網絡安全保險國內外產業發展研究
責編:gltian |2022-09-23 14:10:48作者簡介
鄭威
中國信息通信研究院安全研究所高級工程師,主要從事網絡安全、數據安全、移動應用安全、人工智能安全等方面的研究工作。
姜鼎
通信作者。中國信息通信研究院安全研究所工程師,主要從事網絡安全、數據安全、移動應用安全、網絡安全保險等方面的研究工作。
郭飛
中國信息通信研究院安全研究所工程師,主要從事網絡安全、數據安全、移動應用安全、人工智能安全等方面的研究工作。
孫麗潔
中國信息通信研究院安全研究所工程師,主要從事網絡安全、數據安全、網絡安全保險、人工智能安全等方面的研究工作。
論文引用格式:
鄭威, 姜鼎, 郭飛, 等. 網絡安全保險國內外產業發展研究[J]. 信息通信技術與政策, 2022,48(8):43-51.
網絡安全保險國內外產業發展研究
鄭威 姜鼎 郭飛 孫麗潔
(中國信息通信研究院安全研究所,北京 100191)
摘要:隨著網絡安全風險日益加劇,網絡安全保險得到了快速發展,成為轉移、防范網絡安全風險的重要工具。國外的網絡安全保險市場經歷了二十余年的發展實踐,已形成了較為成熟的上下游生態。通過研究國外網絡安全保險的產業環境及發展趨勢,結合國內網絡安全保險產業發展現狀及業務模式,分析國內產業發展面臨的問題,并提出發展建議。
關鍵詞:網絡安全保險;產業環境;網絡安全
中圖分類號:TP393.08;F842.6?文獻標志碼:A
引用格式:鄭威, 姜鼎, 郭飛, 等. 網絡安全保險國內外產業發展研究[J]. 信息通信技術與政策, 2022,48(8):43-51.
DOI:10.12267/j.issn.2096-5931.2022.08.007
0 引言
近年來,隨著數字經濟的蓬勃發展,全球網絡安全威脅持續加劇。各國政府紛紛加強網絡監管,企業的安全投入不斷增加,網絡安全保險作為承保網絡安全風險的新險種,日益成為轉移、防范網絡安全風險的重要工具。國外網絡安全保險產業發展迅速,已形成較為成熟的上下游生態。加強對國外網絡安全保險產業發展研究,推動我國網絡安全保險產業健康發展,對建設網絡強國、助力經濟發展具有重大而深遠的意義。
1 網絡安全保險綜述
1.1 網絡安全保險的背景
隨著新一輪科技革命和產業變革席卷全球,大數據、人工智能、移動互聯網等新技術得以廣泛應用,在促進實體經濟高速發展的同時,也帶來了諸多新的網絡安全威脅和挑戰。
(1)國際方面。根據安聯集團(Allianz)發布的《2022全球風險晴雨表》[1],2022年十大商業風險中,網絡事件(包括網絡犯罪、IT故障/停機、數據泄露、罰款和處罰等)占據首位。2021年2月,美國佛羅里達州水處理廠電腦系統被黑客入侵,導致當地居民生活用水中斷;2021年4月,Facebook的5 億用戶數據在暗網被公開售賣,企業聲譽受損;2022年1月,新加坡加密貨幣交易平臺被攻擊,黑客利用智能合約漏洞竊取價值3.2 億美元的加密貨幣。頻發的網絡安全事件給企業造成巨大經濟損失和聲譽影響。
(2)國內方面。根據國家互聯網應急中心發布的《2021年上半年我國互聯網網絡安全監測數據分析報告》[2],2021年上半年,我國受攻擊IP有3 048 萬個,占我國IP地址總數的7.8%;“零日”漏洞7 107 個,同比大幅增長55.1%。2020年3月,微博5.38 億用戶數據泄露,企業聲譽受損;2021年3月,中國臺灣電腦公司Acer遭勒索軟件攻擊,贖金高達3.25 億美元。2021年6月,淘寶近12 億條用戶數據被盜取,引發社會廣泛關注。
為減少或避免網絡安全事件帶來的損失,企業需不斷完善自身的網絡風險管理體系,提升應對網絡安全風險的能力。在風險控制模型中,應對風險共有四種手段:消除、降低、轉移和接受。由于網絡安全風險難以消除,企業通常通過部署網絡安全產品和服務來抵御攻擊,降低風險發生的可能性,并最終接受殘余風險。網絡安全保險作為轉移網絡安全風險的重要手段之一,尚未得到充分應用。
1.2 網絡安全保險的內涵
目前,國內外尚未形成對網絡安全保險的統一定義。英國保險協會(Association of British Insurers,ABI)將網絡安全保險定義為“用于彌補與IT系統和網絡的損壞或信息丟失相關損失的一種保險產品”[3];美國國土安全部(United States Department of Homeland Security,DHS)將網絡安全保險定義為“旨在降低企業遭受數據泄露、業務中斷和網絡損壞等事故損失的一種保險產品”[4];歐洲網絡與信息安全局(European Network and Information Security Agency,ENISA)將網絡安全保險定義為“承保與網絡空間風險(包括賠償責任、財產損失和盜竊、數據損壞、網絡中斷收入損失和計算機故障或網站污染)等相關的風險損失為目的的保險合同”[5]。根據《中華人民共和國保險法》,保險是指“投保人根據合同約定,向保險人支付保險費,保險人對于合同約定的可能發生的事故因其發生所造成的財產損失承擔賠償保險金責任,或者當被保險人死亡、傷殘、疾病或者達到合同約定的年齡、期限等條件時承擔給付保險金責任的商業保險行為”[6]。
綜合國內外相關定義,網絡安全保險的核心內涵是以被保險人的網絡及系統安全性(包括完整性、機密性、有效性等)及預期損失為保險標的,當出現被保險人遭受網絡安全事故而導致企業生產中斷、網站系統被破壞、商業機密被竊取、第三方隱私信息被盜用等情況時,保險人依據合同對被保險人承擔給付保險金責任的商業保險行為。業內涉及網絡安全的諸多保險術語,如網絡保險(Cyber Insurance)、網絡風險保險(Cyber Risk Insurance)、網絡空間保險(Cyberspace Insurance)、網絡責任保險(Cyber Liability Insurance)、信息安全保險(Information Security Insurance)、網絡安全保險(Network Security Insurance)、電子風險保險(E-risk Insurance)等,均屬于本文中網絡安全保險(Cyber Security Insurance)的范疇。
1.3 網絡安全保險的分類
根據承保范圍不同,可將網絡安全保險分為第一方損失險和第三方責任險兩類(見表1)。
表1 網絡安全保險主要類型
第一方損失險承保的是網絡安全事故導致投保企業產生的直接損失。主要對營業中斷進行保障,包括直接利潤損失、內部錯誤和技術故障所產生的費用,黑客攻擊導致的資金損失,網絡勒索的支付費用以及其他相關費用。
第三方責任險承保的是網絡安全事故導致第三方遭受損失時,須由投保企業承擔的法律責任。主要是針對第三方向投保企業的網絡安全責任提出的索賠,包括用以覆蓋最終用戶(消費者、使用者等)索賠的消費者賠償費用,違反相關法律法規所導致的費用,以及由于監管要求產生的調查、取證費用。
2 國外產業環境及發展趨勢
國外的網絡安全保險市場經歷了二十余年的發展實踐,已進入快速發展期,并形成了較為成熟的上下游生態。
2.1 市場發展歷程
(1)萌芽期。20世紀90年代,伴隨著IT技術和互聯網的快速發展,美國、歐洲等國家和地區出現針對網絡安全風險相關的保單,以第一方損失險為主。國際計算機安全協會、英國勞埃德(Lloyd)保險公司相繼推出黑客保險。蘇黎世北美保險公司(Zurich North America)在美國推出“E-Risk保險”,專門針對因感染病毒、非法入侵、網上攻擊等導致企業業務癱瘓、經濟損失巨大的情形。
(2)探索期。進入21世紀,隨著網絡安全風險的種類、發生頻率及所造成損失不斷增加,以及相關法律法規的逐步完善,國外網絡安全保險的需求迅速增長。保險公司不斷探索優化網絡安全保險產品,擴大產品承保范圍,承保第三方責任的網絡安全保險保單開始出現。2003年,美國國際集團(AIG)保險公司推出承保范圍涵蓋因網絡安全或數據被侵入而造成第三者損失的黑客保險。隨著Amazon、Yahoo和eBay等著名網站相繼遭受黑客侵襲,黑客保險需求迅速擴張,截至2003年年底,美國國際集團保險公司銷售額增加了4~5倍。
(3)發展期。自2010年起,國外網絡安全保險市場進入快速發展期,網絡安全保險逐漸成為保險公司的一款基礎產品。據Research and Markets預測[5],到2026年,全球網絡安全保險市場規模將達到350.7 億美元,平均年復合增長率達到26.6%。高速發展的同時,國外網絡安全保險市場仍面臨著多重挑戰,如網絡安全風險定義不清晰、網絡事故損失歷史數據有限以及對網絡安全保險承保范圍認知不足等。
2.2 法律政策環境
得益于成熟的法律、監管體系及良好的政策環境,過去二十余年,國外網絡安全保險市場得到了快速發展。
美國網絡安全保險市場發展最為迅速,占全球市場份額的90%以上。在法律要求方面,美國將非法披露個人信息納入保險承保范圍,推動企業通過購買保險來保障因數據泄露和營業中斷帶來的經營損失;在監管體系方面,美國證券交易委員會(United States Securities and Exchange Commission,SEC)要求上市公司必須上報網絡安全事故、數據泄露事件,否則將面臨調查傳訊及股東和客戶的集體訴訟,網絡安全保險產品需求激增;在政策環境方面,從2016年起,美國對購買數據泄露保險采用美國國家標準與技術研究所(National Institute of Standards and Technology,NIST)網絡安全框架或財政部批準的安全標準的企業,提供15%的稅收減免。健全的法律監管和積極的財政政策促進了美國網絡安全保險市場的快速發展,據美國保險監督官協會(National Association of Insurance Commissioners,NAIC)的統計數據顯示[6],目前提供網絡安全保險產品的美國保險公司已超過500 家,較2016年增加35%。
歐盟的網絡安全保險市場與美國的發展較為同步。歐盟采用網絡隱私立法模式,從法律上確定網絡隱私權保護的各項基本原則和具體制度,并在此基礎上建立各項司法和行政救濟保護措施。相關法律法規對隱私泄露等引發的第三方責任有著較為明確的罰則指導,可為網絡安全保險的保費定價提供參考。如歐盟的《通用數據保護條例》(General Data Protection Regulation,GDPR)高度重視個人數據保護,對企業違規建立了嚴格的處罰機制。根據規定[7],企業出現一般違法行為將面臨全年營收額2%或1 000 萬歐元的罰款,高者為限;出現嚴重違法行為將面臨全年營收額4%或2 000 萬歐元的罰款,高者為限。2018年5月該法案生效后,歐洲地區的網絡安全保險市場迅速壯大。
2.3 產業生態現狀
由于網絡安全保險本身的專業性要求和跨行業屬性,產業發展面臨較大的技術和行業壁壘。在政府匯集多方資源的聯合推動下,國外網絡安全保險生態得以快速發展。以美國為例,政府在提供相對健全的網絡安全和數據安全方面的法律要求、監管體系和政策環境外,還推動各方聯合建立網絡安全風險基礎數據庫,發布風險損失測算量化標準,完善網絡安全保險精算模型,助力保險公司提升承保技術能力。從2012年起,美國的政府機構開始聯合保險業建立網絡安全風險基礎數據庫,如推動數據公司Advisen、風險建模公司RMS等建立了網絡安全風險管理相關數據庫,幫助保險公司識別企業網絡安全風險并提供網絡安全損失測試服務。2016年1月,美國巨災建模公司AIR Worldwide和數據分析公司Verisk聯合發布網絡安全損失數據收集標準,進行網絡安全風險建模數據收集。2016年5月,國際再保險巨頭佳達保險(Guy Carpenter)聯合網絡安全領域巨頭賽門鐵克(Symantec)創建了網絡安全加總模型(Cyber Aggregation Model)。
經過多年發展,國外網絡安全保險產業已形成公共基礎服務體系完善、利益相關方眾多、業務全生命周期覆蓋的較為成熟的上下游生態。保險公司和再保險公司是生態的核心,作為網絡安全保險業務經營的主體,實現產品規劃設計、銷售和交付,如美國國際集團(AIG)、旅行者集團(Travelers),歐洲的蘇黎世再保險和慕尼黑再保險等。投保前,網絡安全公司、保險科技公司或風險數據建模公司支撐對投保企業進行網絡安全風險評估,提供網絡安全風險數據,聯合保險公司設計風險量化和損失測算模型,如美國網絡安全公司Symantec、數據公司Advisen、巨災建模公司AIR Worldwide等。承保期,部分保險公司會與第三方網絡安全技術服務商合作,持續監測投保企業的網絡安全風險動態變化,并在必要時提供預警和處置措施。理賠時,保險公司依據保單的承保責任向投保企業提供第一方損失、第三方責任相關的經濟賠付和外部專家支持,協調網絡安全公司、數據恢復公司提供應急響應和救援支持,對網絡安全事故開展技術鑒定、調查取證、技術評估、系統和數據恢復等工作。
2.4 產業發展趨勢
數據顯示[8],國外網絡安全保險市場呈現保費增長、行業損失率上升、市場份額集中的趨勢。以美國為例,怡安集團在其2021年6月發布的《2020年美國網絡安全保險的利潤及表現》指出[9],2020年美國網絡安全保險直接簽單保費達27.4 億美元,較2019年增長21%;由于勒索軟件索賠導致事件響應成本和勒索金額增加,平均索賠額增幅超過50%,網絡安全保險的行業損失率上漲了22%;美國網絡安全保險市場雖略有擴大,但市場份額主要集中于大型保險集團公司,提供的風險分散作用相對有限,存在一定的承保風險。在此背景下,國外網絡安全保險產業進一步發展完善,呈現出以下趨勢。
(1)保險公司持續優化網絡安全保險產品。保險公司在市場變化中持續探索保費與企業安全投入的平衡點,以免保費過高降低了企業的購買欲望,或保費過低使企業過多轉移了本應承擔的安全風險,從而導致企業忽視自身安全建設。對產品的優化措施包括:減少低價網絡安全保險產品,避免企業以較低價格購買高賠付限額的網絡安全保險產品,例如2020年美國獨立保單保費平均上升了28.6%;提高投保的安全基線要求,保險公司要求企業在投保評估之前,進行切實有效的網絡安全加固;調整保單的承保范圍,部分保險公司減少了保單中的承保范圍,例如法國的安盛保險去除了所有涉及勒索的相關條款。這些措施有效減少了通過降低保費和安全基線來吸引客戶的不成熟市場競爭行為,有助于推動行業良性健康發展。
(2)“保險+安全服務”的業務模式已逐步成為行業共識。保險公司提供包括主動防御在內的網絡安全解決方案,把實施風險控制作為企業投保基線的一部分,用確定的風險防御投入降低預期損失,進而獲得承保收益。一方面,保險公司為投保企業提供安全培訓、威脅情報訂閱等服務,可有效降低網絡安全保險的出險率,并形成市場差異化競爭,提高自身競爭優勢;另一方面,保險公司聯合網絡安全公司為投保企業提供主動風險控制,以實現將一部分風險較高的“不可保業務”轉化為風險可控的“可保業務”,達到擴大業務規模的目的。
(3)跨行業數據共享分析機制逐步建立。與成熟的保險產品相比,網絡安全保險在保前風險評估、險后理賠鑒定環節可參考的數據均相對較少,保險公司通過與網絡安全公司、第三方保險科技公司建立數據共享與分析機制,基于網絡安全風險基礎數據,準確、動態地發現特定行業或者特定時間的威脅,有效緩釋網絡空間“黑天鵝”事件帶來的未知風險。
3 國內產業環境及發展現狀
在數字經濟蓬勃發展及網絡風險持續加劇雙驅動下,我國對網絡安全的重視程度不斷提升,相繼出臺了一系列法律法規及標準規范。在此背景下,我國網絡安全保險市場需求逐漸增加,一些保險公司對網絡安全保險的業務模式展開了積極探索。
3.1 市場發展現狀
國內網絡安全保險起步于21世紀10年代,目前仍處于市場探索期。自2013年起,蘇黎世財產保險(中國)有限公司、安聯財產保險(中國)有限公司等外資險企率先在中國市場上推出了網絡安全保險產品。此后,隨著市場需求的逐步增加,中國人民財產保險股份有限公司、中國人壽財產保險股份有限公司、中國平安財產保險股份有限公司、中國太平洋財產保險股份有限公司等國內大型保險公司相繼開發并推出網絡安全保險產品(見表2)。
表2 國內市場網絡安全保險相關產品
從供給側看,國內市場上的網絡安全保險機構及產品逐漸增多。目前,已有20 余家保險公司在中國銀行保險監督管理委員會備案了50 余款網絡安全保險產品,險種涉及黑客保險、網絡風險保險、電子商務保險、網絡安全責任保險、網絡安全應急響應保險、網絡安全綜合保險、計算機保險等[10]。面向的客戶分布于政府部門、企事業單位、國家重點保護單位、互聯網企業、醫療、金融、教育機構、網上交易平臺、網絡游戲公司等眾多行業。網絡安全保險在我國屬于新興險種,保險公司在產品定價、風險評估、定損理賠等環節尚未形成完備的機制體系。
從需求側看,網絡安全保險在國內的市場接受度不斷提升。隨著國內網絡和數據安全相關法律法規、政策環境的不斷完善,及數字經濟發展戰略的深入實施,國內企業在安全體系建設方面的投入逐漸增多,并逐步認識到網絡安全保險有助于企業實現風險轉移,建立全面的網絡安全風險應對方案。近兩年,除了外資及合資企業外,國內一些具備海外業務的中資企業、易受網絡攻擊的重點行業企業及具有較高風險管理意識的企業逐漸開始嘗試購買網絡安全保險產品。
3.2 法律政策環境
法律法規方面,網絡安全相關法律法規不斷建設完善,但網絡安全保險專屬的法規制度尚為空白。2017年6月,《中華人民共和國網絡安全法》正式實施,為網絡安全法律體系建設提供上位法基礎。2021年,《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規發布實施,國家層面的網絡安全相關法律法規框架不斷完善。此外,海南、貴州、天津、浙江和上海等全國18個省市相繼出臺了地方性的數據安全法規;以金融、電信、電力等為代表的網絡安全成熟度較高的行業基于國家法律法規建立了行業的網絡和數據安全規章制度。
政策環境方面,鼓勵探索網絡安全保險服務模式創新。2019年9月,工業和信息化部發布《關于促進網絡安全產業發展的指導意見(征求意見稿)》[12],將“探索開展網絡安全保險服務”作為“積極創新網絡安全服務模式”的內容之一。2021年7月,工業和信息化部發布《網絡安全產業高質量發展三年行動計劃(2021—2023年)(征求意見稿)》[13],在“產融合作深化行動”中提出“面向電信和互聯網、工業互聯網、車聯網等領域,開展網絡安全保險服務試點。加快網絡安全保險政策引導和標準制定,通過網絡安全保險服務監控風險敞口,鼓勵企業構建并完善自身網絡安全風險管理體系,強化網絡安全風險應對能力”。上海、寧波、武漢等地已紛紛出臺激勵政策,部分城市已著手開展試點工作。
3.3 主要業務模式
隨著我國網絡安全保險市場需求的逐步增加,國內保險公司開始了網絡安全保險的市場探索。總體來看,目前國內網絡安全保險市場上主要存在“IT產品+保險”和“保險+安全服務”兩類業務模式。
“IT產品+保險”模式指云服務廠商、安全服務廠商等IT服務商為其生產銷售的產品購買網絡安全保險,以借助保險的風險轉移功能,完善所售產品的安全保障體系(見圖1)。此模式有助于IT服務商提高產品的市場競爭力,減少因產品存在潛在網絡安全風險為企業自身及其客戶帶來的損失。在此模式下,保險公司無需直接面向用戶開展網絡安全保險產品的營銷,網絡安全保險產品依附于IT服務商的產品并為其增信。
圖1 “IT產品+保險”模式
“保險+安全服務”模式指保險公司與安全公司合作,共同向投保企業提供網絡安全保險產品及服務(見圖2)。保險公司為企業提供標準化或定制化的網絡安全保險產品,產品中包含可訂閱的安全服務,如應急響應、溯源取證等,安全公司則向保險公司提供專業的技術支撐,賦能保險產品。此模式與國外網絡安全保險市場成熟期的業務模式較為相似,但國內市場在產品和服務的種類、覆蓋范圍、服務機制等方面仍有待提升。尤其在安全服務方面,安全公司應協助保險公司為投保企業提供保前安全風險評估,以確定保單的保費及保額,并進一步提供安全加固、監測預警等服務,以降低出險率,平衡保險保費與企業安全投入。
圖2 “保險+安全服務”模式
在“保險+安全服務”模式下,投保企業發生安全事件后,保險公司第一時間聯系安全公司,安全公司通過遠程或現場方式了解事故情況,判定安全事件是否在承保范圍內;如是,則提供應急響應服務,并協助保險公司進行理賠定損、溯源取證等工作(見圖3)。
圖3 理賠處理流程
3.4 產業面臨的問題
伴隨著我國網絡安全系列法律法規的實施落地,重要行業領域網絡安全頂層設計的密集出臺,國內網絡安全保險產業迎來發展機遇期。政府部門、研究機構、保險公司、網絡安全企業等相關機構對網絡安全保險的關注與日俱增,產業面臨的政策引領作用未充分發揮、行業標準規范缺乏、產品數量有限、客戶認知不足等問題開始凸顯。
(1)政策引領尚需加強。為積極響應國家政策號召,部分地區已表現出對網絡安全保險的關注,通過組織成立地方性網絡安全保險聯盟、出臺相關保費補貼政策等方式激勵當地網絡安全保險的發展,但尚未在全國范圍內形成規模效應和示范效應,企業參與的積極性尚未充分激發。
(2)行業規范尚未建立。國內網絡安全保險定義尚不明確,且僅有少量大型網絡安全保險公司進行業務探索,保險條款、承保范圍、服務要求、業務流程等均未達成行業共識、形成統一標準,難以獲取客戶認可,不利于網絡安全保險大規模推廣落地。
(3)產品供給尚顯不足。保險產品設計需依據歷史市場數據,運用精算模型計算保險費率。費率過高,將難以吸引客戶,降低產品的市場競爭力;費率過低,則會造成保險公司之間的惡性競爭,不利于穩定經營。一方面,國內網絡安全保險仍處于發展初期,保險公司缺乏網絡安全風險數據積累,難以開發出符合市場需求的保險產品;另一方面,網絡安全風險復雜多變,造成的損失難以量化評估,國內保險公司缺乏相關風險損失測算量化標準和對應的保險精算模型,在設計網絡安全保險產品時存在定價難、承保難的問題。產品設計能力的不足制約了國內網絡安全保險產品的供給,產品數量難以滿足國內市場需求。
(4)客戶認知有待提升。網絡安全保險作為新興險種,國內宣傳推廣力度不足,市場上產品數量有限,多數企業對其缺乏了解,部分企業片面地認為“購買保險即可消除風險”,極少有企業認識到網絡安全保險可提供風險管理服務、監控風險敞口的重要作用。認知不足導致多數企業仍持觀望態度,國內網絡安全保險市場需求未充分釋放。
4 國內產業發展建議
國內網絡安全保險產業在借鑒歐美發展經驗的同時,應結合自身產業環境、發展階段、實踐經驗,積極探索創新,打造本土化的網絡安全保險產品,促進網絡安全保險產業健康發展。
4.1 加強政策支持,推動試點工作落地
一方面,各地主管部門應積極發揮引導作用,制定網絡安全保險相關優惠政策,例如參考重大裝備首臺(套)保險補償政策,為中小型企業提供網絡安全保險購置減稅政策、保險購買補貼政策等,拉動市場需求;針對開展網絡安全保險的保險公司推出獎勵或補貼政策等,擴大市場供給。另一方面,地方政府應充分利用國家級網絡安全保險試點的推動作用,針對工業互聯網的漏洞攻擊、基礎電信企業的數據泄露等行業痛點問題,選擇安全風險較高或保險意識較強的企業開展試點,結合配套優惠政策,在實踐中探索網絡安全保險業務模式。行業主管部門應組織各方專家研討,針對試點建立多元化評價機制,科學評價試點成效,總結試點經驗,推動形成網絡安全保險最佳實踐,并加強示范推廣。
4.2 健全標準體系,指導市場規范發展
鼓勵相關機構及行業協會在現有網絡安全相關標準的基礎上,組織制定網絡安全保險標準及規范,建立健全網絡安全保險相關標準體系。在國家標準方面,相關機構應匯集產學研各方力量,協同開展網絡安全保險相關標準研究,明確網絡安全保險專業術語的含義,制定本土化保險條款,統一業務流程,規范服務要求,明確在網絡安全保險產品設計、核保評估、風險管理、出險理賠等階段中各利益相關方的職責定位,以指導網絡安全保險健康有序發展。在行業標準方面,行業協會應針對行業差異化的風險管理需求,組織開展風險場景研究,推動網絡安全保險在行業內開展試點,并結合試點經驗,在實踐中逐步完善網絡安全保險行業標準。
4.3 強化產業合作,完善產品供給能力
保險公司應積極探索網絡安全保險業務,加強不同行業間的溝通合作,豐富產品種類,提升供給能力。在產品研發方面,保險公司應與電信、金融、醫療、交通等關乎國計民生的重點行業合作,圍繞新技術、新業態、新模式引發的業務風險,深入調研網絡安全風險管理需求,積極探索產品創新,開發多元化、本土化、差異化網絡安全保險產品。在技術能力方面,保險公司應加強與網絡安全公司、保險科技企業及風險數據建模公司等專業技術機構合作,探索建立數據共享機制,融合保險承保、理賠數據與網絡安全風險數據,為開發風險量化模型和損失測算模型提供基礎數據支撐,助力解決定價難、核保難等問題。
4.4 加大宣傳力度,推動市場需求增長
市場各方應共同加強網絡安全保險的宣傳力度,形成全方位、多層次、多渠道聯合推廣態勢,不斷提高企業的網絡安全意識及對網絡安全保險的認知水平,著力激發企業投保意愿,推動市場需求持續增長。一方面,充分利用國家安全教育日、全國保險公眾宣傳日、網絡安全宣傳周等全國性宣傳機會,開展網絡安全保險相關宣傳教育活動,介紹網絡安全保險的承保范圍、作用意義、應用案例等;另一方面,積極組織網絡安全保險的優秀案例征集、最佳實踐評選、產融合作比賽等活動,推廣網絡安全保險產品;借助網絡安全行業及保險行業的論壇峰會、學術會議等平臺,推進網絡安全保險交流研討。
5 結束語
數字經濟的迅猛發展,推動網絡安全產業全面發展。作為產業生態鏈中不可或缺的一環,網絡安全保險的意義愈發凸顯。西方發達國家網絡安全保險市場已進入快速發展階段,展現出巨大的市場空間。國內網絡安全保險市場雖然尚處于市場探索期,但已引發政府部門、研究機構、保險公司、網絡安全企業等相關機構的高度關注,發展前景值得期待。
參考文獻
[1] 安聯集團. 2022全球風險晴雨表[R], 2020.
[2] 國家計算機網絡應急技術處理協調中心. 2021年上半年我國互聯網網絡安全監測數據分析報告[R], 2021.
[3] ABI. Cyber risk insurance[EB/OL]. [2022-02-09]. https://www.abi.org.uk/products-and-issues/choosing-the-right-insurance/business-insurance/cyber-risk-insurance/.
[4] NPPD. Cybersecurity insurance workshop readout report[R], 2012.
[5] Research and Markets. 網絡安全保險——全球市場展望(2017—2026)[R], 2019.
[6] 大數據產業生態聯盟. 美國網絡安全保險業發展帶來的啟示[EB/OL]. (2020-11-18)[2022-02-17]. https://www.bdinchina.com/Article/info/id/1251/column_id/216.html.
[7] 歐洲聯盟. 通用數據保護條例[Z], 2018.
[8] ENISA. Cyber insurance: recent advances, good practices and challenges[R], 2016.
[9] 怡安集團. 2020年美國網絡安全保險的利潤及表現[R], 2021.
[10] 全國人民代表大會常務委員會. 中華人民共和國保險法[Z], 2009.
[11] Aon Corporation. US cyber market update-2020 US cyber insurance profits and performance[R], 2021.
[12] 工業和信息化部. 關于促進網絡安全產業發展的指導意見(征求意見稿)[Z], 2019.
[13] 工業和信息化部. 網絡安全產業高質量發展三年行動計劃(2021—2023年)(征求意見稿)[Z], 2021.
Research on industry development of cyber security insurance at home and abroad
ZHENG Wei, JIANG Ding, GUO Fei, SUN Lijie
(Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China)
Abstract: In recent years, cyber security insurance has developed rapidly and become an important tool to transfer and prevent network security risks. Foreign cyber security insurance market has experienced more than 20 years of development practice, has formed a relatively mature upstream and downstream ecology. By studying the industry environment and development trend of cyber security insurance in foreign countries, combined with the development status and business model of domestic cyber security insurance industry, this paper analyzes the problems faced by the development of domestic industry and puts forword development suggestions.
Keywords: cyber security insurance; industry environment; network security
本文刊于《信息通信技術與政策》2022年 第8期
來源:信息通信技術與政策