專訪達信CEO李銘:由于保密與計算機安全風險快速演變���,傳統(tǒng)保險已無法為相關風險提供充足保障
每日經(jīng)濟新聞
2021-10-25 21:05:09
◎由于保密與計算機安全風險的快速演變����,普通責任險���、財產(chǎn)險���、雇員忠誠/犯罪等傳統(tǒng)保險已經(jīng)無法為此類風險提供充足的保險保障。
◎從風險防范的角度來講���,只要一個企業(yè)是使用計算機網(wǎng)絡的����,并且存有一些有價值的信息的�,那這個企業(yè)就會面臨網(wǎng)絡安全的風險。
每經(jīng)記者 涂穎浩 每經(jīng)編輯 陳星
“由于保密與計算機安全風險的快速演變���,普通責任險、財產(chǎn)險�����、雇員忠誠/犯罪等傳統(tǒng)保險已經(jīng)無法為此類風險提供充足的保險保障。”
近日�,達信(中國)保險經(jīng)紀CEO李銘在接受《每日經(jīng)濟新聞》記者專訪時表示,對于傳統(tǒng)保險留下的缺口��,一張完善的網(wǎng)絡風險保單不僅可以承保應對網(wǎng)絡破壞過程中發(fā)生的高額費用(包括第一方損失和第三方責任)����,還可以承保網(wǎng)絡風險事件發(fā)生之后的訴訟和賠償成本,包括:法律費用�,和解、判決��、監(jiān)管調(diào)查和法律調(diào)查費用���,營業(yè)收入損失��,網(wǎng)絡敲詐和其他相關商業(yè)費用�����。
據(jù)了解,目前中國市場的大部分企業(yè)并未投保網(wǎng)絡安全保險����,很多客戶是在經(jīng)歷過相關風險之后才考慮購買保險產(chǎn)品���。
李銘認為,在中國市場�����,網(wǎng)絡安全保險的發(fā)展空間巨大����。他還指出:“雖然此類產(chǎn)品在海外市場已經(jīng)逐漸成熟,但海外市場的需求和國內(nèi)企業(yè)的需求有所不同����,必須進一步了解中國市場和企業(yè)真正的保險產(chǎn)品需求,才能設計更能貼合國內(nèi)客戶需求的產(chǎn)品���。”
圖片來源:受訪者提供
網(wǎng)絡安全事故頻發(fā)�,亟待保險覆蓋風險
在過去的三十年間����,計算機、網(wǎng)絡的普及和高速發(fā)展使得社會以及各行各業(yè)都迅速信息化���,隨之而來的一系列網(wǎng)絡安全風險和可能發(fā)生的事故已經(jīng)屢見不鮮��。如近幾年比較出名的WannaCry網(wǎng)絡勒索����、馬士基航運遭受的Petya病毒攻擊、一些著名酒店和平臺的數(shù)據(jù)泄露��,以及相對常見的DDos網(wǎng)絡攻擊���,甚至我們每個人都可能遇到的網(wǎng)絡詐騙等�。
如今�,隨著勒索軟件的發(fā)展和演變,其種類越來越多���,傳播病毒���、逃避檢測、加密文件以及迫使用戶支付贖金的能力也越來越強大�����。相關統(tǒng)計顯示�,勒索軟件攻擊者每天進行4000多次攻擊;每3000封通過篩選的電子郵件中就有一封包含惡意軟件���;公司平均支付233217美元的贖金����;每次勒索軟件攻擊之后有19天的停機����。2021年,被勒索軟件攻擊后恢復的全球成本將超過200億美元����。
什么類型的企業(yè)面臨的網(wǎng)絡安全風險敞口更大?李銘在受訪時告訴記者�,不同行業(yè)的公司對網(wǎng)絡風險管理可能處在不同的階段。盡管�����,大家可能都會認為只有部分公司會面臨網(wǎng)絡安全相關的風險��,比如金融機構�����、醫(yī)院、酒店�、學校等涉及儲存大量個人信息的機構和公司,但持有較多有價值的商業(yè)信息或者專利的公司�,大比例依賴網(wǎng)絡運營的互聯(lián)網(wǎng)公司等,這類公司也是目前風險敞口相對更大的企業(yè)����。
“從風險防范的角度來講,只要一個企業(yè)是使用計算機網(wǎng)絡的�,并且存有一些有價值的信息的,那這個企業(yè)就會面臨網(wǎng)絡安全的風險�。”他稱。
由于網(wǎng)絡安全事故頻發(fā)����,給企業(yè)帶來潛在損失大,尋求保險以覆蓋相關風險成為必要選擇���。李銘介紹�����,針對網(wǎng)絡風險�,目前比較常見的保險產(chǎn)品是網(wǎng)絡安全保險,該保險是在發(fā)生網(wǎng)絡安全相關的事故時����,由保險公司來對造成的損失按照保單的約定進行補償。其保障范圍主要分為第一方損失和第三方責任�。
具體而言����,第一方損失是投保網(wǎng)絡安全保險的公司本身遭受的損失,比如發(fā)生營業(yè)中斷時的營業(yè)收入損失����;公司受到網(wǎng)絡勒索時的勒索款;發(fā)生網(wǎng)絡安全事故或者數(shù)據(jù)泄露事故時�,調(diào)查鑒定和數(shù)據(jù)恢復的費用以及一些公關費用。而第三方的責任�,是因為前面提及的網(wǎng)絡安全事故和數(shù)據(jù)泄露事故時,第三方來求償��,或者受到監(jiān)管的調(diào)查�����,最終公司應付的補償��,第三方損失的金額以及相關的法律費用等。
“通過投保網(wǎng)絡安全保險����,基本上一家公司所面臨的網(wǎng)絡安全風險,最核心的風險敞口就通過轉嫁給保險的方式得到了覆蓋�。”李銘表示。
市場規(guī)模小����,保險公司處于“試水”階段
李銘介紹,對于網(wǎng)絡安全相關風險和相關的保障�����,其他傳統(tǒng)的財產(chǎn)與責任險其實也會或多或少有所涉及����,比如信息技術類的專業(yè)服務責任險就會承保公司在提供信息、網(wǎng)絡相關服務時�,由于實際或者被指稱的不當行為,而受到第三方(客戶)求償時的損失等����。
但由于保密與計算機安全風險的快速演變,傳統(tǒng)保險已經(jīng)無法為此類風險提供充足的保險保障��。他舉例稱,比如普通責任險保單通常不承保電子數(shù)據(jù)損失�����、被保險人或其員工的犯罪或故意行為�����,或索賠前發(fā)生的費用(例如通知費用和監(jiān)管抗辯費用)�;財產(chǎn)險保單通常將承保范圍限定為風險導致的有形財產(chǎn)損壞或用途損失以及特定地點的有形財產(chǎn)損壞����,有些保險公司明確表示不承保數(shù)據(jù)損失。
在李銘看來����,網(wǎng)絡安全保險是一個相對較新的、應對網(wǎng)絡安全風險更具針對性的險種����。“一張完善的網(wǎng)絡風險保單,不僅可以承保應對網(wǎng)絡破壞過程中發(fā)生的高額費用���,還可以承保網(wǎng)絡風險事件發(fā)生之后的訴訟和賠償成本�����,這包括法律費用���,和解��、判決���、監(jiān)管調(diào)查和法律調(diào)查費用,營業(yè)收入損失�,網(wǎng)絡敲詐和其他相關商業(yè)費用,能補足傳統(tǒng)保險留下的缺口����。”
不過,由于目前整體市場還在起步階段�����,企業(yè)相關風險意識還有待提高����。根據(jù)達信對全球近1000家企業(yè)(包括亞洲200家)的《達信風險彈性報告》的調(diào)查結果:雖然45%的企業(yè)將網(wǎng)絡風險認定為最重要的風險之一,但是僅有18%的受訪企業(yè)表示��,他們已經(jīng)為其做好了充足的準備。46%的受訪者表示��,他們的公司能夠承受重大網(wǎng)絡攻擊帶來的財務影響�,然而只有不到三分之一的企業(yè)對網(wǎng)絡風險進行預測和建模。
從供給端而言���,李銘告訴記者�����,目前針對性保障網(wǎng)絡安全相關風險的保險產(chǎn)品在國內(nèi)還非常新����,因此產(chǎn)品的選擇也有限��。“據(jù)我們觀察��,在中國能夠提供比較全面的網(wǎng)絡安全保險的機構在當下主要還是一些外資保險公司及個別中資保險公司���。由于這一市場規(guī)模還相對較小,很多保險公司也還處于‘試水’階段�����,或者需要完全依靠再保人的支持。”
“我們相信在未來會有越來越多的保險公司能夠甚至樂于參與到網(wǎng)絡安全保險產(chǎn)品的研發(fā)��、設計和推廣中����。”李銘樂觀預期,隨著《關鍵信息基礎設施安全保護條例》�����、《數(shù)據(jù)安全法》等一系列法律法規(guī)的頒布���,中國網(wǎng)絡安全相關保險產(chǎn)品發(fā)展空間巨大�����,也相信未來會有越來越多的企業(yè)在完善網(wǎng)絡相關技術的同時�,通過保險的方式轉嫁風險��,從而為企業(yè)的網(wǎng)絡風險敞口提供更加完整���、全面的管理和覆蓋��。
今年費率上漲超六成����,正經(jīng)歷嚴峻過渡期
根據(jù)達信對網(wǎng)絡保險市場的觀察,2021年��,網(wǎng)絡保險市場正經(jīng)歷一個嚴峻的過渡期����,費率上漲超過60%,承保能力下降����,承保核查力度加大。這一變化在很大程度上是因為2020年以后勒索軟件事件發(fā)生的頻率和嚴重性都大幅增加���。
“從全球看�����,網(wǎng)絡安全保險的費率正在持續(xù)由于賠案的增長而增長。”在李銘看來���,保險公司正在努力應對不斷增加的攻擊數(shù)量和成本�、越來越多的廣泛攻擊��,以及供應鏈中網(wǎng)絡安全事件帶來的影響?����;诖?����,不斷惡化的賠付率也在被糾正��,例如限制承保能力和提出共同保險要求��,以維持投資組合的盈利能力�。
李銘舉例稱,我們處理過相對比較大型的制造業(yè)企業(yè)投保案例�,他們有較大的需求,要符合全球市場對他們的保險限額要求�。如今的網(wǎng)絡安全保險市場相對屬于賣方市場,保險公司作為賣方���,會較為嚴謹?shù)乜刂泼恳粋€投保案例的險額����,在核保時對信息提供的要求比較高,定價條件也比較嚴苛�����。他解釋稱:“網(wǎng)絡安全保險產(chǎn)品在中國市場可能還未如此普及�����,但在國外市場�����,因為網(wǎng)絡安全風險的不斷上升����,理賠事件越來越多,保險公司正針對市場變化作出自己的業(yè)務調(diào)整����。”
樂觀來看,由于市場風險的增加�����,企業(yè)愿意為網(wǎng)絡安全投入的成本也明顯在增加�。李銘認為����,當前階段�����,相對承保能力較為充足����、對投保企業(yè)類型限制較少的保險機構會有一定優(yōu)勢�。隨著法律制度的完善和國家政策的激勵,未來會有更多的企業(yè)希望選擇這個保險���,同時��,有更多的保險公司愿意承保相關的風險����,從而帶來市場的整體規(guī)模增長和盈利�。
李銘在受訪時還指出:“雖然此類產(chǎn)品在海外市場已經(jīng)逐漸成熟,但海外市場的需求和國內(nèi)企業(yè)的需求有所不同��,必須進一步了解中國市場和企業(yè)真正的保險產(chǎn)品需求�����,才能設計更能貼合國內(nèi)客戶需求的產(chǎn)品。”
比如�����,很多國內(nèi)的保險公司和企業(yè)����,一開始并不能接受所謂的第三方責任保障。企業(yè)在運營過程中泄露了客戶數(shù)據(jù)從而導致第三方的損失����,因為沒有嚴格的相關界定,中國企業(yè)并不經(jīng)常遇見類似索賠事件���。而他們投保比較多的���,可能是一些直接的軟件勒索、營業(yè)中斷而造成的損失�。相對來說,中國客戶更希望能有第一方損失的保障���,而海外客戶則會更傾向于第三方保障����。在其看來���,來源于海外的產(chǎn)品很難100%符合國內(nèi)客戶的需求���。
