大的系统崩溃事故。随着新科技的发展,网络风险正在呈现逐步升级和扩散化的态势。目前网络风险主要来自于以下几方面。
(一)自带移动终端对公司网络安全的潜在威胁。根据Aon的调查,全球66%的公司都允许员工将自带的移动终端,如平板电脑、手提电脑、智能手机、USB驱动等设备用于工作。其好处是节省成本和提升效率。弊端是自带移动终端经常是公事和私事混用,加之型号各异,很多时候公司的IT部门并未对外来的设备进行加密或追踪,导致潜在的风险暴露。
(二)大数据运用带来的数据泄露隐患。大数据是一种前沿的数据分析技术,为越来越多的企业采用。大数据运用的前提是企业拥有并存储庞大的基础数据。运用大数据的企业很多时候并未对基础数据进行加密处理,这意味着一次泄露事件就可能造成严重的后果。同时为了控制成本和提升效率,越来越多的企业将IT服务进行外包。根据Aon的统计,全球有60%的公司将数据委托给第三方管理。这意味着除了企业的IT部门外,第三方合作伙伴也掌握了大量的数据信息,数据流动范围可能远远超出企业管理的范围。
随着大数据的应用,很多公司通过云计算服务商来实现系统集成以应对大量数据存储的需求。云计算服务商因此掌握大量客户的信息。云计算服务商如果遭受攻击,数据泄露的影响面将非常广。着名的云计算服务商Dropbox就曾于2011年因为数据安全性及未能及时告知数据泄露事件而面临集体诉讼。
(三)恶意网络攻击对网络安全构成严重威胁。当今黑客等网络攻击行为日益频繁,几乎没有行业可以幸免于难,甚至包括从事网络安全的公司。网络黑客的行为越发隐蔽、富有攻击性、并造成巨大经济损失。同时政府支持的有组织的网络间谍行为也是黑客中不可小觑的一股势力。
受损消费者高达7000万人。数据泄露事件后,塔吉特的利润与上
年同期相比减少了46%。
2013年印度两家信用卡服务公司ENStage和ElectraCard受到国际黑客组织的攻击。黑客组织仅用10个小时便在24个国家通过ATM机
提取了4500万美元。
2014 年索尼影像公司遭受黑客攻击,黑客组织“和平卫士”公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影拷贝等内容。
索尼影业的经济损失或超10亿美元。
2014年美国家居建材零售商家得宝(Home Depot)遭遇数据泄露事件,预估损失千万美元。
2015年美国第二大健康险公司Anthem系统遭受攻击,估计约有9百万至千万的蓝十字蓝盾计划的会员资料被泄露。AIG公司是该公司网络
安全保险的承保公司。
(四)网络安全的监管
近年来,大量网络侵权案件使得网络安全问题成为世界各国普遍关注的热点。主要国际组织和国家等都纷纷制定了维护网络安全的相应制度。以美国和欧盟为例,美国采用行业自律保护模式,这种模式一般不以政府立法的形式加以规范,而是主要依靠网络企业行业自主制定相关的保护政策来保护网络用户的个人信息安全。欧盟采用网络隐私立法模式。这种模式是国家和政府主导的模式,基本上是由政府制定法律这一形式,从法律上确定网络隐私权保护的各项基本原则和具体制度,并在此基础上建立各项司法和行政救济保护措施。
值得一提的是,目前欧美等国家的最新监管趋势是更为注重对隐私的保护,并要求企业增强透明度。欧盟正在考虑出台一项加强隐私保护的指令,网络企业和社交网站如在没有征得本人允许或没有经过法律认证的情况下擅自处理用户敏感信息,就构成了严重的侵权行为,相关违规企业将会受到罚款处罚。侵权企业可面临最高100万欧元或相当于该企业年度销售收入2%的罚款。这一法令的出台可能使得依靠社交媒体进行营销的企业受到冲击。
美国近年来要求企业增加自律和透明度。2011年美国证券交易委员会(SEC)要求上市公司披露重大网络风险,网络安全事故、数据泄露事件必须上报。如未能恰当履行上述以外,公司将面临SEC的调查、传讯。由此公司还会招致股东或客户的集体诉讼。美国联邦贸易委员会(FTC)近年来也加入行动,敦促企业保护客户信息。国际知名酒店连锁品牌温德姆集团因2008年至2010年间3次客户信用卡数据泄露事件而被FTC调查,FTC于2012对其提起诉讼,目前案件尚在审理中。
二、网络安全保险的发展情况
近年来网络风险不断升级加剧。着名信息安全公司Mcfee的数据显示,2014年网络犯罪给全球经济造成的损失高达4450亿美元。随之网络安全保险也正在呈现高速发展。从2009年至2013年呈现快速发展的态势,5年间保费的复合增长率达38%,远高于其他的保险业务。越来越多的行业通过保险来转移网络安全问题带来的风险。
(一)易遭网络安全问题的高危行业
拥有大量客户数据的企业是网络安全的高危行业,主要包括金融、零售、医疗健康服务、通讯电信、教育等行业。2013年Aon公司的网络保险保费收入前三位来自于金融行业(%),科技通讯行业(%)、医疗保健行业(%)。着名保险经纪公司达信(Marsh)2013年美国市场的统计显示,医疗保险行业的网络保险增幅达45%,远远超过全行业平均增幅13%。其次为教育,增长22%;金融服务,增长17%。
(二)网络保险的发展形态
在网络安全事件频发的背景下,网络保险逐渐进入人们的视线。网络保险虽然近年来在欧美等国家发展迅速,但还在起步阶段。很多
保险公司仍处于观望阶段,并未承保网络风险。着名评级公司AM Best的2014年一项调查显示,86%的保险公司并未承保任何网络风险,10%保险公司的网络风险保单少于1000件。但却有47%的保险公司为自己公司购买了网络安全保险。
保费收入:网络安全保险保费规模较小,但潜力巨大。2013年全球网络保险的保费收入约为13亿美元,约占非寿险保费收入的%。网络安全保险从2009年至2013年呈现快速发展的态势,5年间保费的复合增长率达38%,远高于责任险和政治风险等承保业务。达信研究显示,因近年来网络安全事件频发,网络安全保险的费率坚挺,不断爬升。
责任范围:网络安全保险可涵盖传统保险除外的责任。目前网络安全保险承保的责任主要为: 因网络安全事件而造成的经济损失、人身伤害及财产损失。而无形资产等损失目前尚未被列入保障范围。
保单形式:独立签发的网络安全保单占比不断上升。网络风险逐渐从传统的财产/责任险保单中分离出来,形成独立的保单。独立的保单可以提供更全面的保障,包括传统保单除外的责任。目前,独立保单签发的网络保险业务约占全部保单的57%。Marsh的客户中,2014年购买独立签发保单的客户比同期增长32%。其余的网络风险作为普通责任险、商业中断险和董事责任险的附加责任进行承保。
责任限额:企业购买的责任限额呈逐年上升趋势。2009-2013年间,责任限额上升迅速的行业有娱乐和公用事业,分别上升%和%。
网络风险的波及面大,因此责任限额也越来越高。现在已有保险公司提供限额10亿美元的网络风险保障,几乎涵盖了一个企业所有可保的网络风险。巨额保障经常采用巨灾保险的结构模式。企业需要承担大量的自留额,其余的保障参照大型工程的辛迪加模式,参与其中的保险公司和再保险公司按照份额承担自留额以上的损失。
(三)制约网络安全保险发展的因素
网络安全保险虽然增加了企业的支出,但同时可以促进企业完善安全策略,改进防范措施,减少安全事故。保险公司作为利益相关方,也会对企业的网络安全提出规范,帮助企业加强网络安全措施;同时通过保险,分摊企业遭受网络事故后的损失。尽管网络安全保险有诸多益处,但网络安全保险的发展仍受到诸多因素的制约。
一是保险行业尚未形成有效的风险分散机制。保险行业对发生“网络飓风事件”非常担忧。网络风险因波及面大,容易发生系统性的风险,造成巨额的损失。保险行业在厘定保费时,通常对损失进行保守估算以确保承保利润,在此情况下推升保费上涨。因为对系统性巨灾事件的担忧,目前网络风险再保也遇到了很多的困难,再保费率居高不下,也使得很多保险公司开展网络保险业务受阻。
二是保险行业缺乏经验数据。网络安全还是新生事物,因此保险公司缺乏经验数据,很难对风险进行全面评估,从而影响保费的精准定价。定价过高则会影响企业购买保险的积极性,而定价过低则会影响保险公司的承保利润。
三是网络安全监管有待明确。由于数据的流动性,企业网络安全责任不再仅限一地,其业务涉及的地区,客户分布的区域内、第三
方数据交换点都可以发生网络侵权事件。这意味着在全球保护隐私不断加强的背景下,企业一旦发生网络安全事故,将面临广泛的诉讼管辖和巨额赔偿。立法变化对于保险业的定价将产生重大的影响,欧美等国家网络安全监管趋严,使得保险业在定价时存在较大不确定的因素,很多保险公司仍处于观望阶段。
(四)网络安全保险的发展趋势
1.网络安全保险承保中体现高度的专业性。Aon的分析师认为网络安全保险今后的发展趋势如同大型的工程保险。在大型的工程保险项目中,工程师和专业技术人员起着至关重要的作用。在网络安全保险中,保险公司只有掌握了网络风险管理的专业技能,才能使被保险人确信他们的风险得到了公正、准确的评估,并有能力应对瞬息万变的网络环境。
2.保险公司在承保的过程中更关注企业的软实力。防范网络风险并非几道防火墙和防病毒软件可以解决的问题。它需要被保险人在企业资产、网络治理、内外部威胁、监管合规、危机响应等有一整套完备的管理机制,来应对网络风险。Marsh的统计显示企业过往发生数据泄露的频率与其未来发生数据泄露的可能性呈正相关。如过去5年发生3次数据泄露的公司在未来12个月里遭受数据泄露的可能性为22%,比过去5年只发生一次数据泄露的企业高出12个百分点。同样内部管理完善的企业,在遭受网络事件后,要比管理薄弱的企业更易恢复。
3.行业信息共享是网络安全发展的重要条件。保险公司、被保险人从不同的角度掌握了网络安全管理的信息。信息共享机制有助于保险公司帮助被保险人发现网络风险,完善内部管理。同时保险公司
通过大数据平台可以快速积累经验数据,为开发价格合理产品奠定基础。
三、对我国的启示
随着互联网的高速发展,近年来我国企业也遭受了严重的网络威胁。2013年2月,中国人寿80万份保单信息可上网任意查询,包括险种、手机号、身份证号和密码一应俱全。2013年3月支付宝转账信息被谷歌抓取,数量超过2000条。作为国内使用最广泛的支付平台,影响面大,是互联网金融安全的典型案例。在此背景下,国内险企纷纷涉足网络安全保险。华泰财险与京东金融合作推出的专门针对互联网个人账户资金安全的“个人账户安全保障保险”。该产品可全年保障个人名下所有银行卡、网银、第三方账户因盗刷等造成的资金损失,最高可保50万元。中国首家互联网保险公司--众安保险联合百度推出安全支付保障计划,该计划将为百度旗下的安全产品百度手机卫士提供定制化的手机支付保险产品“百付安”,用户如果遭遇了手机病毒恶意扣费、账户密码被窃并造成经济损失的,可以申请保赔获得单笔最高3000元,全年最高10万元的全额赔付。2013年6月中国平安旗下子公司平安财险推出针对游戏装备道具开发的新险种,这是国内首款个人虚拟财产保险。
从目前国内险企提供的产品来看,主要是个人客户的产品,尚未有针对法人客户的成熟产品。互联网的迅速发展是一个不可阻挡的趋势,它以超出人们想象的深度、广度影响着人们的生活。尽管目前我国网络安全保险并未开展起来.但这一领域的市场潜力是巨大的。我们应从现在开始着手为开拓这一领域做好准备。
(一)收集相关经验数据,尽早启动调研。经验数据是拟定保险费的前提。因此,建立完整的数据资料库有助于网络安全保险的开
展。保险公司可以通过和相关部门,如硬件设备提供厂商、软件公司等合作,共同完成经验数据库的建立。也可以参照国外已有数据,综合考虑国内现实情况,对其进行修正纳为己用。
(二)不断拓展网络安全保险的产品线。目前部分国内的保险公司已推出了针对个人的网络安全保险产品,但鲜有针对企业提供全面网络风险保障的保险产品。而欧美由于网络安全事件的频繁和监管的要求,很多企业都会购买保险。随着中国互联网的不断发展和监管的变化,企业对保险的需求也将不断涌现。保险公司应提早行动,对企业的网络风险解决方案进行调研,研发新产品。
(三)研究风险的分散机制。网络安全问题的归因繁多,保险公司应对承保的险种进行细化。网络安全带来的风险巨大,保险公司可以参照巨灾保险的一些做法。在收集到客户的保险费后,采用建立风险基金、巨灾风险证券化等方式,在大范围内分散风险。保险公司也可以通过再保险的方式,将风险分散到国际保险市场。
(四)加强法律法规和监管的建设。一方面在法律层面上对网络安全问题起到一个防范作用;另一方面.可以在发生了事故后,对相应的责任人的追究有法可依,从而降低保险公司赔偿的风险。同时,监管部门应尽早认识到网络安全保险问题的重要性,通过政府的力量,组织实施一些推动型措施。如可以由保监会牵头。协助收集经验数据:组织专家共同探讨设计保险单;对开展网络安全保险的保险公司实行一些优惠政策。