是”风口”还是“遥远的桥”？——网络安全保险

《A Bridge Too Far》（中文译为“遥远的桥”又译“夺桥遗恨”）是一部摄于1977年由英国导演理查德·阿滕伯勒执导的二战著名影片。该片描述了盟军在二战后期弥漫着乐观的情绪，轻率以为可以从荷兰入境德国从而提前结束战争，结果在付出惨重代价后始终未能攻占阿纳姆地区横跨莱茵河的大桥，最终以盟军的惨痛失败而告终。

后来有西方人士以“遥远的桥”这个短语描述那些看似美好，而最终未能实现的事务。网络安全保险（Cyber Insurance 或 Cyber Security Insurance）作为一项投保险种，早在上世纪90年代就已伴随着IT网络的发展及安全风险的再配置与转移应运而生。经过近20余年全球社会经济和网络技术的发展，在国外发达国家中该市场已较为成熟，而我国则刚刚起步并开始进入一个风口阶段。网络安全保险的发展及应用前景无疑是可期盼的，但实际过程中是否会成为人们口中所说的“遥远的桥”？绿盟君将做出较为全面的分析。

网络安全保险的市场及预测分析

数据表明在全球网络安全保险的市场中，来自美国的市场占据了约90%的份额，来自120家美国保险公司的报告数据表明2016年总共提供了价值10亿美元的网络保险，而根据其它机构的估计当前美国国内网络安全保险的年度投保金额在15至30亿美元之间。初看该金额似乎也不小，但和2015年美国国内总计5058亿美元的保险市场相比，大家就能明白网络安全保险在保险行业实在是一个微小的市场。不过由于金融保险市场激烈竞争，使得网络安全保险这个市场进入了众多国内外保险提供商的业绩增长目光中。

近年来国际上一些安全大事件的发生，如14年Sony公司的黑客入侵事件、15年美国OPM(人事管理办公室)数据泄露事件、16年美国遭史上最大规模DDoS攻击事件使得国外一些机构对网络安全保险的市场增长持续看好并做出了预期分析，PwC机构认为全球网络安全保险市场预期到2020年将达到75亿美元。根据安联最新研究报告显示，我国每年预计遭受600亿美元的网络损失，居亚洲第一。随着《中国人民共和国网络安全法》的正式实施，我国政府加强了对网络安全的监管，企业机构及个人安全意识的得到了更多的唤醒并不断提升，国内网络安全保险市场也开始被国内众多的保险公司所看好。

保险机构克服障碍的措施

加强数据收集

毫无疑问，网络安全风险数据是保险机构开展网络保险业务的基础。在这方面保险机构可以通过以下三种方式获得这些数据。

方式一：保险机构通过业务发展不断的积累数据和经验。虽然这将是一个相对漫长的时间过程，但却是一个必经的过程。

方式二：保险机构通过基于自身需求的网络安全建设来提取或反推获得相应的数据。有些保险机构就是通过自己公司的第一手网络安全经验来促进外部业务的发展。

方式三：保险公司向专业的咨询公司、安全厂商等第三方寻求获取相关的数据以充实自身的数据库。

建立可行的风险管控机制

在缺乏更多有效数据的情况下，保险机构可建立一套基于风险管理成熟度模型的评估体系对客户开展承保前的安全评估，通过评估了解客户的安全投入及安全管控的持续性和有效性，评价客户安全需求与现有产品的吻合程度以及可能的产品灵活定价。此外，保险机构也可以通过再保险参与降低一线市场的风控压力。

仔细制定产品的风险覆盖

在产品制定的过程中，保险机构应考虑到两个因素，一是不同的客户群因行业因素、发展因素、监管要求因素存在着不同需求。二是网络安全风险内容繁多且不断的发生变化。因此保险机构需认真深入的了解其目标客户群的网络安全威胁和网络安全需求，避免产品出现安全风险覆盖不满足需求的情况。同时保险机构需保持对网络安全风险变化的持续跟踪，使产品能根据网络安全风险的变化而进行适应性调整，快速跟进并满足市场需求。

提供更多的服务

国外保险机构由于较早开展该项业务，市场竞争也较为激烈，因此他们在商业活动中倾向于提供更多与网络安全相关的服务以增加产品的附加值。

扩大市场宣传

在以往网络安全市场的社会及媒体宣传活动中，政府机构、咨询机构、安全厂商以及网络服务商构成了网络安全宣传的四大主角。作为网络安全保险的提供者，保险机构也需要积极参与其中，一方面让社会全员更多的关心和了解网络安全风险，一方面也有利于推动和扩展商业市场。

网络安全保险的选购建议

从国内《中华人民共和国网络安全法》的正式实施以及近期媒体报道关于网络安全法的执法检查案例中我们可以看到国家监管层面对网络安全的重视程度和监管力度都进入了一个新的高度和新的时期，不少企业机构都开始关注网络安全保险并计划尝试购买此类保险产品。在此，作者给出以下建议供机构用户的决策者参考。

采用网络安全保险仅仅只是用户内部安全策略的组成之一，因此不能把网络安全保险作为主要的安全防御机制。

有些用户认为已购买了一些与业务相关的保险产品从而不需要购买网络安全保险。建议用户对已购买产品进行了解确认其是否覆盖因网络安全威胁而带来的风险损失。例如某些业务中断险可能不包含因网络犯罪而带来的损失。

用户在购买网络安全保险产品前，应该清楚知晓内部哪些是需要通过网络安全保险而进行转嫁消除的安全风险。这部分工作通常可以通过执行一次安全风险评估程序完成。

用户在购买前应该仔细咨询了解保险机构所提供的产品是否覆盖满足机构所期望的风险场景。此外还需要对理赔赔付的前置条件/要求，可能发生歧义理解的内容、不在理赔受理范围内的场景进行咨询和知晓。 例如某些产品可能排除因计算机病毒而导致的风险损失；又如某些产品并不进行赔付如果用户未能满足某个安全规范/标准的要求。

由于网络安全保险不是强制性保险，因此产品及发布机构可能存在较大的差异。用户可以通过一些方法措施寻求最合适的产品及合作机构，这些方法包括在选择保险产品时可查询了解承保机构既往的赔偿支付案例；承保机构是否提供一些额外且专业的安全服务；承保机构有怎样的战略合作安全机构。另外，由于用户可能在安全事故后一段时间内才能发现安全损失，因此也需要考虑承保机构对索赔提交时限的许可承诺。

结束语

网络安全保险是一种切实可行的风险转嫁策略机制。在我国，该市场领域目前还处于探索初始阶段。一方面，众多的国内保险机构纷纷试水，期待在该蓝海市场领域占据商业份额，另一方面，机构用户也期待该机制将帮助降低机构面临的监管压力和业务安全压力。因此网络安全保险的发展是否正如研究机构所估测又或是“一座遥远的桥”，我们还将持续观察。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP