摘要:随着数字化经济的发展,网络风险问题受到越来越多国家的关注。对此,经济合作与发展组织(OECD)发布研究报告《加强保险在网络风险管理中的作用》,指出网络风险保险日趋重要,其通过促进对网络损失风险的认识,分享风险管理的专业知识,鼓励投资以降低风险和促进网络事件响应,对管理网络风险做出重要的贡献。其中,报告重点介绍了日益增长的网络风险、市场上网络风险的范围和损失类型的多样性及网络保险市场面临的挑战。最后,分别针对网络保险保障端(政府)、网络保险供给端(保险公司)和网络保险需求端(机构)提出十条建议对策,希望可以给网络保险的发展做出贡献。
1 日益增长的网络风险
数字技术在经济活动中的使用越来越多,虽然在便利性、生产力和效率方面创造了巨大的利益,但也带来了重大的风险。其中包括“数字安全风险”,当这些风险成为现实时,可能会破坏信息和信息系统的机密性、完整性和可用性,从而破坏经济和社会目标的实现。近期世界经济论坛发布了《2017 年全球风险报告》,其中网络风险被 1/3 以上经合组织国家的经营者认为是最高(或次高)的风险(超过半数的经合组织国家最担忧的 5 个风险中,网络风险排名高于恐怖袭击或自然灾害)。同样,在 2017年的安联风险调查 (Allianz Risk Barometer) 中,企业受访者将网络事件(网络犯罪、IT 故障、数据泄露等 ) 排在全球商业风险的第三位 (2013 年排名第 15 位 ),并认为其一直位居全球五大风险之列。
针对于此,OECD 近期对 32 个国家的 58 个公共和私营部门的一项网络风险保险调查也发现,他们的国家和企业面临的网络事件风险是中级到高级的 ( 高风险意味着持续或即将发生的攻击和 / 或网络事件的高影响 )。所有受访者都表示,网络事件会对国家造成风险。在受访者中,对网络风险水平的认知情况在保险经纪和再保险公司中是最好的,政府(财政部和保险监管机构)认知情况是最差的。
与此同时,近 80% 的受访者认为近年来受网络攻击的频率有所上升,这与大多数网络事件频率调查结果一致。例如,全球信息安全状况调查的受访者报告的“信息安全事件”数量自 2009 年以来平均每年增加了 60%( 见图 2);最近一项对来自近 80 个国家的 700 家公司的专业人员的调查,也发现“网络攻击”是造成营业中断的第四大主要原因 (“数据泄露”位列第九 );最近对美国、德国和英国的 3000 家公司的调查也发现,分别有 63%、56% 和 45% 的受访者表示在过去12个月里遭遇了破坏性攻击。
最后,近 80% 的受访者认为近年来他们国家面临的网络攻击的严重程度有所增长。部分原因可能是越来越多的人意识到网络事件的发生,并且这些事件发生的频率越来越高,信息泄露也越来越多。在网络攻击的严重程度上来说,最近一些事件都表明网络事件的严重程度可能会增加 ( 受网络攻击的范围和规模 ),包括对 Dyn 实行的拒绝服务攻击,雅虎和 Equifax 数据泄露事件以及 WannaCry 和 NotPetya 的大范围感染事件。这与麦肯锡 (McKinsey) 2014 年的预测一致,即网络攻击者将继续提高其相对于企业网络防御方面的领先优势,而且攻击的融合复杂程度的发展速度将比机构自身防御能力提升速度要快。
2 网络事件和损失的类型
关于网络风险的性质和演变,以及潜在成本的等级,都有大量的文献描述,在定义、分类或网络事件数据的可靠性方面达成了有限的共识。对于不同类型的事件和损失的分类,目前网络风险没有标准定义,也没有可以广泛应用于保险行业的定义。曾经保险公司协会提出了一些定义:
(1)一群保险公司的首席风险官将网络风险定义为使用电子数据及其传输所产生的任何风险,包括互联网和电信网络等技术工具。
(2)日内瓦协会 (2016) 也提出了一个类似的定义 :“使用信息和通信技术产生的任何风险,这些风险会损害数据或服务的机密性、可用性或完整性。”
这两个定义广泛地将网络风险与信息和通信技术使用有关的风险相联系,其中这种风险包括人为错误产生的风险以及由内部或外部各方发起的故意 / 恶意攻击的风险。经过一段时间的发展,大家一致认为日内瓦协会 (2016) 的定义是最有效的,也是网络风险的真实表达,即网络风险为导致数据或服务损坏的风险。
针对日益增长的网络风险,CRO 论坛(Chief Risk Officers)(2016) 将网络风险引起的网络事件划分为四大类(见图 3):数据泄露;系统故障/ 问题;数据完整性 / 可用性;恶意行为。
网络事件可能会导致许多不同类型的损失,包括有形和无形资产的损失,营业中断和盗窃损失,以及对客户、供应商、雇员和股东的各种形式的损失。CRO 论坛 (2016) 也已经开发了一套“事件类型组”,提供了对可能因网络事件而产生的不同类型损失的 21 种分类(见表 1)。
3 网络保险市场的机遇和特点
在现代社会,保险业的作用日渐凸显。保险作为风险治理的重要工具,在服务围绕人的美好生活需要,解决面临风险挑战方面,显得尤为重要。网络事件已成为潜在的损害、盗窃和责任来源,而在过去的财产、犯罪、绑架和勒索、责任和其他传统保单的承保中都没有考虑过上述风险。对于某些类型的保单,网络相关的损失通常会被排除,除非网络事件可能导致生命危险,例如火灾。在解决人类面临网络带来的巨大风险挑战面前,网络保险现在正是处于发展的黄金机遇期。目前网络保险市场普遍被认为处于起步阶段,但在一些国家,特别是在美国,具体网络保险产品已有近 20 年的历史。最初网络保险市场的重点是为技术服务公司提供网络错误和遗漏的保险。随着网络事件的不断增加,特别是隐私泄露通知要求和处罚的制定 (2003年始于美国加州 ),导致第一方的损失 ( 如事件响应成本 ) 和第三方的责任索赔,而保险公司承保时没有考虑网络风险带来的财产和责任保险。进而针对网络安全带来风险,一系列的网络安全保障被挖掘并写入了传统的保险保单中,促进了独立网络保险产品的发展,以应对传统保单所无法保障的网络风险。
据不完全统计,全球独立网络保险市场总保费的规模在 2016 年估计为 25 亿美元至 35 亿美元 ( 不包括其他保险中包含的网络风险保费 )。其中,美国市场占保费总金额的 85% 至 90%( 约20 亿美元至 30 亿美元 );而欧洲市场估计占 5%到 9%(1.5 亿美元至 4 亿美元 ),其中包括德国的9000 万欧元和法国的 3000 万欧元;亚太地区的总保费金额约为 5000 万美元。在许多国家,网络保险市场正在以极快的速度增长,PwC 预测2018 年美国可能达到 50 亿美元,欧洲 9 亿欧元,2025 年全球保费将达到 200 亿美元。根据 Eling和 Wirfs(2016) 的数据,2012 年至 2015 年全球市场的复合年增长率几乎达到 25%,预测未来十年市场规模将以相似增长率增长(见图 4)。
(来源:2012 年至 2015 年欧洲和美国的保费数据来自Advisen 和 Wirfs 2016 年的报告。美国 2016 年的数据是 PwC, 2015; Betterley, 2015; Marsh, 2016b 的中间值。欧洲 2016 年的数据是 Thomas and Finkle, 2014; Marsh,2016b 的中间值。全球市场的预测来自 PwC, 2015 (US,2018); Insurance Information Institute, 2015 (Europe,2018);Swiss Re, 2017 (global, 2020);Swiss Re, 2017(global, 2025)。其他年份数据是根据两个预测之间的复合年增长率计算的。)
随着网络安全事件的急增,网络安全保险市场也有可能增长得更快。例如,最近 CFC 的一项调查发现,超过 40% 的受访者表示网络覆盖率比 2016 年增长 50%以上。鉴于独立网络保险市场仅占其他市场的一小部分,但潜在的网络风险敞口很高,其仍有很大的增长空间。例如,在经合组织国家,2015 年火灾和财产损失 (商业和住宅 ) 的保费为 2770 亿美元,一般责任保险金额为 1710 亿美元,独立网络保险费用约为25 亿美元。可见,网络安全保险发展潜力巨大。
在美国市场,大约 70 家保险公司可以提供网络保险,这些保险公司不仅提供单独的保险业务,也可以通过网络对传统保险进行保险。目前美国市场由几家大型供应商主导,其中包括 AIG、Chubb 和 XL 集团,它们占据了约40% 的 市 场 份 额。Travelers Companies、Beazley Insurance、CNA Financial、Liberty Mutual、BCS Insurance、Axis Capital 和 Zurich American Insurance 也是重要的保险提供商。根据最近的一项估计,大约 10 家公司每年的保费收入超过 1 亿美元,另外约有 10 家公司每年的保费收入为 2500 万美元至 1 亿美元。德国市场方面,已经有 15 家保险公司在提供某种形式的网络保险产品,包括许多在美国提供这种保险的公司 (Allianz, AIG, Chubb, XL Catlin, Zurich) 以及AXA, ARAG, ERGO, HDI, Hiscox, Swiss Re, TokioMarine。在法国有 11 家保险公司提供网络保险产品,从而避免网络风险带来的损失。在印度,近期多家银行的数据泄露事件预计将导致提供网络保险的公司数量增加,同时也对此类保险的覆盖范围提出了网络保险的需求。据经合组织的调查问卷显示,全球保险公司正在澳大利亚、比利时、加拿大、爱尔兰、以色列、新西兰和南非等地提供独立的网络风险产品。
不同的网络保险保单为商业实体提供的网络保险范围有很大差异。正如一位分析师提出,“如果你看到了一个网络保单,你就看到一种网络保险”。根据美国近期的一项调查估计,全球至少有 65 种不同的网络保险保单形式用于保障网络风险。多种保单形式的原因可能是网络保险在同类别网络风险损失中提供的服务不一样,允许投保人根据其特定的风险水平来调整保险项目。然而,由于网络安全的特殊性,其各自的网络保险市场也有不同的特点:
(1)不同的独立网络保险为商业实体提供的覆盖范围有很大差异,根据最近 ( 美国 ) 的一项估计,至少有 65 种不同的网络保单形式用于网络风险覆盖。
(2)独立网络保险的渗透各有不同,从国家上来说,美国的渗透率高于英国、欧洲大陆或亚太地区 ( 没有发现这些国家以外的渗透水平 );从行业上来说,健康、教育、零售和科技公司中保险渗透率较高 ( 接近 50%,美国零售、医疗保健和金融服务领域达到 80%。
(3)不同国家、不同部门以及不同规模公司的网络保险费用的信息是有限的,其价格也就不同。在欧洲,每 100 万欧元的保险费用约为 2000 欧元至 5000 欧元,覆盖 5000 万欧元至9000 万欧元的保险。在德国,100 万欧元保险的保费从 7000 欧元到 1.5 万欧元不等,500 万欧元保险的保费从 4000 欧元到 24000 欧元不等。对瑞典保单的调查发现,100 万克朗保险的保费从 5000 克朗到 15000 克朗,尽管有些 100 万克朗保险的保费低于 5000 克朗。除此之外,网络保险还有承保方式和独立保单提供的附加服务不同的特点。
4 网络保险市场的挑战
由于网络风险历史经验的缺乏、网络保险市场的特点及其性质的不断演变,为量化网络风险带来了重大挑战。本报告认为网络保险市场的挑战总体分为保险公司提供网络保险的意愿(网络保险价格)和公司获取网络保险的需求(机构网络保险的支付意愿)。保险公司提供保险的意愿主要以价格来衡量,影响网络保险价格的因素主要分为估计预期损失的不确定性程度( 可量化性 )、预期损失的规模 ( 经济可行性 ) 和风险的多样性 ( 有限相关性 )。就网络保险而言,量化相对较新的 ( 和变化的 ) 风险的困难,以及投保人 ( 积累风险 ) 之间的显著相关性,是承保网络风险的最关键的挑战。这种不确定性反映在,相对于其他类型保险,网络保险限额低、免赔额高、覆盖成本较高;再保险覆盖的有限可用性 ( 或可用性的不确定性 ) 也可能是导致保险成本更高的一个因素,一些报告表明,网络风险的再保险可用性有限,这可能会阻碍主要保险公司提供保险的能力,而灾难性的网络事件可能需要政府的支持。然而,部分经合组织的问卷调查对象 (28 家保险行业的调查对象中的 4 家 ( 不包括再保险公司 )) 认为再保险的可用性是提供保险的障碍。最近的报告也表明,再保险市场对网络风险强烈的重视 ( 和欲望 ),这表现在越来越广的覆盖范围,包括比例 ( 配额 ) 和非比例 ( 总止损 , 风险超额损失和事件超额损失。
虽然量化网络风险的不确定性和积累风险的高潜力将带来更高的网络保险价格,但是许多因素可能会降低对保险覆盖的需求 / 支付愿意,包括缺乏对网络风险潜在损失的认识,对覆盖需求的误解以及提供的覆盖范围和公司正在寻求的不匹配。1)缺乏对网络风险潜在损失的认识,虽然网络风险的认识水平和高管对网络安全的重视似乎越来越高,但在将网络风险转化为潜在损失的估计方面似乎存在差距,而这通常影响机构决定购买网络保险的必要条件;2)对覆盖需求的误解,对网络风险的保险范围的误解,从缺乏对网络风险的具体覆盖范围可用性的认识开始,是普遍存在的。例如,2016年对欧洲企业进行的一项调查发现,50% 的企业不知道数据漏洞的网络保险覆盖是可用的。对于传统保单所提供的网络风险的覆盖水平也存在重大误解,并且在了解不同网络保险保单的具体条件和覆盖范围方面存在挑战;3)不符合投保人需求的保险覆盖,阻碍网络保险支付意愿的第三个因素是认为所提供的产品不能为网络事件造成的最严重成本提供足够的覆盖。在一项针对英国公司的调查中,77%的公司提供了关于网络事件保险是否满足其覆盖需求的意见,结果表明只是部分满足(或不满足)他们的需求。一项针对公司的全球调查发现,36%的受访者认为风险覆盖率不足是决定不购买网络保险的重要因素。
5 网络保险市场的应对措施
针对上述困难和挑战,报告为网络保险保障端(政府)、网络保险供给端(保险公司)和网络保险需求端(机构)提出 10 条建议,希冀能促进网络保险市场的发展。
5.1 网络保险保障端(政府)
• 颁发、实施网络保险相关的法律法规,进一步保障网络保险市场的发展;
• 建立网络风险研究小组,研究成员包括商业机构、保险公司、科研人员和政府机构,研究和整理网络风险相关的数据和事件(例如法国的 IRT System X);
• 建立、完善网络风险的技术、标准和实践,这些标准通常适用于或针对特定的部门,并辅之以便于实施的指导。
• 密切关注网络保险市场的发展情况,及时出台相应的法律法规对保险公司、保单持有人进行改善和调节。
5.2 网络保险供给端(保险公司)
• 建立网络风险模型,充分考虑频率估计值、公司损失和极端事件等因素;
• 提升自身网络安全的理解和认知,及时把握保险和网络安全的结合要求,提供更多实践性强的网络保险产品;
• 协助公共机构建立网络风险数据库,共享网络风险数据和事件,提高网络风险模型的有效性;
• 通过多种形式提高客户对网络风险和责任范围选择的认识,包括会议和研讨会,出版物和客户调查方法。
5.3 网络保险需求端(机构)
• 提升网络保险的意识,避免网络风险带来的巨大损失;
• 提升网络保险的责任、范围、条款和条件的理解,方便及时和准确地与保险公司沟通和提出自身诉求,购买与自身匹配的网络保险产品。
除此之外,报告也指出,虽然提高量化网络风险的能力和解决理解网络责任范围很可能是提高保险市场能力的最重要手段,但也有人提出其他措施。这些措施包括各种税收激励措施:(1)鼓励机构购买网络安全保险 ; (2)支持保险公司积累储备涵盖高风险的网络安全产品 ;(3)支持将网络风险转移到资本市场。在美国,国会已经制定了一项“数据违约保险法”(HR 6032),规定税收抵免额相当于网络保险费的 15%。有些人还建议,网络风险,特别是责任风险,应该要求机构强制购买网络保险。
作者:
夏枫,经济学硕士,国融证券股份有限公司投资银行高级经理,曾实习和就职于多家券商投行、研究所和 PE 机构,专注领域为产业经济和金融。
(本文选自《信息安全与通信保密》2019年第五期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
