每经记者:涂颖浩 每经编辑:马子卿
近日,由上海市经济信息化委和上海银保监局指导,众安保险等多家保险公司与企业用户单位共同发起了网络安全保险新产品的“科金共生新行动”,制定网络安全保险服务相关团体标准,开发普惠险、综合险、行业险等网络安全保险产品,研究制定网络安全保险产业发展配套政策。
(资料图片仅供参考)
当前,网络攻击、网络犯罪频繁发生,数量庞大、覆盖面广,并存在预知难、溯源难问题。虽然传统企业每年都会投入一定资金采购安全产品和服务,网信和公安部门强制推行的等级保护测评工作也起到了第二道防线的作用,仍需要引入网络安全风险管理机制,在发生网络安全事件时为其提供托底服务。
作为针对数字经济特定风险的新险种,网络安全保险可以发挥风险转移作用,成为抵御网络安全风险的第三道防线。据市场研究公司(Research and Markets)预测,到2026年,全球网络安全保险市场规模将达到350.7亿美元,平均年复合增长率达到26.6%,展现出巨大的网络安全保险市场空间。
那么,网络安全保险到底包含哪些保障内容?当下我国网络安全保险正处于萌芽阶段,在探索中遇到哪些难点?如何推进网络安全保险的快速落地发展?对于这些问题,《每日经济新闻》记者近日采访行业专家得到答案。
网络安全险保什么?
据了解,在二十世纪九十年代,全球网络安全保险进入萌芽阶段,保险公司和安全企业的合作模式初步确立,保险公司开始尝试网络安全险业务。这一时期保险公司开展网络安全保险业务主要的模式是通过保险为安全公司的一些服务和产品增信,主要集中在第一方损失保障;进入二十一世纪,全球网络安全保险市场走过了初步探索阶段,并伴随着投保需求的释放,保险公司也探索出了综合险,将第一方损失和第三者责任都纳入到了保障范围,网络安全保险由此在全球进入了发展期。
众安保险相关负责人对《每日经济新闻》记者表示,“最近十年,全球的网络安全保险进入了一个快速发展的时期,主要解决了包括像风险量化、风险定价,包括合作模式的一些问题的创新,比如欧盟GDPI的生效进一步强化了数据主权的保护,同时也加大了行政处罚的力度,拉动网络安全投保的需求。”
据了解,网络安全保险的保障范围主要分为第一方损失和第三方责任。具体而言,第一方损失是投保网络安全保险的公司本身遭受的损失,比如发生营业中断时的营业收入损失;公司受到网络勒索时的勒索款;发生网络安全事故或者数据泄露事故时,调查鉴定和数据恢复的费用以及一些公关费用。而第三方的责任,是因为前面提及的网络安全事故和数据泄露事故时,第三方来求偿,或者受到监管的调查,最终公司应付的补偿,第三方损失的金额以及相关的法律费用等。
(图片来源:众安保险)
浙江省网络空间安全协会副理事长、专家技术委员会委员叶翔在《网络安全保险在我国的发展和创新研究》指出,适用于国内企业的网络安全保险产品,通常销售的时候会提供多个模块供企业选择,形成综合险。这类似于消费者购买车险,可以同时购买交强险、车损险和第三者责任险,也可以只购买交强险和第三者责任险,第三者责任险的赔偿额也可以自由选择20万元或100万元。但是,网络安全本身的复杂性和市场成熟度决定了网络安全保险比车险要复杂得多。
对于网络安全保险在探索中的难点,众安保险相关负责人指出,“网络攻击技术也在日新月异地发展,随着勒索软件的扩散,并且勒索软件攻击频度也在增加,扩大了网络安全保险保单的损失,包括间接损失,其实保险公司这些年也相应地提高了网络安全保险定价。”
达信和微软发布的网络复原力现状报告显示,勒索软件被认为是公司面临的首要网络威胁,但不是唯一的威胁。其他常见的威胁包括网络钓鱼/社会工程学攻击、隐私泄露以及由于外部供应商受到攻击而造成的业务中断。
国内网络安全保险市场尚处探索阶段
2021年7月,工信部在发布的《网络安全生产高质量发展三年行动计划(2021-2023年)征求意见稿》中明确提出,要探索开展网络安全保险,开展网络安全保险的服务试点,全面提升网络安全保险对产业的安全保障能力和服务水平。
“国内网络安全保险市场仍处初步探索阶段。”众安保险相关负责人介绍称,国内网络安全保险产品的合作方式主要有两种:一是IT服务商向客户推销IT产品时,附带或者赠送一张网络安全保险单,为其IT产品进行背书或者增信;二是“保险+安全服务”形式,主要由保险公司向有需求的公司出具网络安全保单,同时由保险科技公司或第三方网络安全公司提供专业的安全服务,做到保前、保中、保后全方位的安全管控。同时也包含安全事件发生后的应急响应服务,及理赔定损等专业服务。
《每日经济新闻》记者了解到,上海保险业在全国率先推出的普惠版网络安全保险产品,预计可以覆盖目前小微企业面临的80%以上网络安全风险,同时有效节约企业成本。众安保险相关负责人在受访时表示,“这是市面上第一款为中小企业量身定制的网络安全保险,让更多的市场主体更好地了解网络安全保险产品。”
据悉,普惠版的目标客群是有着网站或者APP小程序的中小企业,可以通过保前、保中、保后的全流程服务让客户体验到集安全评估、整改、监测为一体的风险管理闭环,帮助企业构建完善的风险管理体系,以提高整体网络安全水平,同时可对承保风险进行综合管控,包括定期巡检、检测、防护等。
市场迎来加速发展期
在业内人士看来,此前网络安全保险处于摸索阶段,主要体现在产品尚未成熟、服务未成规范、行业共识欠缺。随着相关政策落地,市场正进入一个新的发展阶段。
今年5月1日,中国网络安全产业联盟正式发布联盟标准T/CCIA 001-2022《面向网络安全保险的风险评估指引》正式实施。该标准由安恒信息牵头,40多家网络安全相关机构和企业共同研制,是网络安全保险业内第一项。值得一提的是,全国信息安全标准化技术委员会也正在积极推动《网络安全保险应用指南》国家标准。
不久前,在上海银保监局、上海市经信委指导下,由上海市保险同业公会组织相关险企及信息技术公司共同参与制定而成的《网络安全保险服务规范》团体标准的征求意见稿发布,形成网络安全保险承保、风控、理赔服务的统一标准要求,以提高网络安全保险服务水平。率先为网络安全保险发展立下了“规矩”。
众安保险相关负责人推测,对于国家金融中心,网络安全保险先行者的上海而言,政策的持续落地推动也意味着网络安全保险产品将快速走向多级市场,并有望在多级市场试点、示范之后加速向全国推广,届时,网络安全保险市场必将迎来加速发展期。
据了解,以国内险企探索网络安全保险的发展路径看,一方面,险企针对不同场景,设计了认证安全类、数字资产安全类、交易安全类、以及云上业务安全类等方面的产品;另一方面,针对不同的行业,如互联网金融业、大金融业,制造业、医疗卫生领域等各个行业,设计了有针对性风险解决方案。
叶翔指出,把产品限定在某个或某些垂直领域试点,这样做的好处是,一方面,同行业的需求比较相近,方便制定标准化产品;另一方面,行业的风险相近,可以制定合理的费率。
达信(中国)保险经纪CEO李铭也曾预计,未来会有越来越多的保险公司能够甚至乐于参与到网络安全保险产品的研发、设计和推广中。
每日经济新闻
每日经济新闻