華文網

平安、陽光紛紛入局,網路安全險市場爭奪戰開啟?

搜索框內輸入“網路安全險”,你會發現近期關於網路安全險的產品在增多。上周是國家網路安全宣傳周,公安部第三研究所與平安產險合作,要打造一個網路安全保險服務平臺。

可以說,網路安全保險正變得越來越炙手可熱。

國內市場與全球市場對比

從全球來看,網路安全險是一個未被開拓的藍海市場,對於中國來說則更甚。以網路保險的最大市場美國為例,但2016年的美國傳統保險公司對網路安全險的承保總額僅為13億美元,這一數字有望在2022年達到140億美元。

有調查報告顯示,年收入處於10-50萬美元區間的中小企業,其每年保費支出處於800-1200美元區間;年收入超過百萬美元的企業,

其每年的保費支出會超過10萬美元。

安聯集團預計這些企業的保費支出會在未來不斷上升,並在2025年達到最快增速。美國的保險行業組織——保險資訊協會預計,未來網路犯罪風險將是企業面臨的第三大風險。

造成市場需求提升的是嚴峻的網路安全形勢,

研究發現,網路犯罪令全球經濟每年損失接近4450億美元,其中約50%發生在全球十大經濟體。網路風險已經成為企業的主要威脅之一,且勢頭強勁。

來自普華永道的一份調查報告顯示,過去兩年間,中國內地及中國香港企業檢測到的資訊安全事件平均數量高達2577起,與2014年相比上升了969%。而安聯最新發佈報告也顯示,中國每年預計遭受600億美元的網路損失,

居亞洲第一,是位列第二的印度(40億美元)的15倍。

損失背後是一個巨大的企業級市場,目前我國在國家工商總局註冊的企業數已經超過1100萬家,絕大多數企業均已接入互聯網,但卻缺少安全可靠的IT系統。多家網路安全廠商表示,隨著企業網路安全意識的覺醒,網路安全保險將迎來巨大的市場機遇,促使企業級網路安全市場變成千億級,甚至萬億級別的大藍海。

開拓藍海市場的難點在於?

這麼大一塊蛋糕,誰都想吃,但吃起來卻沒有那麼容易。

網路安全險的評價和建模方式和傳統的風險有著很大的不同,保險公司難以開展這塊業務的最大難點來自於無法有效地對風險進行定價。針對國內來說,又存在以下痛點:

網路風險模型建立困難重重

網路風險建模難的最大根源在於資料。網路安全保險發展歷史較短,沒有一個提供大量資料的權威統計機構。

雖然現在資料收集的速度變得更快了,但是目前資料太過雜亂,保險公司難以高效整合。而且與自然災害不同,網路災害由人為因素造成,駭客會不斷改變其戰術、技術以及攻擊目標來擊潰網路防線,也就是說其風險是動態的而不是穩定的,這就對保險公司提出了更高的要求。第二個難點在於,網路安全產業包含了繁多的參數、標準、基準和評分等技術性指標,這些種類繁多的指標也加大了保險公司建模的挑戰。

道德風險和欺詐風險較高

相關資料隱私和安全法律的缺位

在美國,法律法規的發展及嚴格的責任追究制度成為網路安全保險行業的堅強後盾,資料保護條例堅定了人們的想法和看法,並促進市場迅速壯大。但我國對於網路安全的相關法規模糊,缺乏明確的法律責任和約束,在一定程度上約束了網路安全保險的發展。不過今年6月1日起,《中華人民共和國網路安全法》正式施行,無疑是一種進步。

國內發展歷史短,入場玩家少

在美國,包括AIG和丘博在內的大型保險公司自上個世紀90年代後期就已經開始提供網路安全保險服務了。到如今,已經有80餘家保險公司提供此類服務。相對而言,我國能夠提供支援的保險運營商少之又少。目前在網路安全保險方面只有蘇黎世財產保險(中國)有限公司、安聯財產保險(中國)有限公司和美亞財產保險有限公司推動力度較大,近期入場的玩家又開始增多,平安產險、陽光產險等。

建立網路風險模型的注意點

互聯網的發展是動態而又迅猛的,隨著技術的發展,互聯網本身的構造也越發複雜。網路風險也會隨著互聯網的發展而大幅波動,不斷變化,不斷進化。所以,建立網路風險模型時,保險公司不僅需要想方設法收集相關資料,還需要在一個動態的、即時變化的大環境下跟上網路風險發展的腳步。

資料收集和風險建模相輔相成,並且會互相影響互相回饋。一個優秀的網路風險模型是可以在兩者間建立起可持續發展的正回饋閉環的,隨著資料量的增加,模型的準確度會越高,而更高的正確度會帶來更有意義的資料,從而進一步提升模型的準確度。

保險公司需要一個描述網路風險的量化經濟模型,該模型不僅能預測網路攻擊的頻率(可能性),還要能對網路攻擊的嚴重性、可能造成的經濟損失以及二次攻擊的可能性等性質做出預測。

此外,因為保險公司關注的往往並非是一家公司,而是整個行業或者整個公司組合的網路安全表現,所以網路風險模型還要能夠反映風險累計後產生的綜合經濟效應,從而讓保險公司可以有詳實的依據在網路風險領域做出決策,即滿足投保人的需求,也能達到股東的期望。

實例:海外公司如何建模

最近,開始出現一批關注網路安全保險的創業公司,Cyence是其中一家,他們為保險公司打造了一款資料分析平臺,説明保險公司對網路風險這一新興險種進行建模和定價。針對網路安全風險建模的痛點,Cyence是這樣做的:

開發了一個多樣化可擴展的資料引擎,該資料引擎能夠以非侵略性的方式收集特定公司人員和機器的資料,從而創造出客觀真實並且具有即時性的風險評測模型。為了和網路風險的動態趨勢匹配,Cyence這一配備了資料引擎的平臺,也會即時校準模型,最大程度地精准分析網路風險。

對一些過往的網路安全事故進行分析。在最近Cyence和勞合社聯合發佈的報告中,Cyence對一起重大的網路風險事故進行了量化分析。在這起事故中,駭客攻擊造成全球雲伺服器宕機,最終在全球範圍內造成了530億美元的經濟損失。如此巨大的經濟損失已經超過了2012年颶風桑迪所造成的500億美元損失。通過過往事故的分析,可以累積案例與資料。

而海外最新的動態是,有研究機構正在開發高級類比系統,通過模仿不同維度和方式的網路攻擊來評估投保企業的網路安全程度。這一類比系統會根據類比進攻的結果為企業制定一個網路風險評分,這一評分的制定是基於如NIST、CVSS3.0和DREAD模型等這類被廣泛接受的風險計算方法的。

這一類比系統技術有望大幅度提升保險公司對於網路安全險的定價能力,他們可以在幾個小時內完成對投保公司的分析,獲取該公司的網路風險評分,從而決定是否承保,並且確定保額總量以及保費水準。

國內部分網路安全保險盤點

國內首批提供互聯網安全保險的險企是美亞保險和安聯財險,兩家公司都在2015年推出相關產品。

美亞保險產品的承保範圍包括敏感性資料外泄(個人及企業資料)、駭客入侵、電腦病毒、雇員惡意破壞資料或處理資料失當、資料盜竊、網路保安系統失效、電腦系統事故所引發的協力廠商索賠或導致的業務中斷,以及網路勒索相關贖金的保障。

安聯財險的網路安全險則針對各種原因引起的資料丟失、網路被加插惡意軟體、網路盜竊與網路敲詐等風險事件作出理賠,保障範圍包括營業中斷損失、設備損壞費用、贖金等。

近日,陽光產險也有所動作,面向金融機構、醫療衛生行業、政府事業單位等企業客戶推出網路安全綜合保險,該產品對單一客戶可提供最高達8000萬元的風險保障。因電腦惡意行為、惡意軟體、操作人員失誤、DOS攻擊等導致的資料損壞,以及網路勒索、名譽損失、利潤損失、資料洩露等風險均在保障範圍之內。

這些種類繁多的指標也加大了保險公司建模的挑戰。

道德風險和欺詐風險較高

相關資料隱私和安全法律的缺位

在美國,法律法規的發展及嚴格的責任追究制度成為網路安全保險行業的堅強後盾,資料保護條例堅定了人們的想法和看法,並促進市場迅速壯大。但我國對於網路安全的相關法規模糊,缺乏明確的法律責任和約束,在一定程度上約束了網路安全保險的發展。不過今年6月1日起,《中華人民共和國網路安全法》正式施行,無疑是一種進步。

國內發展歷史短,入場玩家少

在美國,包括AIG和丘博在內的大型保險公司自上個世紀90年代後期就已經開始提供網路安全保險服務了。到如今,已經有80餘家保險公司提供此類服務。相對而言,我國能夠提供支援的保險運營商少之又少。目前在網路安全保險方面只有蘇黎世財產保險(中國)有限公司、安聯財產保險(中國)有限公司和美亞財產保險有限公司推動力度較大,近期入場的玩家又開始增多,平安產險、陽光產險等。

建立網路風險模型的注意點

互聯網的發展是動態而又迅猛的,隨著技術的發展,互聯網本身的構造也越發複雜。網路風險也會隨著互聯網的發展而大幅波動,不斷變化,不斷進化。所以,建立網路風險模型時,保險公司不僅需要想方設法收集相關資料,還需要在一個動態的、即時變化的大環境下跟上網路風險發展的腳步。

資料收集和風險建模相輔相成,並且會互相影響互相回饋。一個優秀的網路風險模型是可以在兩者間建立起可持續發展的正回饋閉環的,隨著資料量的增加,模型的準確度會越高,而更高的正確度會帶來更有意義的資料,從而進一步提升模型的準確度。

保險公司需要一個描述網路風險的量化經濟模型,該模型不僅能預測網路攻擊的頻率(可能性),還要能對網路攻擊的嚴重性、可能造成的經濟損失以及二次攻擊的可能性等性質做出預測。

此外,因為保險公司關注的往往並非是一家公司,而是整個行業或者整個公司組合的網路安全表現,所以網路風險模型還要能夠反映風險累計後產生的綜合經濟效應,從而讓保險公司可以有詳實的依據在網路風險領域做出決策,即滿足投保人的需求,也能達到股東的期望。

實例:海外公司如何建模

最近,開始出現一批關注網路安全保險的創業公司,Cyence是其中一家,他們為保險公司打造了一款資料分析平臺,説明保險公司對網路風險這一新興險種進行建模和定價。針對網路安全風險建模的痛點,Cyence是這樣做的:

開發了一個多樣化可擴展的資料引擎,該資料引擎能夠以非侵略性的方式收集特定公司人員和機器的資料,從而創造出客觀真實並且具有即時性的風險評測模型。為了和網路風險的動態趨勢匹配,Cyence這一配備了資料引擎的平臺,也會即時校準模型,最大程度地精准分析網路風險。

對一些過往的網路安全事故進行分析。在最近Cyence和勞合社聯合發佈的報告中,Cyence對一起重大的網路風險事故進行了量化分析。在這起事故中,駭客攻擊造成全球雲伺服器宕機,最終在全球範圍內造成了530億美元的經濟損失。如此巨大的經濟損失已經超過了2012年颶風桑迪所造成的500億美元損失。通過過往事故的分析,可以累積案例與資料。

而海外最新的動態是,有研究機構正在開發高級類比系統,通過模仿不同維度和方式的網路攻擊來評估投保企業的網路安全程度。這一類比系統會根據類比進攻的結果為企業制定一個網路風險評分,這一評分的制定是基於如NIST、CVSS3.0和DREAD模型等這類被廣泛接受的風險計算方法的。

這一類比系統技術有望大幅度提升保險公司對於網路安全險的定價能力,他們可以在幾個小時內完成對投保公司的分析,獲取該公司的網路風險評分,從而決定是否承保,並且確定保額總量以及保費水準。

國內部分網路安全保險盤點

國內首批提供互聯網安全保險的險企是美亞保險和安聯財險,兩家公司都在2015年推出相關產品。

美亞保險產品的承保範圍包括敏感性資料外泄(個人及企業資料)、駭客入侵、電腦病毒、雇員惡意破壞資料或處理資料失當、資料盜竊、網路保安系統失效、電腦系統事故所引發的協力廠商索賠或導致的業務中斷,以及網路勒索相關贖金的保障。

安聯財險的網路安全險則針對各種原因引起的資料丟失、網路被加插惡意軟體、網路盜竊與網路敲詐等風險事件作出理賠,保障範圍包括營業中斷損失、設備損壞費用、贖金等。

近日,陽光產險也有所動作,面向金融機構、醫療衛生行業、政府事業單位等企業客戶推出網路安全綜合保險,該產品對單一客戶可提供最高達8000萬元的風險保障。因電腦惡意行為、惡意軟體、操作人員失誤、DOS攻擊等導致的資料損壞,以及網路勒索、名譽損失、利潤損失、資料洩露等風險均在保障範圍之內。