酒店、服装、电商等服务业国际品牌的内网接连被黑客攻击,导致客户数据遭遇外泄,此类事件近年来时有发生,使得企业对于网络风险的担忧与日俱增。如何更好地防范网络风险并尽可能将企业损失降到最低?
需求催生供给,一类为企业网络安全损失提供保障的舶来品——“网络安全保险”现身国内市场,逐渐走近各类企业,成为企业风险管理中的重要一环,让企业吃上“定心丸。”
市场需求催生下的新产物
网络安全保险是伴随着不断加剧的网络攻击频率和强度而研发的。在上世纪90年代,由于IT技术和互联网的快速发展,这一险种在美国应运而生。
当企业成为网络攻击目标或者其需为客户损失承担责任时,该险种可弥补企业以及与之相关的第三方损失,可囊括财产险、责任险以及纯粹的财务损失保障。但企业日常的网络故障属于除外责任。
一家外资保险公司企业及特殊风险部相关负责人说,由于不少企业的信息安全工作还处于起步阶段,无论是人才还是技术方面的基础都比较薄弱。“如果网络罪犯窃取数据,向网络加插恶意软件或勒索软件,又或者服务器因抵御攻击而关闭,企业可能遭受上百万元的经济损失以及名誉损失。”
这并非危言耸听,一份全球企业风险报告显示,在十大风险榜单中,网络安全风险的排名已上升至首位。
作为美国网络安全保险市场的最大承保商,安达保险这些年接触了不少这方面的案例。安达保险中国区金融责任险负责人周一芳告诉上海证券报记者,不断增加的网络攻击正严重威胁着企业,多项不同报告显示,近几年,亚太地区企业因网络攻击而遭受的收入损失高达数十亿美元。
周一芳说,随着“互联网+”的发展,每家企业都存储了大量的经营数据、客户信息、雇员信息,公司或商业合作伙伴的商业机密一旦发生数据泄露,损失难以预估。尤其是对那些不够重视信息安全、抱以侥幸心理的中小企业来说,滋生出的各种重大安全问题,往往会带来致命危机。
此外,来自消费者对于信息泄露造成危害的追偿也呈现上升趋势。在周一芳看来,这也是企业面临的主要风险。
根据我国相关法规,违反客户信息保密义务将承担法律责任。她解释称,比如,涉及民事责任,需承担停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等侵权责任;涉及行政责任,包括罚款、取消任职资格、禁止从事有关金融行业工作等;涉及刑事责任,将信息出售或非法提供给他人、情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
欧美市场费率逆势坚挺
在这样的背景下,企业再也不能忽视网络威胁带来的声誉和财务风险,网络安全保险率先在欧美市场开始热销。
全球知名信用评级机构AMBest发布的统计数据显示,2019年美国网络风险保费收入达到25亿美元。以安达保险为例,两年前,该公司仅在美国一个区域内的网络风险保费收入就已达到3.25亿美元,保持10%以上的增长率。
据海外保险业人士介绍,在其他商业财产险业务增速乏力的情况下,由于网络安全保险投保需求的激增,这一险种的费率持续逆势坚挺。这主要是源于人们越来越关注与网络攻击和数据泄密相关的风险,从而激发对相关保险解决方案的需求,并为全球财险行业带来了重大的增长机会。
记者从多家外资保险公司人士处了解到,专业的网络安全保险一般针对数据和网络安全事故及相关损失提供核心保障,市场承保限额一般在500万美元至1亿美元。
这一险种的定价因子也备受市场关注,因为这个险种的合同都是根据企业不同需求量身定制,因而费率也不尽相同。决定该险种定价因素大概包括:企业经营规模、涉外业务占比、企业的网络风险管理水平、企业所处行业的网络风险历史数据等。
中国市场仍需培育
在欧美市场,网络安全保险已经有了相对成熟的运行模式。而在亚洲市场,与日益提升的网络安全市场产值相比,这一险种的投保率严重不足,仍处于市场开拓阶段。
据了解,目前国内具备网络安全保险承保条件的保险公司并不多。
这一险种在引入中国后进行了改良升级,保障范围可拓展至“赔偿因维护公司声誉而进行危机沟通所产生的费用”及“赔偿被保企业的客户因企业遭受网络袭击、服务器宕机、数据泄漏以及进行错误数据交互时所承受的损失”等。
“传统责任险和财产险对于因网络攻击事件造成的损失往往在承保范围中表述得模糊不清、甚至明示除外责任,这也是促使国内企业更多关注网络安全保险的重要原因。越来越多投保企业对于发生网络事件时,依靠传统保险产品是否能获得充足有效的保障存有疑虑,进而愿意考虑通过独立特定的网络安全保险产品完善企业风险管理。”周一芳深信,随着我国网络安全产业的持续发展和网络安全法律法规的不断完善,我国网络安全保险市场具有巨大的增长空间。
新生事物还需要政策扶持和示范效应。去年9月,工业和信息化部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,提出了要“探索开展网络安全保险服务”。
有专家就此建议,应因地制宜,结合各地不同的产业特色、应用场景,选取在行业内占据领先地位的龙头企业开展网络安全保险试点工作。同时,还要制定网络安全保险保费补贴政策,充分发挥财政资金导向作用,助力企业放心转型,为行业高质量发展和数字经济创新打开新局面。
针对我国保险公司欠缺网络安全保险实践经验的问题,原保监会副主席周延礼提出两点建议:一是加强数据收集。网络安全风险数据是保险公司开展网络安全保险业务的基础;二是要制定切实可行的风险应对办法。在缺乏更多有效数据的情况下,保险公司可建立一套基于风险管理成熟度模型的评估体系,对客户开展承保前的安全评估,通过评估了解客户的安全投入及安全管控的持续性和有效性,评价客户安全需求与现有产品的吻合程度以及可能的产品灵活定价。