>首页> IT >

Apache Log4j漏洞引“炸锅”,谁来保护网络安全?

时间:2021-12-13 22:45:17       来源:腾讯网

随着数字信息技术深入应用到各行各业,相伴而来的是网络安全事故多发。黑客网络攻击、数据信息泄露等事件层出不穷。近日,被全球广泛应用的组件Apache Log4j被曝出一个高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器。全球范围的大多数科技公司都可能会受到影响。

全球网络安全事故频发,网络安全保险作为分散网络安全风险的有效措施,有望在网络空间治理中大展拳脚。但目前网络安全保险占财产保险保费规模不到万分之一,市场仍需进一步挖掘。

网络安全事件警钟不断,保险可构筑防线

12月10日凌晨,被全球广泛应用的组件Apache Log4j被曝出一个高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器,目前,该消息已在IT人士朋友圈刷屏。

一位计算机网络安全从业人士告诉北京商报记者,该漏洞可以导致很多系统被直接入侵控制,全球范围内的大多数科技公司都可能会受到影响,如百度、苹果公司等。

上述事件仅是网络安全事故的冰山一角,据外媒报道,5月美国主要燃油、燃气管道运营商Colonial Pipeline遭黑客攻击,不得已向黑客支付了近500万美元的赎金;8月日本加密货币交易所Liquid遭网络攻击,价值9400万美元的加密资产被窃取。据 Cybersecurity Ventures 预测,2021年因网络犯罪造成的全球经济损失预测将达到6万亿美元,逼近世界经济的10%。

网络安全是全球性问题,有媒体引用安联财险发布的有关报告显示,每年中国因网络袭击造成的经济损失高达3996亿元。

全球网络安全事故愈演愈烈,网络安全保险作为防范网络安全风险的有效措施,在网络空间治理中有望大展拳脚。

所谓网络安全保险,是承保与网络空间风险等相关风险为目的的保险产品,保障的是由于隐私事件或者安全事件给被保险人造成的第一方损失及第三方责任索赔。

网络安全保险并非新生事物,《我国网络安全保险产业发展白皮书(2021年)》(以下简称《白皮书》)指出,目前国内市场在售网络安全保险产品超过50款,承保方既包括苏黎世财产保险、东京海上日动火灾保险等外资保险公司,也包括人保财险、平安产险、太保产险、国寿财险在内的约20家中资保险公司。

网络安全保险具体保障内容有哪些?以绿盟科技与前海财险联合发布的“网络安全综合保险”为例,据了解,该产品保障内容包括事故鉴定服务费用、数据恢复费用、计算机勒索赎金、数据泄密责任、外包商导致的数据泄密责任、数据安全责任、法律服务费用,共7项,涵盖大多数当前网络安全风险点。

网络安全保险规模小,市场需求尚待挖掘

随着网络安全风险不断演变,网络安全保险未来的发展市场将是一片蓝海。瑞士再保险预测,到2025年中国网络安全保险保费规模将达到5亿元。

但目前网络安全保险产品并不“叫座”,《白皮书》指出,我国网络安全保险市场已迈入初步探索阶段,保费规模突破7080万元,最高保额超4亿元,仅占财产保险保费规模的不到万分之一,也不足网络安全产业规模的千分之一。

北京联合大学管理学院金融系教师杨泽云分析称,当前网络安全保险市场规模较低,需求不足是主要原因。一方面,大多数企业并未认识到网络安全带来的潜在风险;另一方面,部分认识到网络潜在风险的企业,但可能面临较高的风险敞口,要获得足额的保险保障,需要支付的对价较高。在此情形下,可能基于侥幸心理而未投保或保额有限。

“企业还可能因为担心遭遇网络安全保险理赔难而放弃投保,相较于一般企业财产损失保险,网络安全保险的很多损失难以明确,如数据修复费用、信息泄露责任等,损失难以确定,理赔也会遭遇较多纠纷,从而影响投保。”杨泽云坦言。

除了市场需求不足,网络安全保险也面临定价和核保方面的考验,零壹研究院院长于百程指出,网络安全问题技术性强,充满了变化性,单次危害可能巨大,但损失的数据价值又缺乏评估标准,用传统方式难以对网络安全风险进行定价和核保。

机遇与挑战并存,“保险+科技”协同构筑保护屏障

虽然定价难、市场需求不足等因素制约着网络安全保险的发展,但网络安全保险市场前景十分广阔。原保监会副主席周延礼曾表示,网络安全保险是数字化转型的安全基石,是风险管理的重要工具。网络安全风险在某种程度上防不胜防,面对这种风险产生的经济损失如何进行防护,要通过保险来进行风险转移。

于百程也认为,在数字经济之下,数据已成为核心生产要素,未来网络数据将成为最重要的资产之一,市场会不断增大。同理,网络安全保险的市场空间宽广。

“近几年出台的《网络安全法》《数据安全法》和《个人信息保护法》,加强了企业的网络安全意识,对相关市场打下了法律基础。”于百程补充道。

未来保险公司该如何挪开定价难等“绊脚石”?

实际上,对于解决定价、核保难等问题,目前行业内已进行了一些探索,包括众安保险、前海财险、国寿财险在内的保险公司联合科技公司,通过“保险+科技”的方式,协同开发网络安全保险等相关产品的模型和风控系统,以提升保险公司对于网络安全保险的定价能力和核保能力。

于百程指出,保险公司加大科技投入,设立科技子公司或者与科技公司深度合作,为网络安全保险业务提升了技术保障。

而对于提升网络安全保险市场需求,杨泽云指出,网络安全保险市场的整体规模仍然较低,特别是其保障额度与其面临的潜在风险相比仍有较大差距。根据其他保险发展的规律来看,网络安全保险市场规模的扩大有赖于一些较大网络安全事故的推动。

北京商报记者 陈婷婷 实习记者 李秀梅

关键词: Apache Log4j漏洞引“炸锅” 谁来保护网络安全? 网络安