币所逼停、黑市倒卖、数据裸奔：网络安全保险需求旺盛却遭行业浅尝则止？

来源: 零壹财经 王巧月    

金评媒（http://www.jpm.cn）编者按：据百度安全发布的《2017年IDCDDoS攻击报告》显示，2017年，百度安全智云盾共承载IDC环境下IP地址超135万个，其中2.7万个IP地址被DDoS（分布式拒绝服务攻击）攻击38万次，日均1050起。

2017年3月，2100万Gmail和500万雅虎账户在黑市公开售卖； 

2017年12月，韩国加密货币交易所Youbit在2017年12月再遭黑客攻击后宣布破产； 

2018年3月，Facebook数据泄露，一家服务于特朗普竞选团队的数据分析公司Cambridge Analytica获得了Facebook五千万用户的数据，并进行违规滥用。 

…… 

不限于此，网络安全问题就层出不穷。据百度安全发布的《2017年IDC DDoS攻击报告》显示，2017年，百度安全智云盾共承载IDC环境下IP地址超135万个，其中2.7万个IP地址被DDoS（分布式拒绝服务攻击）攻击38万次，日均1050起。 

就网络攻击的特点而言，据安联财产数据统计，现今50%的网络攻击集中在大型机构，越是重要的机构越容易受到攻击。大批量的数据泄漏会造成巨大的损失，也许是网络系统的核心设施受到攻击、核心数据泄漏，或者是云服务供应商网络中断。 

有风险就有应对，网络是一个现代化的风险领域，网络技术向基础性和复杂性演进的过程本质也是效用和风险博弈的过程。这种效用和风险不言而喻。越来越多企业数据、客户和供应商信息在互联网平台“裸奔”：这带来便利的同时也加大了信息风险。 

网络保险无疑是应对网络风险最好的武器。网络安全保险起源于 1970 年代的计算机犯罪险，先后演变为黑客险、数据险等。全球目前约有60余家公司试水网络安全保险。 

一、自我防护还是共同铸建风险资金池？ 

根据 Gartner机构预测，2017 年全球网络安全产业规模预计达到 989.86 亿美元，较 2016 年增长 7.9%， 2018 年预计增长至 1060 亿美元。 

市场规模如此之大，谁能分的一杯羹？ 

按照风险防范与管理的逻辑，企业可以采取两种方式：一种是自我保护，一种是共同建立风险资金池。 

那么，到底哪一种才更加可靠呢？ 

由于互联网是一个相互关联的系统，风险入侵也被分为两种体系：直接入侵和间接入侵。“直接入侵”就是攻击者直接入侵一个企业的信息系统，“间接入侵”就是与其在物理上相互连接的其他企业受到了直接入侵，并通过相互连接的通信网络“传染”到了这个企业，造成这个企业受到“间接入侵”。 

企业a和企业b是相互关联的企业，通过物理上的网络相互通信和连接，企业a由于自身信息系统的脆弱性首先遭到直接入侵Pa，攻击者通过它们之间的连接网络把入侵又“传染”给了企业b，使得企业b受到间接入侵Pab。反之，亦然。例如，网络病毒的传染性。 

网络生态系统的风险具有关联性，在网络安全领域，单一依靠自我保护投资体系，会面临市场失灵的危险。企业之间会产生“投资博弈”，企业以营利为目的，在最小成本获得最大效益的前提下，投资积极性不会很高。在一定条件下，先进行投资的企业的最优投资额大于后进行投资的企业最优投资额，这种情况下投资具有“后动优势”，后进行安全投资是企业的理性选择，后进行投资的企业有“搭便车”嫌疑。此外，某一方网络安全防护水平的提高，也可能对其他主体的网络安全造成负面影响。 

因此，作为对网络安全市场失灵的对冲工具，网络安全保险通过集中的风险池，更加专业地收集事故概率、损失规模等信息，提出防护措施，将网络安全的外部关联性内部化; 网络安全保险可以刺激被保险人主动降低网络风险，因此在网络安全策略中，购买保险比自我保护更受欢迎。 

信息风险可能极大减损网络的效用。企业应投保网络安全保险来避险，或者避免不了时及时采用止损机制。例如，企业一旦遭遇黑客攻击，应该与险企合作的应急响应服务商能在最短时间内帮助企业恢复运营。 

目前阶段，由于互联网信息安全保险发展尚处在初期阶段， 

虽然，目前只有不到10%的企业投保了网络安全保险，但面对巨大的潜在经济损失，各企业愈发意识到投保该保险的重要性。 

二、市场空间巨大，国内外险企浅尝辄止 

据了解，国内首批提供网络安全保险的主要外资险企，如安联财险、美亚保险等，两家均在2015年推出相关产品。承保范围大致类似，主要包括敏感数据外泄（个人及企业数据）、黑客入侵、计算机病毒、雇员恶意破 坏数据或处理数据失当、数据盗窃等引发的第三方索赔或导致的业务中断以及网络勒索相关赎金的保障。 

另外，还有包括平安保险、众安保险等国内险企近年来也提供了网络安全保险这一产品服务。北京某大型财险公司人士表示，“当前很多公司都有网络安全险，一种是保安全，另一种是保责任。 

三、网络安全保险发展初级阶段面临的主要问题 

为何互联网安全保险市场广阔，需要旺盛，但险企却浅尝辄止？ 

1、 传统保险在网络保险领域失能 

在专业的网络安全保险未独立和完善之前，对网络风险的保险通常建立在传统商业综合责任险( Commercial General Liability In-surance，CGL ) 基础上。而CGL建立在 “有形”定义为“能被感知: 能以物质形式存在并通过触摸感知等”的基础之上。在传统 CGL保险语境下，数据的丢失和损坏是否属保险范围存在巨大争议。 

2。网络安全风险基础数据缺乏 

大数据对于保险行业的作用不言而喻，底层数据架构涉及到保险承保、定损、核算等全部程序。而行业数据缺乏，则使得保险公司缺乏相应的参照系，无法建立精算模型。 

一是风险识别，互联网本身就是新兴的行业，互联网信息安全数据缺乏长久的行业积累。由于缺乏参照系，这会导致再保险人放弃承保。 

二是风险评估，由于保险行业精算模型是建立在行业稳定性基础之上，而今，互联网技术和互联网业态日新月异，也造成新的信息安全漏洞形态层出不穷，这两者之间存在明显的矛盾关系。不仅如此，互联网保险事故逐渐“牵一发而动全身”也导致定损困难。根据Gartner报告，自适应安全体系，将成为未来安全的主流趋势。这就要求企业的安全产品不仅要解决当前的安全问题，还要未来可扩展。这就意味着，规划安全体系一定要先考虑企业日益变化复杂的IT环境和业务变化，并可应对专业组织化的高级攻击行为为目标。 

基于以上判断，尽管互联网保险市场前景广阔，但是由于大数据底层架构的不成熟，网络安全保险市场尚未完全成熟，网络安全威胁的态势已经发展到“共享多元融合威胁大数据阶段”，单一依靠市场调节难以建立起有效的风险数据库; 网络安全风险数据的收集、分析、共享涉及公共网络安全，政府应该建立市场引导机制。 

3、互联网风险具有“多骨诺米”效应 

传统保险策略难以有效对抗网络巨灾效应网络风险具有关联性强的本质特征。全球的个人 /组织通过网络技术和服务互联，这意味着: 在外部，一个机构或个体的网络漏洞攻击可能关联影响到全球的网络系统安全; 在内部，网络领域的风险爆发可能关联影响到企业内部全部业务乃至整个社会经济，引发多项索赔，如操作系统的零天漏洞、大规模恶意软件攻击等网络事故均能带来巨大灾难。网络风险的强关联性导致网络安全保险人承保能力的不足，是网络安全保险发展初级阶段的重大挑战之一。在网络环境中，高发生概率的巨灾带来的巨额赔付可能导致保险人破产。 

4、信息不对称 

信息不对称存在两种情况： 

其一，保险人通过以往的基础数据，掌握的数据多于投保人。 

这种情况，在道德风险的制约下，会导致以下问题，保险人会提高保费，如此长期会导致投保人投保积极性降低，进而又会造成基础数据缺乏。 

其二，投保人由于长期经营，掌握数据多于保险人。 

这种情况，在道德风险的制约下，会导致以下问题，当保险人不能获知某机构的事故发生概率，或没有通过合同区别对待安全保护水平时，会导致保险人面临的风险加大，长此以往，也会压缩市场空间。

（编辑：郑惠敏）

来源: 零壹财经 王巧月

企业新闻