網絡安全催生金融創新 新險種讓企業吃上“定心丸”
酒店、服裝、電商等服務業國際品牌的內網接連被黑客攻擊,導致客戶數據遭遇外泄,此類事件近年來時有發生,使得企業對於網絡風險的擔憂與日俱增。如何更好地防範網絡風險並儘可能將企業損失降到最低?
需求催生供給,一類爲企業網絡安全損失提供保障的舶來品——“網絡安全保險”現身國內市場,逐漸走近各類企業,成爲企業風險管理中的重要一環,讓企業吃上“定心丸。”
市場需求催生下的新產物
網絡安全保險是伴隨着不斷加劇的網絡攻擊頻率和強度而研發的。在上世紀90年代,由於IT技術和互聯網的快速發展,這一險種在美國應運而生。
當企業成爲網絡攻擊目標或者其需爲客戶損失承擔責任時,該險種可彌補企業以及與之相關的第三方損失,可囊括財產險、責任險以及純粹的財務損失保障。但企業日常的網絡故障屬於除外責任。
一家外資保險公司企業及特殊風險部相關負責人說,由於不少企業的信息安全工作還處於起步階段,無論是人才還是技術方面的基礎都比較薄弱。“如果網絡罪犯竊取數據,向網絡加插惡意軟件或勒索軟件,又或者服務器因抵禦攻擊而關閉,企業可能遭受上百萬元的經濟損失以及名譽損失。”
這並非危言聳聽,一份全球企業風險報告顯示,在十大風險榜單中,網絡安全風險的排名已上升至首位。
作爲美國網絡安全保險市場的最大承保商,安達保險這些年接觸了不少這方面的案例。安達保險中國區金融責任險負責人週一芳告訴上海證券報記者,不斷增加的網絡攻擊正嚴重威脅着企業,多項不同報告顯示,近幾年,亞太地區企業因網絡攻擊而遭受的收入損失高達數十億美元。
週一芳說,隨着“互聯網+”的發展,每家企業都存儲了大量的經營數據、客戶信息、僱員信息,公司或商業合作伙伴的商業機密一旦發生數據泄露,損失難以預估。尤其是對那些不夠重視信息安全、抱以僥倖心理的中小企業來說,滋生出的各種重大安全問題,往往會帶來致命危機。
此外,來自消費者對於信息泄露造成危害的追償也呈現上升趨勢。在週一芳看來,這也是企業面臨的主要風險。
根據我國相關法規,違反客戶信息保密義務將承擔法律責任。她解釋稱,比如,涉及民事責任,需承擔停止侵害、賠償損失、賠禮道歉、消除影響、恢復名譽等侵權責任;涉及行政責任,包括罰款、取消任職資格、禁止從事有關金融行業工作等;涉及刑事責任,將信息出售或非法提供給他人、情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
在這樣的背景下,企業再也不能忽視網絡威脅帶來的聲譽和財務風險,網絡安全保險率先在歐美市場開始熱銷。
全球知名信用評級機構AM Best發佈的統計數據顯示,2019年美國網絡風險保費收入達到25億美元。以安達保險爲例,兩年前,該公司僅在美國一個區域內的網絡風險保費收入就已達到3.25億美元,保持10%以上的增長率。
據海外保險業人士介紹,在其他商業財產險業務增速乏力的情況下,由於網絡安全保險投保需求的激增,這一險種的費率持續逆勢堅挺。這主要是源於人們越來越關注與網絡攻擊和數據泄密相關的風險,從而激發對相關保險解決方案的需求,併爲全球財險行業帶來了重大的增長機會。
記者從多家外資保險公司人士處瞭解到,專業的網絡安全保險一般針對數據和網絡安全事故及相關損失提供核心保障,市場承保限額一般在500萬美元至1億美元。
這一險種的定價因子也備受市場關注,因爲這個險種的合同都是根據企業不同需求量身定製,因而費率也不盡相同。決定該險種定價因素大概包括:企業經營規模、涉外業務佔比、企業的網絡風險管理水平、企業所處行業的網絡風險歷史數據等。
中國市場仍需培育
在歐美市場,網絡安全保險已經有了相對成熟的運行模式。而在亞洲市場,與日益提升的網絡安全市場產值相比,這一險種的投保率嚴重不足,仍處於市場開拓階段。
據瞭解,目前國內具備網絡安全保險承保條件的保險公司並不多。
這一險種在引入中國後進行了改良升級,保障範圍可拓展至“賠償因維護公司聲譽而進行危機溝通所產生的費用”及“賠償被保企業的客戶因企業遭受網絡襲擊、服務器宕機、數據泄漏以及進行錯誤數據交互時所承受的損失”等。
“傳統責任險和財產險對於因網絡攻擊事件造成的損失往往在承保範圍中表述得模糊不清、甚至明示除外責任,這也是促使國內企業更多關注網絡安全保險的重要原因。越來越多投保企業對於發生網絡事件時,依靠傳統保險產品是否能獲得充足有效的保障存有疑慮,進而願意考慮通過獨立特定的網絡安全保險產品完善企業風險管理。”週一芳深信,隨着我國網絡安全產業的持續發展和網絡安全法律法規的不斷完善,我國網絡安全保險市場具有巨大的增長空間。
新生事物還需要政策扶持和示範效應。去年9月,工業和信息化部發布的《關於促進網絡安全產業發展的指導意見(徵求意見稿)》中,提出了要“探索開展網絡安全保險服務”。
有專家就此建議,應因地制宜,結合各地不同的產業特色、應用場景,選取在行業內佔據領先地位的龍頭企業開展網絡安全保險試點工作。同時,還要制定網絡安全保險保費補貼政策,充分發揮財政資金導向作用,助力企業放心轉型,爲行業高質量發展和數字經濟創新打開新局面。
針對我國保險公司欠缺網絡安全保險實踐經驗的問題,原保監會副主席周延禮提出兩點建議:一是加強數據收集。網絡安全風險數據是保險公司開展網絡安全保險業務的基礎;二是要制定切實可行的風險應對辦法。在缺乏更多有效數據的情況下,保險公司可建立一套基於風險管理成熟度模型的評估體系,對客戶開展承保前的安全評估,通過評估瞭解客戶的安全投入及安全管控的持續性和有效性,評價客戶安全需求與現有產品的吻合程度以及可能的產品靈活定價。(⊙記者 黃蕾 ○編輯 陳羽 )