美国卡内基国际和平基金会11月发布专题报告《解决私营部门网络安全困境:保险不可或缺的作用》(Addressing the Private Sector Cybersecurity Predicament: The Indispensable Role of Insurance)。报告指出,私营部门面临的网络风险日益严峻,表现在范围、规模和复杂性等方面,但应对之道非常有限,企业开始转向网络保险政策以应对挑战。然而,目前网络保险仅可提供有限的、不确定的、临时的解决方案,保险业在重塑风险格局方面理应极具潜力。本报告分析了阻碍网络安全保险市场正常运作的因素,研究了保险行业、政府、信息和通信技术(ICT)供应商以及私营部门的其他主要利益相关者为充分发挥保险重塑风险环境的潜力而做出的努力,最后探讨了释放网络安全保险潜力可施行的措施。

一、复杂多变的网络风险环境

由于一些深层次原因,政府和企业难以完美应对解决网络威胁:

商业激励:随着企业导入和扩展联网功能,例如远程访问数据等,更多的网络节点带来更广阔的网络攻击面。信息和通信技术(ICT)产品和服务的供应商在现有经济激励环境下希望快速推出新技术,而这种速度往往以牺牲网络安全为代价。

技术约束:由于信息通信技术的复杂性,测试和验证网络系统的完整性和安全性本质上面临着挑战。由于这些系统的复杂性日益增加,还需要频繁调整,堵漏异常困难。

情报、军事和执法行动需求频繁:人类在网络空间中活动的数量和性质迫使政府关注,政府机构开始介入该领域或意图扩大版图,他们可能会尝试掌控,部署更复杂的工具来利用漏洞而非消减漏洞,甚至会制造新漏洞。

犯罪分子、恐怖分子、黑客和其他潜在恶意用户受到诱惑:这类人群可以并且已经利用网络空间来实现他们的各种目标,因为此类行为的潜在收益率较高,但被打击并付出惨重代价的可能性又很低。

网络攻击工具迅速扩散:这些工具包括从技术领先国家的网络武器库中泄露或被盗的工具,还有部分由其他实体通过逆向工程制作的工具。

网络事件的系统性和级联影响的可能性增大:这是由多种相互作用的行业发展趋势所造成:普遍依赖于有限数量的通用硬件和软件平台和服务;ICT行业关键领域的市场整合;复杂的全球化供应链;系统和网络不断扩大的互联性等。随着物联网迅速发展,这些连接已深入物理世界,包括制造业、工业运营和航空航天等关键行业,并具有广泛的连锁反应。

机器学习普遍化:机器学习不仅可在网络安全领域帮助防御方,也能让攻击者受益,提高攻击的复杂程度和效率。

二、政府面临多重束缚

战略、政治和结构性原因阻碍了政府降低私营部门遭受网络攻击风险的能力和意愿:

“带宽”有限:政府自然倾向于首先解决其自身网络和服务的网络安全风险,然后解决关键基础设施的此类风险,以及其他形式的潜在系统性和灾难性风险,相较而言,企业、民间社会和个人面临的威胁没那么重要。

面临道德风险:政府担心承担解决私营部门网络风险的重大责任,会鼓励这些实体过度自满,从而使他们未能采取必要的预防措施。

策略矛盾及优先事项干扰:由于网络攻防有着内在的利益均衡、力道及协同要求,因此某些政府行为会加剧而不是缓解私营部门的网络安全困境。复杂的网络工具得到开发,被用于执法用途、情报,甚至战争。此外,网络角力各方都希望在满足网络安全需求与攻击性应用之间寻求适度的平衡。

审慎克制:政府应对外国的网络间谍活动和战争充满风险和挑战,在溯源中难以充分确定并公开可用等因素都会妨碍政府对私营部门所遭受的网络攻击做出回应。

国际合作不足:网络空间中,主权模糊或有争议,政治和法律障碍使得难以就网络空间中不可接受行为的构成等问题达成共识,对不恰当的网络行为进行单方面指责也面临困境、风险和权衡。

私营部门的反弹:公司抵制对其内部事务采取侵入式的政府监管和其他形式的干预,其中包括网络风险的管理活动,部分反弹源自历史悠久的私营部门对政府监管的担忧,比如实施成本、合规带来的责任、向政府或公众披露网络安全状况的风险等。另外,公司不愿响应不同层级政府的抵触需求,更别说不同地区政府相互矛盾的安全监管要求。

三、私营部门承受多重压力

私营部门在日常运营中面临多重与网络安全相关的挑战:

网络安全风险庞杂且相当复杂:网络风险涉及企业大多数业务领域及经营活动,不仅带来新风险,还直接或间接影响企业绩效及责任,有效的网络风险管理面临着概念、组织、运营、技术、财务和管理方面的挑战,企业应当时时实施网络风险评估,并执行全面的策略加以应对。

网络安全投资消耗宝贵的企业资源:企业要拿出利润来投资网络安全,但仍不足以防范重大网络风险,有限的资源投在网络安全技术和运营,还是投资网络弹性和风险控制措施,进一步恶化该问题。

被动防御的局限性:仅仅被动防御不足以应对日益复杂的网络攻击。即使成功,其效用随时间推移充满不确定,而且被动防御不能真正惩罚网络攻击者。

积极网络防御中的法律限制和禁令:在多数司法管辖区,积极的网络安全措施在思维意识和法律上仍存在争议,或在私营部门中被完全禁止。此外,大多数公司目前无法承担与部署主动防御措施有关的潜在责任。

缺乏足够的能力将网络风险分摊到保险公司:尽管保险业传统上在风险引导中起着关键作用,但目前私营部门并不完全有能力利用网络风险保险。

商业竞争和政府规管造成的阻碍:国际监管环境不均衡,使得企业格外关注跨境数据流动和反垄断措施等法规。此外,在安全实践中共享私密数据带来潜在风险更让企业焦虑不堪。这些因素不仅阻碍而且往往彻底阻止集中资源、分享最佳实践,还妨碍采用其他形式来全面地共同应对不断演变的国家和国际的网络威胁。

公众对网络安全漏洞的容忍度低:人们风险意识增强,并要求企业采取更多措施来抵御风险并披露任何风险事件。如果企业未能为此类情境做好准备,企业将面临潜在诉讼。

四、网络保险业的关键作用

网络保险的关键作用可以通过保险的六个核心功能来体现:

管控风险:通过积累经验及分析有效的风险管理实践的数据,保险公司可以更深入地了解影响网络风险环境的因素。

分散企业风险:按照惯常的保险业标准,承销商将承担分摊企业网络风险的核心职能。

管理系统性风险:识别潜在集聚风险的过程不仅可以避免遭受灾难性损失,还可为政府力图预测和解决可能的系统性网络攻击提供宝贵的服务。

利用集体智慧改善安全性:网络空间的本质是互相联系但又相互独立,既是艰巨的挑战,也蕴含机遇,需要有效利用整个生态系统的力量。保险行业可以成为跨私营部门的安全数据中央知识库,利用数据实现分析功能,抵御直接威胁。

塑造更宽广的风险预防态势:保险公司提供财务激励可以改变私营部门的行为,这种变化能对分析恶意活动的成本效益方面产生有力而且长期地影响。

调和国际化的标准与实践:不同于国家监管规则,保险业的影响力容易跨越国界。因此,保险可以作为一个全球代理监管机构,能够在国际上促成互惠互利的实践和标准。

保险业基本职能是认识和管理风险,其潜能来自其近乎实时的风险洞察力,顶级保险公司首先是风险管控专家,保险业在网络方面的作为取决于数据,数据收集工作可以让保险业不断提供风险管控建议。

五、网络风险保险难在哪里

(一)保险产品演化的现实局限

最早的网络保险政策诞生于房地产界,起初财产保险公司拒绝为“数据”这类无形财产提供保险,于是产生了此类风险的保险需求。大多数保险公司在财务/管理保险部门内建立网络保险业务,客户和经纪人倾向于便捷交易,通常只根据支持保险所需的最少量信息进行承保决定。在当前持续变化的网络风险环境中,网络威胁带来的危险超越大多数商业保险,其造成的损失可在多个险种内索赔。

应对网络安全风险,很多保险公司目前没有承保专业知识或数据管理系统来有效收集精细数据集以开发承保所需的强大数据集。这一挑战不仅影响保险公司,也影响再保险公司。由于网络风险呈现出前所未有的跨领域和级联效应特征,因此尚没有“全风险”的网络保险政策可以覆盖全部潜在损失。

此外,保险业极少应对以网络为中心的挑战,其风险随时可能发生巨大变化。网络风险的独特性使得是否有能力满足 “可保性原则”充满争议。云服务和作为攻防措施引入的机器学习这两个颠覆性技术可让保险公司更难以应对风险敞口。因此,传统的覆盖率和费率方法将不再适用于网络风险,观察和分享前沿最佳实践是促成网络风险易于管理的最好方法。

(二)客户不信任的现实

到今天,企业中负责网络安全事务的首席信息安全官们仍对保险业持怀疑态度,他们误以为网络保险承保流程的核心是收集安全漏洞并作价,这可能会引发攻击或责任诉讼,甚至成为保险公司提供拒绝承保的理由。此外,风险管理部门和安全领导者之间因决策考量、预算和权限等因素难以有效合作。

(三)保险市场无序竞争的现实

网络保险市场竞争激烈,这种状态导致保险公司认为,赢得和维持业务的最好的方法是使承保过程尽可能简单,这种情况因保险经纪公司逐利而恶化。从人才培育角度来看,不同于财产保险人才具有合法的工程证书及经验,网络承销商刚刚开始试水,而市场上安全人才稀缺意味着大多数潜在的网络安全专业人士不会选择保险业。

(四)风险集聚

这些因素加上前面提到的问题,带来了另一个重要现实:保险公司和再保险公司正在努力理解平台和共享服务提供商(包括云计算)互连所产生的与网络相关的风险集聚。如前所述,一些加速趋势导致网络事件引起的系统性和级联后果的可能性增加。预计风险可能出现的地点和方式非常困难,不可预测性加重了保险公司试图评估任何单一保单持有人的风险这一本就困难的任务。对风险集聚的恐惧是再保险公司犹豫不决的主要驱动因素,并进而抑制整个保险市场。

六、网络的保险行业如何释放其真正的潜力

理想的承保模型是风险管理的最佳实践与失败事例的动态数据库,最佳的网络保险状态首先应多方参与,其次还需保险人和承保人在风险管理基线及行业最佳实践基线达成共识,再次还需要基于产业洞察力的财务等激励措施,最后还要及时修订。为释放这种网络潜力,在提升信任和透明度上,提出了以下几点实用的解决方案,以便推动更多实质性的信息和数据共享。

聘用网络人才并交叉培训:对于合适的网络安全专业人才,经纪人和保险公司应该在报酬和激励方面表现慷慨。此外,鉴于网络风险的跨产品线性质,经纪人和保险公司都应投资于所有产品领域的网络风险意识培训。

保险承保专业化和与网络安全服务提供商的更深层次合作:与网络安全研究人员和托管安全服务提供商的合作可以填补保险业专业知识和能力方面的部分空白,这些可以将特定服务(例如安全审核、漏洞评估和渗透测试)整合到承保流程中。此外,对保单持有人资产的第三方专家评估将使保险公司更好地了解和理解风险敞口。

提高索赔透明度:对于接受索赔、赔付、拒绝赔付的理由等,保险公司应尽可能地透明化,并且确保不泄露客户特定或机密信息。

使合同简单化及易理解:保险公司应尽力拟订最简单、最容易理解的保险合同,明确化保险单的最大好处之一是安全领导者将能够更好地掌握,并对保险的运作方式充满信心。

使用基于成熟度的承保方法:如网络安全成熟度模型(C2M2)及美国国家标准与技术研究院的网络安全框架(NIST-CSF)可评估并支持组织的整体网络风险管理健康状况及其对持续改进的意愿,这种方法论适用于网络风险的动态特征。

七、政府和保险业牵手将相得益彰

政府和产业界的协同应侧重于重塑企业行为的激励结构。重心不应仅仅放在临时网络安全解决方案上,而应放在从供应链到产品生命周期结束,全面处理增加或减轻网络风险暴露因素的方法上。

(一)降低网络风险敞口的吸引力

保险公司可以通过保费和豁免政策直接抑制增加风险的行为或激励缓解措施。对网络风险的更有力的评估也应该告知客户、消费者、股东和潜在投资者,以便创造额外的市场激励。政府拥有一系列工具可以直接管理或间接促进私营部门的网络安全和风险管理实践,从而为保险公司提供支持,包括制定和颁布网络风险管理的自愿标准,通过自身购买服务的过程及合同关系产生市场力量等。当然,政府已经承担了许多此类活动,但往往是以特定方式进行的。总的来说,市场压力可能有助于抵消推动风险敞口的激励措施。更进一步,网络保险可以在激励网络安全实践的其他机制中发挥作用。最后,合作对于解决潜在的系统性网络风险至关重要。

(二)提高网络风险管理的可行性

除了简单地确定有效的风险管理实践外,保险公司还可以与政府和网络安全提供商合作、开发和推广网络安全创新实践。各国政府和保险业可以通过公私伙伴关系,建立网络安全能力,改进威胁情报和最佳做法的信息共享,探索更有效的网络防御的创新技术和方法,制定共同的网络安全标准和指标。保险公司可以激励保单持有人签订符合正式或非正式专业实践标准的网络安全服务合同。反过来,共同标准和指标的发展也将为保险业提供更有效的网络安全实践基准。

(三)确保ICT / ICS供应链的完整性

ICT和ICS供应商必须承担一定的责任,确保其产品在整个生命周期内的完整性,该义务要求供应商承诺对其产品承担某些义务以及具体措施和指标,以增强对此类承诺的更广泛信任。确保ICT / ICS产品完整性的可验证的承诺和指标,将大大缓解保险公司对其是否能充分评估网络风险和预测风险集聚的能力的担忧。此外,这些供应商和保险公司之间为实施此类措施而进行的深入合作可以为后者提供衡量风险暴露和缓解的具体指标。

八、结论:在政府,保险业和企业之间建立合作伙伴关系

政府、企业和保险业可以开始分别在处理网络保险问题各司其职。保险业可以实施上述可行步骤,改善保险公司与保单持有人之间的对话机制,提高承保流程的全面性、深度和透明度。政府本身与其他国家合作,可以逐步提高网络安全预期和要求。利益攸关方和平台之间需要建立持续的伙伴关系。非营利部门等无利害关系的各方可以提供中立平台,以解决利益相关者和社群潜在的不同利益。最终,需要这种伙伴关系来解决网络不安全的根本原因。政府和保险业可以做的不仅仅是简单地改变风险管理做法,可以在决策过程中促成更深层次的转变,转向更加主动、以风险为中心的框架。反过来,这种变化可以避免风险集聚效应、削弱网络空间攻击者的优势,并有助于缓解政府应对网络攻击升级的压力。

报告原文:https://carnegieendowment.org/2018/11/07/addressing-private-sector-cybersecurity-predicament-indispensable-role-of-insurance-pub-77622

编译 | 贺佳瀛

声明:本文来自赛博安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。