产业观察:发展网络安全保险产业 构建新型网络安全生态(2)
不同于传统财产险,网络安全保险对由于网络安全事件造成的负面影响进行赔偿,赔偿内容包括自身财产损失以及对第三方的赔偿责任。保险公司在各个阶段提供保险合同约定的网络安全保障服务,因此具有很强的服务属性。本章通过对投保前的风险评估、承保中的风险控制和出险后的响应与理赔来阐述网络安全保险的服务。
(一)投保前的风险评估在投保前,风险评估主要是保险公司了解被保企业网络安全健康状况的过程,保险公司根据风险评估结果确定是否承保并制定合适价格和保险方案。投保前风险评估范围和保险标的相关,通常被保险人作为保险标的,包括其所有相关信息系统和资产,如果保险标的是特定系统或资产,则只需对特定资产或系统开展评估。通常被保企业确定保险需求时首要遵循的是“高额损失原则”,即优先投保发生概率不高但可能造成严重损失的网络安全事件;而对于发生概率较高但损失并不严重的网络安全事件,更适宜采取相应的网络安全措施来降低风险。保险公司会根据评估报告判断是否能够承保相关风险,并为被保企业设计满足其需求的保险方案。与传统风险评估不同,网络安全保险的风险评估需要考虑业务场景和需求,因此会带来风险评估方法的创新,例如安全评级与风险量化等技术。安全评级主要基于主动安全探测和大数据分析等技术,对特定目标进行快速安全检查,通过定量的方法对其安全健康状态进行评级。评级结果一方面可以应用于网络安全保险领域进行核保和定价;另一方面也可以应用于供应商安全管理领域,对供应商的安全健康状态进行自动化安全检查和管理,对安全评级较低的供应商采取限制措施,从而防范供应商安全风险。风险量化技术则需要对保单所承保的风险场景进行货币式风险量化,这种技术将来还可以应用于网络安全绩效评估上,帮助管理者更好地评估网络安全投资的回报率。(二)承保中的风险控制在承保中,保险双方需强化风险预防管理,开展防灾防损工作,采取措施减少或消除风险发生的因素,降低安全事件发生概率,从而提高保险公司的经济效益。由于网络安全风险的动态性和复杂性,保险公司需要采取手段对保险标的进行持续的风险监测和管理,了解被保企业的风险变化情况。一旦监测到攻击行为,保险公司会向被保企业发出整改要求,敦促其立即进行安全加固和漏洞修补,以提高企业网络的安全性。此外,保险公司还需要对被保企业开展安全意识培训,从而进一步把风险控制在合理的范围内,这有助于企业在安全事故发生之前提前发现并解决问题。防灾防损是保险领域非常重要的环节,保险的目的不是赔偿,而是通过风险预防管理等措施提高被保企业的安全防御能力。在网络安全保险中,风险控制措施的成本需要由保险公司支付。因此,保险公司从降本增效的角度考虑,需要成本更低、更有效的创新技术。此外,随着业务量的增长,保险公司会为被保企业建设统一的安全监测中心,通过威胁情报或信息共享的技术方式实现风险共担,降低整体累积风险。由此,可大幅提升被保企业的整体安全防御能力,降低保险公司出险率。(三)出险后的响应与理赔在响应过程中,企业一旦发生网络安全事故,网络安全保险的技术服务商会第一时间为被保企业提供应急响应服务,帮助企业开展应急响应工作,以尽量降低企业损失。在理赔过程中,网络安全保险技术服务商需重点评估网络安全事件的起因以及其造成的损失是否在承保范围内,保险公司将根据保险合同条款对企业的经济损失进行赔偿,如业务中断损失、数据恢复成本、法律诉讼费用等。然而,如果网络安全事件是由于在承保期间被保企业未履行安全保护义务所造成的,则属于被保企业因自身因素导致的损失,保险公司可以不予理赔。网络安全保险在理赔环节还需防范道德风险的问题,以防止骗保行为发生。在发生网络安全事件后,保险公司会委托专业机构对事件的威胁源、攻击方法、攻击路径等进行分析,确定事件产生的原因。如果发现存在人为故意等违法行为,保险公司可根据除外责任拒绝理赔。
三、基于“蜜点”的网络安全保险服务体系
(一)“蜜点”提出的背景