每经记者 涂颖浩 每经编辑 陈星
“由于保密与计算机安全风险的快速演变,普通责任险、财产险、雇员忠诚/犯罪等传统保险已经无法为此类风险提供充足的保险保障。”
近日,达信(中国)保险经纪CEO李铭在接受《每日经济新闻(博客,微博)》记者专访时表示,对于传统保险留下的缺口,一张完善的网络风险保单不仅可以承保应对网络破坏过程中发生的高额费用(包括第一方损失和第三方责任),还可以承保网络风险事件发生之后的诉讼和赔偿成本,包括:法律费用,和解、判决、监管调查和法律调查费用,营业收入损失,网络敲诈和其他相关商业费用。
据了解,目前中国市场的大部分企业并未投保网络安全保险,很多客户是在经历过相关风险之后才考虑购买保险产品。
李铭认为,在中国市场,网络安全保险的发展空间巨大。他还指出:“虽然此类产品在海外市场已经逐渐成熟,但海外市场的需求和国内企业的需求有所不同,必须进一步了解中国市场和企业真正的保险产品需求,才能设计更能贴合国内客户需求的产品。”
图片来源:受访者提供
网络安全事故频发,亟待保险覆盖风险
在过去的三十年间,计算机、网络的普及和高速发展使得社会以及各行各业都迅速信息化,随之而来的一系列网络安全风险和可能发生的事故已经屡见不鲜。如近几年比较出名的WannaCry网络勒索、马士基航运遭受的Petya病毒攻击、一些著名酒店和平台的数据泄露,以及相对常见的DDos网络攻击,甚至我们每个人都可能遇到的网络诈骗等。
如今,随着勒索软件的发展和演变,其种类越来越多,传播病毒、逃避检测、加密文件以及迫使用户支付赎金的能力也越来越强大。相关统计显示,勒索软件攻击者每天进行4000多次攻击;每3000封通过筛选的电子邮件中就有一封包含恶意软件;公司平均支付233217美元的赎金;每次勒索软件攻击之后有19天的停机。2021年,被勒索软件攻击后恢复的全球成本将超过200亿美元。
什么类型的企业面临的网络安全风险敞口更大?李铭在受访时告诉记者,不同行业的公司对网络风险管理可能处在不同的阶段。尽管,大家可能都会认为只有部分公司会面临网络安全相关的风险,比如金融机构、医院、酒店、学校等涉及储存大量个人信息的机构和公司,但持有较多有价值的商业信息或者专利的公司,大比例依赖网络运营的互联网公司等,这类公司也是目前风险敞口相对更大的企业。
“从风险防范的角度来讲,只要一个企业是使用计算机网络的,并且存有一些有价值的信息的,那这个企业就会面临网络安全的风险。”他称。
由于网络安全事故频发,给企业带来潜在损失大,寻求保险以覆盖相关风险成为必要选择。李铭介绍,针对网络风险,目前比较常见的保险产品是网络安全保险,该保险是在发生网络安全相关的事故时,由保险公司来对造成的损失按照保单的约定进行补偿。其保障范围主要分为第一方损失和第三方责任。
具体而言,第一方损失是投保网络安全保险的公司本身遭受的损失,比如发生营业中断时的营业收入损失;公司受到网络勒索时的勒索款;发生网络安全事故或者数据泄露事故时,调查鉴定和数据恢复的费用以及一些公关费用。而第三方的责任,是因为前面提及的网络安全事故和数据泄露事故时,第三方来求偿,或者受到监管的调查,最终公司应付的补偿,第三方损失的金额以及相关的法律费用等。
“通过投保网络安全保险,基本上一家公司所面临的网络安全风险,最核心的风险敞口就通过转嫁给保险的方式得到了覆盖。”李铭表示。
市场规模小,保险公司处于“试水”阶段
李铭介绍,对于网络安全相关风险和相关的保障,其他传统的财产与责任险其实也会或多或少有所涉及,比如信息技术类的专业服务责任险就会承保公司在提供信息、网络相关服务时,由于实际或者被指称的不当行为,而受到第三方(客户)求偿时的损失等。
但由于保密与计算机安全风险的快速演变,传统保险已经无法为此类风险提供充足的保险保障。他举例称,比如普通责任险保单通常不承保电子数据损失、被保险人或其员工的犯罪或故意行为,或索赔前发生的费用(例如通知费用和监管抗辩费用);财产险保单通常将承保范围限定为风险导致的有形财产损坏或用途损失以及特定地点的有形财产损坏,有些保险公司明确表示不承保数据损失。
在李铭看来,网络安全保险是一个相对较新的、应对网络安全风险更具针对性的险种。“一张完善的网络风险保单,不仅可以承保应对网络破坏过程中发生的高额费用,还可以承保网络风险事件发生之后的诉讼和赔偿成本,这包括法律费用,和解、判决、监管调查和法律调查费用,营业收入损失,网络敲诈和其他相关商业费用,能补足传统保险留下的缺口。”
不过,由于目前整体市场还在起步阶段,企业相关风险意识还有待提高。根据达信对全球近1000家企业(包括亚洲200家)的《达信风险弹性报告》的调查结果:虽然45%的企业将网络风险认定为最重要的风险之一,但是仅有18%的受访企业表示,他们已经为其做好了充足的准备。46%的受访者表示,他们的公司能够承受重大网络攻击带来的财务影响,然而只有不到三分之一的企业对网络风险进行预测和建模。
从供给端而言,李铭告诉记者,目前针对性保障网络安全相关风险的保险产品在国内还非常新,因此产品的选择也有限。“据我们观察,在中国能够提供比较全面的网络安全保险的机构在当下主要还是一些外资保险公司及个别中资保险公司。由于这一市场规模还相对较小,很多保险公司也还处于‘试水’阶段,或者需要完全依靠再保人的支持。”
“我们相信在未来会有越来越多的保险公司能够甚至乐于参与到网络安全保险产品的研发、设计和推广中。”李铭乐观预期,随着《关键信息基础设施安全保护条例》、《数据安全法》等一系列法律法规的颁布,中国网络安全相关保险产品发展空间巨大,也相信未来会有越来越多的企业在完善网络相关技术的同时,通过保险的方式转嫁风险,从而为企业的网络风险敞口提供更加完整、全面的管理和覆盖。
今年费率上涨超六成,正经历严峻过渡期
根据达信对网络保险市场的观察,2021年,网络保险市场正经历一个严峻的过渡期,费率上涨超过60%,承保能力下降,承保核查力度加大。这一变化在很大程度上是因为2020年以后勒索软件事件发生的频率和严重性都大幅增加。
“从全球看,网络安全保险的费率正在持续由于赔案的增长而增长。”在李铭看来,保险公司正在努力应对不断增加的攻击数量和成本、越来越多的广泛攻击,以及供应链中网络安全事件带来的影响。基于此,不断恶化的赔付率也在被纠正,例如限制承保能力和提出共同保险要求,以维持投资组合的盈利能力。
李铭举例称,我们处理过相对比较大型的制造业企业投保案例,他们有较大的需求,要符合全球市场对他们的保险限额要求。如今的网络安全保险市场相对属于卖方市场,保险公司作为卖方,会较为严谨地控制每一个投保案例的险额,在核保时对信息提供的要求比较高,定价条件也比较严苛。他解释称:“网络安全保险产品在中国市场可能还未如此普及,但在国外市场,因为网络安全风险的不断上升,理赔事件越来越多,保险公司正针对市场变化作出自己的业务调整。”
乐观来看,由于市场风险的增加,企业愿意为网络安全投入的成本也明显在增加。李铭认为,当前阶段,相对承保能力较为充足、对投保企业类型限制较少的保险机构会有一定优势。随着法律制度的完善和国家政策的激励,未来会有更多的企业希望选择这个保险,同时,有更多的保险公司愿意承保相关的风险,从而带来市场的整体规模增长和盈利。
李铭在受访时还指出:“虽然此类产品在海外市场已经逐渐成熟,但海外市场的需求和国内企业的需求有所不同,必须进一步了解中国市场和企业真正的保险产品需求,才能设计更能贴合国内客户需求的产品。”
比如,很多国内的保险公司和企业,一开始并不能接受所谓的第三方责任保障。企业在运营过程中泄露了客户数据从而导致第三方的损失,因为没有严格的相关界定,中国企业并不经常遇见类似索赔事件。而他们投保比较多的,可能是一些直接的软件勒索、营业中断而造成的损失。相对来说,中国客户更希望能有第一方损失的保障,而海外客户则会更倾向于第三方保障。在其看来,来源于海外的产品很难100%符合国内客户的需求。
(责任编辑:董云龙)