網絡保險發展的最大阻礙,如何開展風險評估?
責編:gltian |2018-10-18 14:54:11隨著數字化的進程,企業越來越重視無形資產,而這些資產又極其脆弱,在幾分鐘之內就可能被損壞或摧毀。網絡保險成為了部分企業的選擇,以應對這一難以掌控的風險。網絡保險行業因此發展迅速,用了僅僅五年的時間,產業規模就超過170億美元。但總體來說,目前網絡保險的覆蓋率并不高,尤其在中小規模的企業,尚有很大的市場空間,前景可謂美好。
機遇與挑戰并存,伴隨網絡風險的日益復雜,保險公司需要及時、準確的了解潛在客戶當前的網絡安全狀況,并且能夠對其網絡保險費用做出可靠的預估。不幸的是,威脅的不斷變化及越來越多的網絡攻擊事件使保費的預估變得更加困難。打個比方,當前的風險建模狀態就像“試圖利用犯罪嫌疑人的數量來計算盜竊造成的經濟損失”。
風險評估環節亟待優化
當前,保險公司對投保企業所面臨風險的掌握主要依靠調研問卷及第三方外部評級。眾所周知,由保單申請企業填寫的問卷通常很主觀并可能有傾向性,而第三方外部的評級方法單一,測評結果也并不一定準確。這給保險公司的風險評估帶來了極大的困難。
另一方面,“聰明”的企業及他們的安全服務商可通過人為的干預影響第三方外部評級機構,獲取高于實際的評級:通過修改防火墻的規則,將所有的出站流量引致第三方蜜罐,并過濾來自這些第三方評級公司的入站掃描。這就導致了在承保過程中,保險公司無法了解保單申請企業的真實狀況。并且所獲取的評估結果也僅是在某一個時間段內的狀況反饋。在網絡威脅不斷變化的今天,如果保險公司的評估過程仍然采用這樣過時的方法,那么因承保政策所帶來的隱患,可能會帶來無法估量的損失。
在公共會計行業,當對公司進行財務審計(包括技術審查)時,沒有人只依賴于管理層對問題的回答,必須通過強有力的驗證確保獲取的數據準確、控制到位。保險公司也應借鑒于此,將內部驗證程序納入承保過程。
由于風險無時無刻都在變化,并且考慮到人為因素,保險公司應將局限于某時間段的評估轉向對潛在保單持有企業的持續評估。并且,為了平衡保費及風險,考慮到時效性及人力的投入,保險公司需要將更多的自動化引入到承保的過程中。在過去,完成一份大型的調查問卷(100-200個問題)是一個不小的工程,但問卷結果的客觀與準確,確是無法保障的。此外,保險公司使用的第三方外部評級就像開車看后視鏡一樣,所有顯示的數據都是歷史數據,反應的都是過去的情況。
引入安全評級服務
一種解決當前問題的方法即“安全評級服務”,Gartner將其定義為,“為組織實體提供持續的、獨立的、量化的安全分析和評級服務”。區別于傳統的第三方外部評級,不依賴于調研問卷的反饋,不受制于人為因素的干預,通過大數據的方法對企業的安全狀況進行綜合評估。
保險公司可獲取到潛在投保企業的安全評級(不需要入場評估及掃描,也不存在任何的系統入侵),除了評級外還可以詳細的了解到投保企業在某個時間區間內受到網絡攻擊的狀況及有哪些安全漏洞、高危端口,是否被植入了惡意代碼等詳細的情況。并且大量的企業評級數據可助于建立行業基線。在保單的承銷過程中,保險公司可依據評級調整保費及政策。同時,保單持有企業的執行管理團隊及董事會成員可以獲取企業自身的評級,掌握企業所面臨的網絡風險情況。如今,很多信用卡向其持卡人提供連續的免費信用評分報告,亦是相同的邏輯。
在企業風險模型并不完善的今天,面臨“聰明”的企業及安全服務供應商,“安全評級服務”給保險公司帶來了更好的風險評估方法,保費與風險更加平衡,使保險公司從不必要的網絡保險索賠中得以抽身。
“安全評級服務”從業企業概況
據統計,目前全球專業從事安全評級服務的企業近10家,最早成立的PREVALENT注冊時間為2004年。其中,除了UpGuard及安全值外,全部企業均在美國注冊。(UpGuard原為一家澳洲初創企業,后把總部搬到了舊金山;安全值為中國團隊,總部在北京)。
目前,國內“安全評級服務”的市場認知度并不高,但隨著網絡環境及企業關系的復雜化,“安全評級服務”將大有可為,除了網絡保險行業的應用外,在對企業供應商的風險管理,總部對分支機構的統一管理,政府對行業的監管等眾多場景均能帶來巨大的價值。