2021年3月,谷歌云、安联全球与慕尼黑再保集团共同发起了一个“风险保护计划”的项目。该项目包括一个称为“风险管理器”的诊断工具,使谷歌云的客户能够管理和衡量平台上的风险并得到报告,以及安联全球和慕尼黑再保提供的网络保险产品,专门为谷歌云客户设计。客户将风险管理器运行的结果送给安联全球和慕尼黑再保,以获取网络保险的报价。这意味着如果与谷歌云整合,网络保险采购将更加容易。

市场研究机构Markets and Markets发布的统计报告显示,网络保险费用将从2020年的78亿美元,增长到2025年的204亿美元,年复合增长率达到21%。

各种类型的网络攻击正在成为所有机构组织的大麻烦,并且,由于不存在一劳永逸的防护方案和百分之百的安全措施,许多企业开始寻求网络保险的帮助,以降低网络攻击带来的重大损失。但网络保险到底覆盖哪些范围?哪些情况又不在保险范围内?又有哪些适合自己的保险决策?

▶ 什么是网络保险?

网络保险(CYBER INSURANCE),也称之为网络责任保险,是一种帮助组织减轻因网络攻击或黑客入侵而带来重大损失或后果的保险策略。Gartner的全球金融服务研究与咨询部的负责人尤尔根·韦斯认为网络保险正规的定义是,“本质上是保险公司与投保人之间的一份合约,目的是防范计算机或网络事件引起的损失。”

然而,网络保险并非无所不包。作为投保方的企业也需要清楚网络保险的覆盖范围,也许更重要的,要清楚哪些不是网络保险的范围。而且,虽然保险的确能够有助于减少损失,加强自身的网络安全措施也是企业的责任,这种责任不可能转嫁到承保方。

网络保险无法解决所有的网络安全问题,也不可能防止网络入侵或网络攻击。

▶ 谁需要网络保险?

任何有线上业务或是拥有网络与信息系统的机构,都可能会从网络保险中受益,考虑到现在几乎所有的组织都会使用网络或计算机,因此这个问题的答案可以说是任何机构。有两个典型的场景:一是数据泄露。如客户或员工的个人信息、知识产权,以及敏感的财务数据等,都是网络犯罪分子觊觎的盗窃目标。另一个典型的案例就是勒索软件,小到锁死你的计算机,大到瘫痪机构的业务系统。

这两种情况都会导致机构承受巨大的经济损失,而这时,网络保险就能有效的减少这些损失。

▶ 什么样的攻击才可以申请保险理赔?

理论上许多网络攻击或网络事故都可以触发保险理赔,但实际上目前最普遍的三种情况是,勒索软件、电子汇款欺诈和商业邮件攻击(BEC)。

▶ 网络保险的成本几何?

网络保险的成本由几种因素构成,包括业务规模和年营收等。其他的还会有行业属性、业务数据类型,甚至是整个网络系统的安全。此外,如果某机构的网络安全保障工作做的较差,或是曾经发生过黑客入侵、数据泄露等事件,就会比安全声誉好的公司付出更多的保险成本。(注:行业属性是指类似于金融、医疗这种业务敏感性较强的行业,保险费一定会高)

▶ 网络保险都覆盖哪些内容?

不同的保险公司提供的保险范围也不尽相同,但一般来说都会承保网络攻击造成的直接成本。

“网络保险的承保范围是发生安全事件的损失,包括数据恢复、系统取证、法务程序,以及给用户的补偿。”

-- AttackIQ副总裁马克·贝格里

以数据恢复和系统取证为例,这两种工作都是勒索软件攻击后的标准程序,也是大多数机构目前面临的最大的威胁之一。为此有些保险业务会承保赎金,尽管执法部门和安全从业者并不推荐这种做法,因为是在变相鼓励网络罪犯。

 “保险公司看重的是事件响应与取证造成的潜在费用,但对于那些安全水平很差的机构来说,可能投入的成本反而会更多,因此他们宁愿选择付赎金。这十分令人沮丧。”

-- 前布仕政府白宫首席安全官特瑞萨·佩顿,现为网络安全公司Fortalice Solutions的创始人兼CEO

商业邮件攻击(BEC)是另一种能导致巨大商业损失的网络攻击手段,攻击者通过假扮企业高管,供应商,或是其他可信的联系人,诱骗财务人员转款。

英国国家网络安全中心在2020年发布的网络保险指南中指出,保险政策的确会承担BEC造成的损失,但这都是直接以BEC的名目单独的承保业务,并非标准的网络安全保险政策,如果机构只投保了网络保险,很可能得不到赔偿。因此企业在选择网络安全保险的时候,一定要清楚保险的范围。同时,如果已经有了其他涵盖了网络保险的保险项目,如业务中断或是财产保险,也要检查一下具体的保险条款,以免重复或遗漏。

▶ 网络保险不承保哪些损失?

有一些对于机构很重要的资产,网络保险并未覆盖。因此需要弄清哪些资产未被覆盖,才能对之采取正确的保护措施。

 “就无处不在的网络风险而言,网络保险的能力还是有限的。认为网络保险可以承保一切网络风险的想法是错误的。”

--卡内基国际和平基金会技术与国际事务研究员乔恩·贝特曼

如果是知识产权被窃造成的财务损失,以及网络攻击导致的名誉损失,网络保险并不涵盖。例如,当发生网络攻击后保险可以赔偿直接损失,但如果由于企业给公众留下了安全能力不足的印象,进一步导致客户流失的业务损失,网络保险并不承担。

▶ 网络保险能承保重大网络安全事件吗?

2017年两起网络攻击给全球带来了巨大损失,Wannacry与NotPetya勒索软件。后者导致一些大型企业在全球的业务下线,有些企业不得不从零开始重建网络,全球损失据估计可达数十亿美元。

一般而言,人们普遍会认为,这应该属于典型的理赔范围。但一些保险机构却表示不予赔偿,因为NotPetya与俄罗斯军方有关,这种攻击属于“战争行为”,而战争行为不在超出了理赔条款。但也确实也有一些保险公司赔付了遭受NotPetya攻击企业的损失。

由于物理世界与网络世界的融合,两者的界限越来越模糊,不管是保险业还是投保人,越来越难以在保险承包界限上达成一致。

“网络保险市场的一个重大挑战就是如何应对极端的风险事件,如国家支持的攻击,很多客户受害的大范围灾难性事件等,发生在网络空间中的事件最终会对现实世界造成影响。这是很难去界定一个价格的。如果真得发生了一起非常重大的事件,可能会超过网络保险市场的承保能力。”

--卡内基国际和平基金会技术与国际事务研究员乔恩·贝特曼

▶ 如何申请网络保险?

网络保险不可能是解决网络安全问题的“银弹”,而整个网络安全行业也不存在“银弹”。实际上,为了更加合理的规划网络保险,机构自身还需要证明自身对网络安全的负责,因为任何保险机构都不愿意接受很容易遭受黑客入侵的客户。而且,网络安全是一个持续性的工作,机构不仅要在签署保险协议之前做好网络安全保障,还要不断的保持适当的安全措施,以跟上不断变化的威胁环境,否则就有失去承保的风险。千万不能因为已经投入了网络保险,就放松对自身网络安全保障的持续投入。

机构对自身的关键系统和关键数据的理解也非常重要,以及投保的覆盖范围是否足够。这意味着,决定一份网络保险单不仅仅是IT部门的问题,更是一个涉及高管管理层的问题。

“与火灾、盗窃等事件不同,网络事件通常与事件的发生地点无关。确定一个网络事件的影响范围,了解机构的运营流程,不同部门不同业务之关的互相依存关系,都是至关重要的。因为,一次网络事件有可能会影响到机构遍布在全球的业务。”

--英国国家网络安全中心

▶ 网络保险的未来?

随着网络攻击数量的持续增长和网络犯罪活动的日益猖狂,网络保险的运作方式也随之变化。如上文中所述,保险机构很难去承保那些不关心网络安全措施的机构。支付保险索赔对于保险供应商来说,是一个纯成本的行为。因此,保险机构已经开始在主动帮助机构做好网络安全体系,而不是仅仅被动的规范好保险条款。

“整个保险业已经不再限于做一个最后贷款人和支付方,而是更加像一个顾问和合作伙伴。保险商正在把黑匣子放进你的汽车以跟踪你的驾驶行为,因为他们想让承保价格更加的精准合理并进而改变你的行为。他们想确保你是一个能够适应风险的机构,包括审计、保护与防止损失。”

--Gartner全球金融服务研究与咨询部负责人尤尔根·韦斯