经济合作与发展组织(OECD)近期发布研究报告《加强保险在网络风险管理中的作用》(Enhancing the Role of Insurance in Cyber Risk Management)。报告认为:网络安全与风险管理投资日趋重要,网络风险保险通过促进对网络损失风险的认识,分享风险管理的专业知识,鼓励投资以降低风险并促进网络事件响应,对管理网络风险做出重要的贡献。

世界经济论坛发布了《2017年全球风险报告》,其中网络风险被1/3以上经合组织国家的经营者认为是最高(或次高)的风险(超过半数的经合组织国家最担忧的5个风险中,网络风险排名高于恐怖袭击或自然灾害)。与此同时,从2015年到2022年,全球经济价值估计达9万亿到21万亿美元,这可能取决于网络安全环境的稳健性。

因此,报告重点介绍了日益增长的网络风险和保险对网络风险管理的贡献、网络事件和损失类型的多样性及网络保险市场面临的挑战。最后,分别针对网络保险保障端(政府)、网络保险供给端(保险公司)和网络保险需求端(机构)提出十条建议,希望可以给网络保险的发展做出贡献。

一、日益增长的网络风险、多样的网络事件和损失的类型

OECD近期对32个国家的58个公共和私营部门的一项网络风险保险调查发现,他们的国家和企业面临的网络事件风险是中级到高级的(高风险意味着持续或即将发生的攻击和/或网络事件的高影响)。所有受访者都表示,网络事件会对国家造成风险。在受访者中,对网络风险水平的认知情况在保险经纪和再保险公司中是最好的,占有41%的份额;在政府官员中是最差的,仅仅占有16%的份额。针对日益增长的网络风险,CRO论坛(Chief Risk Officers)(2016)将网络事件类型划分为四大类:(1)数据泄露;(2)系统故障/问题;(3)数据完整性/可用性;(4)恶意行为。网络事件可能会导致许多不同类型的损失,包括有形和无形资产的损失,营业中断和盗窃损失,以及对客户、供应商、雇员和股东的各种形式的损失。CRO论坛(2016)也已经开发了一套“事件类型组”,提供了对可能因网络事件而产生的不同类型损失的21种分类。在现代社会保险业作用凸显,保险作为风险治理的重要工具,在服务围绕人的美好生活需要,解决面临风险挑战方面,现在正是发展的黄金机遇期;在解决人类面临的巨大风险挑战面前,保险业显得尤为重要。

二、网络保险市场机遇和特点

全球独立网络保险市场总保费的规模在2016年估计为25亿美元至35亿美元(不包括其他保险中包含的网络风险保费)。据估计,美国市场占总保费总金额的85%至90%(约25亿美元至30亿美元),而欧洲市场估计约占5%到9%(1.5亿美元至4亿美元)。亚太地区的总保费金额约为5000万美元。在许多国家,市场正在以极快的速度增长,预测2018年美国可能达到50亿美元,欧洲9亿欧元,2025年全球保费将达到200亿美元。可见,网络安全保险发展潜力巨大。

然而,网络安全的特殊性,其网络保险市场也有不同的特点:1)不同的独立网络保险为商业实体提供的覆盖范围有很大差异,根据最近(美国)的一项估计,至少有65种不同的网络保单形式用于网络风险覆盖;2)独立网络保险的渗透各有不同,从国家上来说,美国的渗透率高于英国、欧洲大陆或亚太地区(没有发现这些国家以外的渗透水平);从行业上来说,健康、教育、零售和科技公司中保险渗透率较高(接近50%,美国零售、医疗保健和金融服务领域达到80%;3)不同国家、不同部门以及不同规模公司的网络保险费用的信息是有限的,其价格也就不同。在欧洲,每100万欧元的保险费用约为2000欧元至5000欧元,覆盖5000万欧元至9000万欧元的保险。在德国,100万欧元保险的保费从7000欧元到1.5万欧元不等,500万欧元保险的保费从4000欧元到24000欧元不等。对瑞典保单的调查发现,100万克朗保险的保费从5000克朗到15000克朗,尽管有些100万克朗保险的保费低于5000 克朗。除此之外,网络保险还有承保方式和独立保单提供的附加服务不同的特点。

三、网络保险市场的挑战和措施

由于网络风险历史经验的缺乏、网络保险市场的特点及其性质的不断演变,为量化网络风险带来了重大挑战。本报告认为网络保险市场的挑战总体分为保险公司提供网络保险的意愿和公司获取网络保险的需求。保险公司提供保险的意愿主要是看价格,影响网络保险价格的因素主要分为估计预期损失的不确定性程度(可量化性)、预期损失的规模(经济可行性)和风险的多样性(有限相关性)。但针对公司而言,获取网络保险的需求因素包括缺乏对网络风险潜在损失的认识,对覆盖需求的误解以及提供的覆盖范围和公司正在寻求的不匹配。

针对上述困难和挑战,报告为网络保险保障端(政府)、网络保险供给端(保险公司)和网络保险需求端(机构)提出10条建议,希冀能促进网络保险市场的发展。

网络保险保障端(政府)

  • 颁发、实施网络保险相关的法律法规,进一步保障网络保险市场的发展;

  • 建立网络风险研究小组,研究成员包括商业机构,保险公司,科研人员和政府机构,研究和整理网络风险相关的数据和事件(例如法国的IRT System X);

  • 建立、完善防范网络风险的技术、标准和实践,这些标准通常适用于或针对特定的部门,并辅之以便于实施的指导。

  • 密切关注网络保险市场的发展情况,及时出台相应的法律法规对保险公司、保单持有人进行改善和调节。

网络保险供给端(保险公司):

  • 建立网络风险模型,充分考虑频率估计值、公司损失和极端事件等因素;

  • 提升自身网络安全的理解和认知,及时把握保险和网络安全的结合要求,提供更多实践性强的网络保险产品;

  • 协助公共机构建立网络风险数据库,共享网络风险数据和事件,提高网络风险模型的有效性;

  • 通过多种形式提高客户对网络风险和责任范围选择的认识,包括会议和研讨会,出版物和客户调查方法。

网络保险需求端(机构):

  • 提升网络保险的意识,避免网络风险带来的巨大损失;

  • 提升对网络保险的责任、范围、条款和条件的理解,方便及时和准确地与保险公司沟通和提出自身诉求,购买自身匹配的网络保险产品。

除此之外,报告也指出,虽然提高量化网络风险的能力和解决理解网络责任范围的挑战很可能是提高保险市场能力的最重要手段,但也有人提出其他方法。这些措施包括各种税收激励措施:(i)鼓励机构购买网络安全保险; (ii)支持保险公司积累储备涵盖高风险的网络安全产品;(iii)支持将网络风险转移到资本市场。在美国,国会已经制定了一项“数据违约保险法”(HR 6032),规定税收抵免额相当于网络保险费的15%。有些人还建议,网络风险,特别是责任风险,应该要求机构强制购买网络保险。

声明:本文来自赛博安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。