專訪達信CEO李銘:由于保密與計算機安全風險快速演變����,傳統保險已無法為相關風險提供充足保障
每日經濟新聞
2021-10-25 21:05:09
◎由于保密與計算機安全風險的快速演變,普通責任險����、財產險����、雇員忠誠/犯罪等傳統保險已經無法為此類風險提供充足的保險保障����。
◎從風險防范的角度來講,只要一個企業是使用計算機網絡的����,并且存有一些有價值的信息的����,那這個企業就會面臨網絡安全的風險����。
每經記者 涂穎浩 每經編輯 陳星
“由于保密與計算機安全風險的快速演變,普通責任險、財產險、雇員忠誠/犯罪等傳統保險已經無法為此類風險提供充足的保險保障����。”
近日����,達信(中國)保險經紀CEO李銘在接受《每日經濟新聞》記者專訪時表示����,對于傳統保險留下的缺口,一張完善的網絡風險保單不僅可以承保應對網絡破壞過程中發生的高額費用(包括第一方損失和第三方責任),還可以承保網絡風險事件發生之后的訴訟和賠償成本,包括:法律費用,和解����、判決����、監管調查和法律調查費用����,營業收入損失,網絡敲詐和其他相關商業費用。
據了解����,目前中國市場的大部分企業并未投保網絡安全保險����,很多客戶是在經歷過相關風險之后才考慮購買保險產品����。
李銘認為����,在中國市場,網絡安全保險的發展空間巨大����。他還指出:“雖然此類產品在海外市場已經逐漸成熟����,但海外市場的需求和國內企業的需求有所不同����,必須進一步了解中國市場和企業真正的保險產品需求,才能設計更能貼合國內客戶需求的產品����。”
圖片來源:受訪者提供
網絡安全事故頻發����,亟待保險覆蓋風險
在過去的三十年間,計算機、網絡的普及和高速發展使得社會以及各行各業都迅速信息化,隨之而來的一系列網絡安全風險和可能發生的事故已經屢見不鮮。如近幾年比較出名的WannaCry網絡勒索����、馬士基航運遭受的Petya病毒攻擊����、一些著名酒店和平臺的數據泄露����,以及相對常見的DDos網絡攻擊,甚至我們每個人都可能遇到的網絡詐騙等。
如今,隨著勒索軟件的發展和演變����,其種類越來越多,傳播病毒����、逃避檢測����、加密文件以及迫使用戶支付贖金的能力也越來越強大����。相關統計顯示,勒索軟件攻擊者每天進行4000多次攻擊����;每3000封通過篩選的電子郵件中就有一封包含惡意軟件����;公司平均支付233217美元的贖金����;每次勒索軟件攻擊之后有19天的停機。2021年����,被勒索軟件攻擊后恢復的全球成本將超過200億美元����。
什么類型的企業面臨的網絡安全風險敞口更大����?李銘在受訪時告訴記者,不同行業的公司對網絡風險管理可能處在不同的階段����。盡管,大家可能都會認為只有部分公司會面臨網絡安全相關的風險,比如金融機構����、醫院����、酒店����、學校等涉及儲存大量個人信息的機構和公司,但持有較多有價值的商業信息或者專利的公司����,大比例依賴網絡運營的互聯網公司等����,這類公司也是目前風險敞口相對更大的企業����。
“從風險防范的角度來講����,只要一個企業是使用計算機網絡的����,并且存有一些有價值的信息的,那這個企業就會面臨網絡安全的風險����。”他稱。
由于網絡安全事故頻發,給企業帶來潛在損失大����,尋求保險以覆蓋相關風險成為必要選擇����。李銘介紹����,針對網絡風險,目前比較常見的保險產品是網絡安全保險����,該保險是在發生網絡安全相關的事故時����,由保險公司來對造成的損失按照保單的約定進行補償����。其保障范圍主要分為第一方損失和第三方責任。
具體而言,第一方損失是投保網絡安全保險的公司本身遭受的損失,比如發生營業中斷時的營業收入損失����;公司受到網絡勒索時的勒索款����;發生網絡安全事故或者數據泄露事故時����,調查鑒定和數據恢復的費用以及一些公關費用。而第三方的責任,是因為前面提及的網絡安全事故和數據泄露事故時,第三方來求償,或者受到監管的調查����,最終公司應付的補償,第三方損失的金額以及相關的法律費用等����。
“通過投保網絡安全保險����,基本上一家公司所面臨的網絡安全風險����,最核心的風險敞口就通過轉嫁給保險的方式得到了覆蓋。”李銘表示����。
市場規模小����,保險公司處于“試水”階段
李銘介紹����,對于網絡安全相關風險和相關的保障,其他傳統的財產與責任險其實也會或多或少有所涉及����,比如信息技術類的專業服務責任險就會承保公司在提供信息����、網絡相關服務時,由于實際或者被指稱的不當行為����,而受到第三方(客戶)求償時的損失等����。
但由于保密與計算機安全風險的快速演變����,傳統保險已經無法為此類風險提供充足的保險保障����。他舉例稱,比如普通責任險保單通常不承保電子數據損失����、被保險人或其員工的犯罪或故意行為����,或索賠前發生的費用(例如通知費用和監管抗辯費用)����;財產險保單通常將承保范圍限定為風險導致的有形財產損壞或用途損失以及特定地點的有形財產損壞,有些保險公司明確表示不承保數據損失����。
在李銘看來����,網絡安全保險是一個相對較新的����、應對網絡安全風險更具針對性的險種。“一張完善的網絡風險保單����,不僅可以承保應對網絡破壞過程中發生的高額費用����,還可以承保網絡風險事件發生之后的訴訟和賠償成本����,這包括法律費用����,和解、判決、監管調查和法律調查費用����,營業收入損失����,網絡敲詐和其他相關商業費用����,能補足傳統保險留下的缺口。”
不過,由于目前整體市場還在起步階段����,企業相關風險意識還有待提高����。根據達信對全球近1000家企業(包括亞洲200家)的《達信風險彈性報告》的調查結果:雖然45%的企業將網絡風險認定為最重要的風險之一����,但是僅有18%的受訪企業表示,他們已經為其做好了充足的準備����。46%的受訪者表示����,他們的公司能夠承受重大網絡攻擊帶來的財務影響����,然而只有不到三分之一的企業對網絡風險進行預測和建模。
從供給端而言,李銘告訴記者����,目前針對性保障網絡安全相關風險的保險產品在國內還非常新����,因此產品的選擇也有限����。“據我們觀察,在中國能夠提供比較全面的網絡安全保險的機構在當下主要還是一些外資保險公司及個別中資保險公司。由于這一市場規模還相對較小����,很多保險公司也還處于‘試水’階段����,或者需要完全依靠再保人的支持����。”
“我們相信在未來會有越來越多的保險公司能夠甚至樂于參與到網絡安全保險產品的研發、設計和推廣中。”李銘樂觀預期����,隨著《關鍵信息基礎設施安全保護條例》����、《數據安全法》等一系列法律法規的頒布����,中國網絡安全相關保險產品發展空間巨大����,也相信未來會有越來越多的企業在完善網絡相關技術的同時,通過保險的方式轉嫁風險����,從而為企業的網絡風險敞口提供更加完整����、全面的管理和覆蓋����。
今年費率上漲超六成,正經歷嚴峻過渡期
根據達信對網絡保險市場的觀察����,2021年����,網絡保險市場正經歷一個嚴峻的過渡期����,費率上漲超過60%,承保能力下降����,承保核查力度加大����。這一變化在很大程度上是因為2020年以后勒索軟件事件發生的頻率和嚴重性都大幅增加����。
“從全球看����,網絡安全保險的費率正在持續由于賠案的增長而增長����。”在李銘看來����,保險公司正在努力應對不斷增加的攻擊數量和成本、越來越多的廣泛攻擊����,以及供應鏈中網絡安全事件帶來的影響����?���;诖耍粩鄲夯馁r付率也在被糾正����,例如限制承保能力和提出共同保險要求����,以維持投資組合的盈利能力����。
李銘舉例稱����,我們處理過相對比較大型的制造業企業投保案例,他們有較大的需求,要符合全球市場對他們的保險限額要求。如今的網絡安全保險市場相對屬于賣方市場����,保險公司作為賣方����,會較為嚴謹地控制每一個投保案例的險額����,在核保時對信息提供的要求比較高,定價條件也比較嚴苛����。他解釋稱:“網絡安全保險產品在中國市場可能還未如此普及����,但在國外市場����,因為網絡安全風險的不斷上升,理賠事件越來越多,保險公司正針對市場變化作出自己的業務調整����。”
樂觀來看����,由于市場風險的增加����,企業愿意為網絡安全投入的成本也明顯在增加����。李銘認為����,當前階段����,相對承保能力較為充足、對投保企業類型限制較少的保險機構會有一定優勢。隨著法律制度的完善和國家政策的激勵���,未來會有更多的企業希望選擇這個保險,同時,有更多的保險公司愿意承保相關的風險,從而帶來市場的整體規模增長和盈利。
李銘在受訪時還指出:“雖然此類產品在海外市場已經逐漸成熟����,但海外市場的需求和國內企業的需求有所不同���,必須進一步了解中國市場和企業真正的保險產品需求����,才能設計更能貼合國內客戶需求的產品���。”
比如��,很多國內的保險公司和企業����,一開始并不能接受所謂的第三方責任保障�。企業在運營過程中泄露了客戶數據從而導致第三方的損失,因為沒有嚴格的相關界定,中國企業并不經常遇見類似索賠事件。而他們投保比較多的����,可能是一些直接的軟件勒索、營業中斷而造成的損失���。相對來說,中國客戶更希望能有第一方損失的保障�����,而海外客戶則會更傾向于第三方保障����。在其看來,來源于海外的產品很難100%符合國內客戶的需求�����。
