提升网络黑天鹅应对能力，纽约州发布《网络保险风险框架》

随着网络犯罪变得越来越普遍，所有组织的网络风险持续增加，网络保险也日益流行起来。

网络保险在管理和降低网络风险方面发挥着关键作用，但目前大部分保险公司在制定网络保险过程中风险意识不强，可能对保险业形成巨大的风险敞口。为此，美国纽约州金融服务部发布《网络保险风险框架》，面向所有财产和意外保险公司提供指引。

经过长期研究，美国纽约州金融服务部认为网络保险风险主要体现在三个方面：

首先，目前大部分保险公司可能无法准确衡量网络风险。为某个组织提供网络保险并进行定价取决于对其风险的仔细评估，而网络风险通常由该组织网络安全项目的水准所驱动。不同组织之间差异可能很大，如果缺乏有效的风险衡量能力，网络事故成本将转嫁到保险公司身上。

其次是系统性风险考虑不足，面对网络黑天鹅比如NotPetya、SolarWinds等大规模网络事件时，受害组织规模巨大，保险公司要承担惊人的保险成本。

再次是警惕沉默风险敞口，即网络保险中并未明确提及应由保险公司承担、但确由网络事件所造成的损失风险。

以2017年的NotPetya事件为例，NotPetya恶意软件在全球范围内肆掠，破坏了大量组织的网络，造成30亿美元的保险理赔，其中27亿美元是基于网络沉默风险产生的。

《风险框架》为保险公司提供了7步的网络保险制定流程，以保证各保险公司都能符合行业最佳实践。

《风险框架》还建议，不要向勒索软件方支付赎金。

《网络保险风险框架》

一切提供网络保险服务的授权财产/意外保险公司均应采取以下特定实践，借以持续有效管理其网络保险风险。各项最佳实践整理自我们与业界及多位专家的交流意见。

各保险公司的网络保险风险将受到多种因素的直接影响，包括保险公司自身规模、资源储备、地理布局、市场份额以及被保险行业等。各家保险公司应采取与风险相称的实施方法。

1、建立正式的网络保险风险策略

提供网络保险的保险企业，应制定一项由高层管理团队、董事会或理事机构（若无董事会）指导并批准的，用于衡量网络保险风险的正式策略。此项策略应包含明确的风险定性与定量目标，并应定期将与各项目标相关的进展报告交付至高层管理团队与董事会。若未设有董事会，则应上报至理事机构。此项策略应包含以下六项经过明确指定的关键实践。

2、管理并消除沉默网络保险风险敞口

提供网络保险服务的保险公司，应确定自身是否正面临沉默或非肯定性的网络保险风险，即网络政策中并未明确提及应由保险公司承担、但确由网络事件所造成的损失风险。即使是并未明确提供网络保险的财产/意外保险公司，也应着力评估其沉默风险敞口，并采取适当措施以减少此类敞口。在各类合并性承保政策与独立的非网络政策中可能存在多种沉默风险，包括错误与遗漏、盗窃与窃取、一般责任与产品责任保险等。网络风险可能尚未在保单定价中得到明确量化或归纳，因此可能给保险公司带来意外损失。

总而言之，保险公司应在一切可能引发网络安全事件索赔的保单中，明确描述此保单是否覆盖与网络事件相关的损失，借此消除隐性风险。鉴于多数现有保险政策可能覆盖沉默网络风险，彻底消除这类风险往往还需要一段时间。因此，保险公司应采取措施缓解现有沉默风险，例如选择购买再保险产品。

3、评估系统性风险

作为网络保险风险策略的组成部分，提供网络保险的保险公司应定期评估系统性风险并规划潜在损失。如今，随着各类机构越来越多地依赖于第三方供应商，系统性风险也随之一路飙升。这些供应商高度集中于特定关键领域，特别是云服务与托管服务供应商。保险公司应了解被保险人所使用的关键第三方机构，并模拟灾难性网络事件经由此类关键第三方可能给多位被保险人造成的同时损失。此类事件包括以NotPetya为代表的自传播恶意软件，以SolarWinds木马事件为代表、同时感染众多客户组织的供应链攻击，以及可能导致大型云服务商陷入瘫痪的重大网络事件。这类灾难性的网络事件可能给保险公司造成巨大损失，甚至一次性超出其赔付能力上限。

保险公司还应根据发生几率极低、但仍有可能出现的灾难性网络事件，立足内部场景执行网络安全压力测试。理想的压力测试应兼顾到沉默风险与肯定性风险。此外，由于灾难性网络事件敞口在不同行业中表现不同，同时受被保险人业务类型与实际规模影响，因此保险公司应持续跟踪压力测试方案对当前不同保单各队以及被保险人所在行业的实际影响。网络保险风险策略应明确考虑到压力测试所提供的明确潜在损失。

4、严格衡量保险风险

提供网络保险的保险公司应制定一项全面的数据驱动计划，用以评估各被保险人以及潜在被保险人面临的网络风险。制定计划的第一步，在于通过以下各主题的调查与访谈收集相关机构的网络安全计划信息，具体包括公司治理与控制、漏洞管理、访问控制、加密、端点监控、边界防御、事件响应计划以及第三方安全策略等。这类信息应足够详尽，确保保险公司能够对被保险人网络安全体系内的潜在漏洞与既有漏洞做出严格评估。此外，外部网络风险评估等第三方资源也属于极具价值的信息源。保险公司应将这些信息与过往索赔数据分析结果进行比较，借此发现与网络安全控制体系中特定漏洞相关的具体风险。

5、为被保险人及保险提供方提供教育引导

提供网络保险的保险公司，应在为被保险人提供网络安全教育、着力降低网络事件风险方面发挥重要作用。保险公司应努力提供关于网络安全举措及其相关价值方面的完备信息，并敦促被保险人实际采取相关措施。保险公司还应根据各被保险人现有网络安全计划的有效性调整保费政策，借此激励客户采取更好的网络安全措施。

目前，已经有多家行业领先的保险公司为被保险人提供指导服务、网络安全服务优惠折扣、甚至网络安全评估与改进建议。我们高度赞赏这方面举措，并支持保险公司不断扩大此类方案的类型、范围与覆盖面。

保险公司还应鼓励并协助保险产品设计师理解潜在网络风险，引导其妥善设置产品中的网络覆盖类型与范围、以及网络保险政策中给出的赔付限额。应保证设计师们充分理解网络保险的需求、收益与限制，并将这部分信息准确传递给被保险人与潜在被保险人，由此推动网络保险市场的不断发展壮大。

6、获取网络安全专业知识

提供网络保险的保险公司应具备适当的专业知识，借以正确理解并评估网络风险。保险公司应招聘具有网络安全经验与技能的员工，着力制定培训与发展计划，并在必要时招聘外部顾问或供应商。

7、向执法部门发布通报

网络保险政策应要求受害者向执法部门发布通报。部分提供网络保险服务的保险公司目前已经开始采取这方面最佳实践。向执法部门发布通报可能给受害者本身乃至公众群体带来助益。执法部门往往掌握着大量私营部门无法获取的宝贵信息，可在收到通报后及时分享以指导受害者快速采取应对措施。此外，执法部门还可协助恢复丢失的数据及资金。例如，若企业因电子邮件泄露而导致资金失窃时，执法部门往往可以及时通报事件并阻止或撤销电汇操作。在受害者、股东、监管机构乃至公众对于受害者的网络事件应急反应做出评估时，及时向执法部门发布通报的行为将显著提高受害者的商业声誉。最后，执法部门收集到的这方面信息可用于起诉攻击者、提醒其他各方关注现有网络安全威胁，进而阻止未来可能发生的网络犯罪活动。

原文链接：

https://www.dfs.ny.gov/industry_guidance/circular_letters/cl2021_02

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。