中国信息通信研究院安全研究所高级工程师,主要从事网络安全、数据安全、移动应用安全、人工智能安全等方面的研究工作。
姜鼎
通信作者。中国信息通信研究院安全研究所工程师,主要从事网络安全、数据安全、移动应用安全、网络安全保险等方面的研究工作。
郭飞
中国信息通信研究院安全研究所工程师,主要从事网络安全、数据安全、移动应用安全、人工智能安全等方面的研究工作。
孙丽洁
中国信息通信研究院安全研究所工程师,主要从事网络安全、数据安全、网络安全保险、人工智能安全等方面的研究工作。
论文引用格式:
郑威, 姜鼎, 郭飞, 等. 网络安全保险国内外产业发展研究[J]. 信息通信技术与政策, 2022,48(8):43-51.
网络安全保险国内外产业发展研究
郑威 姜鼎 郭飞 孙丽洁
(中国信息通信研究院安全研究所,北京 100191)
摘要:随着网络安全风险日益加剧,网络安全保险得到了快速发展,成为转移、防范网络安全风险的重要工具。国外的网络安全保险市场经历了二十余年的发展实践,已形成了较为成熟的上下游生态。通过研究国外网络安全保险的产业环境及发展趋势,结合国内网络安全保险产业发展现状及业务模式,分析国内产业发展面临的问题,并提出发展建议。
关键词:网络安全保险;产业环境;网络安全
中图分类号:TP393.08;F842.6 文献标志码:A
引用格式:郑威, 姜鼎, 郭飞, 等. 网络安全保险国内外产业发展研究[J]. 信息通信技术与政策, 2022,48(8):43-51.
DOI:10.12267/j.issn.2096-5931.2022.08.007
0 引言
近年来,随着数字经济的蓬勃发展,全球网络安全威胁持续加剧。各国政府纷纷加强网络监管,企业的安全投入不断增加,网络安全保险作为承保网络安全风险的新险种,日益成为转移、防范网络安全风险的重要工具。国外网络安全保险产业发展迅速,已形成较为成熟的上下游生态。加强对国外网络安全保险产业发展研究,推动我国网络安全保险产业健康发展,对建设网络强国、助力经济发展具有重大而深远的意义。
1 网络安全保险综述
1.1 网络安全保险的背景
随着新一轮科技革命和产业变革席卷全球,大数据、人工智能、移动互联网等新技术得以广泛应用,在促进实体经济高速发展的同时,也带来了诸多新的网络安全威胁和挑战。
(1)国际方面。根据安联集团(Allianz)发布的《2022全球风险晴雨表》[1],2022年十大商业风险中,网络事件(包括网络犯罪、IT故障/停机、数据泄露、罚款和处罚等)占据首位。2021年2月,美国佛罗里达州水处理厂电脑系统被黑客入侵,导致当地居民生活用水中断;2021年4月,Facebook的5 亿用户数据在暗网被公开售卖,企业声誉受损;2022年1月,新加坡加密货币交易平台被攻击,黑客利用智能合约漏洞窃取价值3.2 亿美元的加密货币。频发的网络安全事件给企业造成巨大经济损失和声誉影响。
(2)国内方面。根据国家互联网应急中心发布的《2021年上半年我国互联网网络安全监测数据分析报告》[2],2021年上半年,我国受攻击IP有3 048 万个,占我国IP地址总数的7.8%;“零日”漏洞7 107 个,同比大幅增长55.1%。2020年3月,微博5.38 亿用户数据泄露,企业声誉受损;2021年3月,中国台湾电脑公司Acer遭勒索软件攻击,赎金高达3.25 亿美元。2021年6月,淘宝近12 亿条用户数据被盗取,引发社会广泛关注。
为减少或避免网络安全事件带来的损失,企业需不断完善自身的网络风险管理体系,提升应对网络安全风险的能力。在风险控制模型中,应对风险共有四种手段:消除、降低、转移和接受。由于网络安全风险难以消除,企业通常通过部署网络安全产品和服务来抵御攻击,降低风险发生的可能性,并最终接受残余风险。网络安全保险作为转移网络安全风险的重要手段之一,尚未得到充分应用。
1.2 网络安全保险的内涵
目前,国内外尚未形成对网络安全保险的统一定义。英国保险协会(Association of British Insurers,ABI)将网络安全保险定义为“用于弥补与IT系统和网络的损坏或信息丢失相关损失的一种保险产品”[3];美国国土安全部(United States Department of Homeland Security,DHS)将网络安全保险定义为“旨在降低企业遭受数据泄露、业务中断和网络损坏等事故损失的一种保险产品”[4];欧洲网络与信息安全局(European Network and Information Security Agency,ENISA)将网络安全保险定义为“承保与网络空间风险(包括赔偿责任、财产损失和盗窃、数据损坏、网络中断收入损失和计算机故障或网站污染)等相关的风险损失为目的的保险合同”[5]。根据《中华人民共和国保险法》,保险是指“投保人根据合同约定,向保险人支付保险费,保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任,或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限等条件时承担给付保险金责任的商业保险行为”[6]。
综合国内外相关定义,网络安全保险的核心内涵是以被保险人的网络及系统安全性(包括完整性、机密性、有效性等)及预期损失为保险标的,当出现被保险人遭受网络安全事故而导致企业生产中断、网站系统被破坏、商业机密被窃取、第三方隐私信息被盗用等情况时,保险人依据合同对被保险人承担给付保险金责任的商业保险行为。业内涉及网络安全的诸多保险术语,如网络保险(Cyber Insurance)、网络风险保险(Cyber Risk Insurance)、网络空间保险(Cyberspace Insurance)、网络责任保险(Cyber Liability Insurance)、信息安全保险(Information Security Insurance)、网络安全保险(Network Security Insurance)、电子风险保险(E-risk Insurance)等,均属于本文中网络安全保险(Cyber Security Insurance)的范畴。
1.3 网络安全保险的分类
根据承保范围不同,可将网络安全保险分为第一方损失险和第三方责任险两类(见表1)。
表1 网络安全保险主要类型
第一方损失险承保的是网络安全事故导致投保企业产生的直接损失。主要对营业中断进行保障,包括直接利润损失、内部错误和技术故障所产生的费用,黑客攻击导致的资金损失,网络勒索的支付费用以及其他相关费用。
第三方责任险承保的是网络安全事故导致第三方遭受损失时,须由投保企业承担的法律责任。主要是针对第三方向投保企业的网络安全责任提出的索赔,包括用以覆盖最终用户(消费者、使用者等)索赔的消费者赔偿费用,违反相关法律法规所导致的费用,以及由于监管要求产生的调查、取证费用。
2 国外产业环境及发展趋势
国外的网络安全保险市场经历了二十余年的发展实践,已进入快速发展期,并形成了较为成熟的上下游生态。
2.1 市场发展历程
(1)萌芽期。20世纪90年代,伴随着IT技术和互联网的快速发展,美国、欧洲等国家和地区出现针对网络安全风险相关的保单,以第一方损失险为主。国际计算机安全协会、英国劳埃德(Lloyd)保险公司相继推出黑客保险。苏黎世北美保险公司(Zurich North America)在美国推出“E-Risk保险”,专门针对因感染病毒、非法入侵、网上攻击等导致企业业务瘫痪、经济损失巨大的情形。
(2)探索期。进入21世纪,随着网络安全风险的种类、发生频率及所造成损失不断增加,以及相关法律法规的逐步完善,国外网络安全保险的需求迅速增长。保险公司不断探索优化网络安全保险产品,扩大产品承保范围,承保第三方责任的网络安全保险保单开始出现。2003年,美国国际集团(AIG)保险公司推出承保范围涵盖因网络安全或数据被侵入而造成第三者损失的黑客保险。随着Amazon、Yahoo和eBay等著名网站相继遭受黑客侵袭,黑客保险需求迅速扩张,截至2003年年底,美国国际集团保险公司销售额增加了4~5倍。
(3)发展期。自2010年起,国外网络安全保险市场进入快速发展期,网络安全保险逐渐成为保险公司的一款基础产品。据Research and Markets预测[5],到2026年,全球网络安全保险市场规模将达到350.7 亿美元,平均年复合增长率达到26.6%。高速发展的同时,国外网络安全保险市场仍面临着多重挑战,如网络安全风险定义不清晰、网络事故损失历史数据有限以及对网络安全保险承保范围认知不足等。
2.2 法律政策环境
得益于成熟的法律、监管体系及良好的政策环境,过去二十余年,国外网络安全保险市场得到了快速发展。
美国网络安全保险市场发展最为迅速,占全球市场份额的90%以上。在法律要求方面,美国将非法披露个人信息纳入保险承保范围,推动企业通过购买保险来保障因数据泄露和营业中断带来的经营损失;在监管体系方面,美国证券交易委员会(United States Securities and Exchange Commission,SEC)要求上市公司必须上报网络安全事故、数据泄露事件,否则将面临调查传讯及股东和客户的集体诉讼,网络安全保险产品需求激增;在政策环境方面,从2016年起,美国对购买数据泄露保险采用美国国家标准与技术研究所(National Institute of Standards and Technology,NIST)网络安全框架或财政部批准的安全标准的企业,提供15%的税收减免。健全的法律监管和积极的财政政策促进了美国网络安全保险市场的快速发展,据美国保险监督官协会(National Association of Insurance Commissioners,NAIC)的统计数据显示[6],目前提供网络安全保险产品的美国保险公司已超过500 家,较2016年增加35%。
欧盟的网络安全保险市场与美国的发展较为同步。欧盟采用网络隐私立法模式,从法律上确定网络隐私权保护的各项基本原则和具体制度,并在此基础上建立各项司法和行政救济保护措施。相关法律法规对隐私泄露等引发的第三方责任有着较为明确的罚则指导,可为网络安全保险的保费定价提供参考。如欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)高度重视个人数据保护,对企业违规建立了严格的处罚机制。根据规定[7],企业出现一般违法行为将面临全年营收额2%或1 000 万欧元的罚款,高者为限;出现严重违法行为将面临全年营收额4%或2 000 万欧元的罚款,高者为限。2018年5月该法案生效后,欧洲地区的网络安全保险市场迅速壮大。
2.3 产业生态现状
由于网络安全保险本身的专业性要求和跨行业属性,产业发展面临较大的技术和行业壁垒。在政府汇集多方资源的联合推动下,国外网络安全保险生态得以快速发展。以美国为例,政府在提供相对健全的网络安全和数据安全方面的法律要求、监管体系和政策环境外,还推动各方联合建立网络安全风险基础数据库,发布风险损失测算量化标准,完善网络安全保险精算模型,助力保险公司提升承保技术能力。从2012年起,美国的政府机构开始联合保险业建立网络安全风险基础数据库,如推动数据公司Advisen、风险建模公司RMS等建立了网络安全风险管理相关数据库,帮助保险公司识别企业网络安全风险并提供网络安全损失测试服务。2016年1月,美国巨灾建模公司AIR Worldwide和数据分析公司Verisk联合发布网络安全损失数据收集标准,进行网络安全风险建模数据收集。2016年5月,国际再保险巨头佳达保险(Guy Carpenter)联合网络安全领域巨头赛门铁克(Symantec)创建了网络安全加总模型(Cyber Aggregation Model)。
经过多年发展,国外网络安全保险产业已形成公共基础服务体系完善、利益相关方众多、业务全生命周期覆盖的较为成熟的上下游生态。保险公司和再保险公司是生态的核心,作为网络安全保险业务经营的主体,实现产品规划设计、销售和交付,如美国国际集团(AIG)、旅行者集团(Travelers),欧洲的苏黎世再保险和慕尼黑再保险等。投保前,网络安全公司、保险科技公司或风险数据建模公司支撑对投保企业进行网络安全风险评估,提供网络安全风险数据,联合保险公司设计风险量化和损失测算模型,如美国网络安全公司Symantec、数据公司Advisen、巨灾建模公司AIR Worldwide等。承保期,部分保险公司会与第三方网络安全技术服务商合作,持续监测投保企业的网络安全风险动态变化,并在必要时提供预警和处置措施。理赔时,保险公司依据保单的承保责任向投保企业提供第一方损失、第三方责任相关的经济赔付和外部专家支持,协调网络安全公司、数据恢复公司提供应急响应和救援支持,对网络安全事故开展技术鉴定、调查取证、技术评估、系统和数据恢复等工作。
2.4 产业发展趋势
数据显示[8],国外网络安全保险市场呈现保费增长、行业损失率上升、市场份额集中的趋势。以美国为例,怡安集团在其2021年6月发布的《2020年美国网络安全保险的利润及表现》指出[9],2020年美国网络安全保险直接签单保费达27.4 亿美元,较2019年增长21%;由于勒索软件索赔导致事件响应成本和勒索金额增加,平均索赔额增幅超过50%,网络安全保险的行业损失率上涨了22%;美国网络安全保险市场虽略有扩大,但市场份额主要集中于大型保险集团公司,提供的风险分散作用相对有限,存在一定的承保风险。在此背景下,国外网络安全保险产业进一步发展完善,呈现出以下趋势。
(1)保险公司持续优化网络安全保险产品。保险公司在市场变化中持续探索保费与企业安全投入的平衡点,以免保费过高降低了企业的购买欲望,或保费过低使企业过多转移了本应承担的安全风险,从而导致企业忽视自身安全建设。对产品的优化措施包括:减少低价网络安全保险产品,避免企业以较低价格购买高赔付限额的网络安全保险产品,例如2020年美国独立保单保费平均上升了28.6%;提高投保的安全基线要求,保险公司要求企业在投保评估之前,进行切实有效的网络安全加固;调整保单的承保范围,部分保险公司减少了保单中的承保范围,例如法国的安盛保险去除了所有涉及勒索的相关条款。这些措施有效减少了通过降低保费和安全基线来吸引客户的不成熟市场竞争行为,有助于推动行业良性健康发展。
(2)“保险+安全服务”的业务模式已逐步成为行业共识。保险公司提供包括主动防御在内的网络安全解决方案,把实施风险控制作为企业投保基线的一部分,用确定的风险防御投入降低预期损失,进而获得承保收益。一方面,保险公司为投保企业提供安全培训、威胁情报订阅等服务,可有效降低网络安全保险的出险率,并形成市场差异化竞争,提高自身竞争优势;另一方面,保险公司联合网络安全公司为投保企业提供主动风险控制,以实现将一部分风险较高的“不可保业务”转化为风险可控的“可保业务”,达到扩大业务规模的目的。
(3)跨行业数据共享分析机制逐步建立。与成熟的保险产品相比,网络安全保险在保前风险评估、险后理赔鉴定环节可参考的数据均相对较少,保险公司通过与网络安全公司、第三方保险科技公司建立数据共享与分析机制,基于网络安全风险基础数据,准确、动态地发现特定行业或者特定时间的威胁,有效缓释网络空间“黑天鹅”事件带来的未知风险。
3 国内产业环境及发展现状
在数字经济蓬勃发展及网络风险持续加剧双驱动下,我国对网络安全的重视程度不断提升,相继出台了一系列法律法规及标准规范。在此背景下,我国网络安全保险市场需求逐渐增加,一些保险公司对网络安全保险的业务模式展开了积极探索。
3.1 市场发展现状
国内网络安全保险起步于21世纪10年代,目前仍处于市场探索期。自2013年起,苏黎世财产保险(中国)有限公司、安联财产保险(中国)有限公司等外资险企率先在中国市场上推出了网络安全保险产品。此后,随着市场需求的逐步增加,中国人民财产保险股份有限公司、中国人寿财产保险股份有限公司、中国平安财产保险股份有限公司、中国太平洋财产保险股份有限公司等国内大型保险公司相继开发并推出网络安全保险产品(见表2)。
表2 国内市场网络安全保险相关产品
从供给侧看,国内市场上的网络安全保险机构及产品逐渐增多。目前,已有20 余家保险公司在中国银行保险监督管理委员会备案了50 余款网络安全保险产品,险种涉及黑客保险、网络风险保险、电子商务保险、网络安全责任保险、网络安全应急响应保险、网络安全综合保险、计算机保险等[10]。面向的客户分布于政府部门、企事业单位、国家重点保护单位、互联网企业、医疗、金融、教育机构、网上交易平台、网络游戏公司等众多行业。网络安全保险在我国属于新兴险种,保险公司在产品定价、风险评估、定损理赔等环节尚未形成完备的机制体系。
从需求侧看,网络安全保险在国内的市场接受度不断提升。随着国内网络和数据安全相关法律法规、政策环境的不断完善,及数字经济发展战略的深入实施,国内企业在安全体系建设方面的投入逐渐增多,并逐步认识到网络安全保险有助于企业实现风险转移,建立全面的网络安全风险应对方案。近两年,除了外资及合资企业外,国内一些具备海外业务的中资企业、易受网络攻击的重点行业企业及具有较高风险管理意识的企业逐渐开始尝试购买网络安全保险产品。
3.2 法律政策环境
法律法规方面,网络安全相关法律法规不断建设完善,但网络安全保险专属的法规制度尚为空白。2017年6月,《中华人民共和国网络安全法》正式实施,为网络安全法律体系建设提供上位法基础。2021年,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规发布实施,国家层面的网络安全相关法律法规框架不断完善。此外,海南、贵州、天津、浙江和上海等全国18个省市相继出台了地方性的数据安全法规;以金融、电信、电力等为代表的网络安全成熟度较高的行业基于国家法律法规建立了行业的网络和数据安全规章制度。
政策环境方面,鼓励探索网络安全保险服务模式创新。2019年9月,工业和信息化部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》[12],将“探索开展网络安全保险服务”作为“积极创新网络安全服务模式”的内容之一。2021年7月,工业和信息化部发布《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》[13],在“产融合作深化行动”中提出“面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力”。上海、宁波、武汉等地已纷纷出台激励政策,部分城市已着手开展试点工作。
3.3 主要业务模式
随着我国网络安全保险市场需求的逐步增加,国内保险公司开始了网络安全保险的市场探索。总体来看,目前国内网络安全保险市场上主要存在“IT产品+保险”和“保险+安全服务”两类业务模式。
“IT产品+保险”模式指云服务厂商、安全服务厂商等IT服务商为其生产销售的产品购买网络安全保险,以借助保险的风险转移功能,完善所售产品的安全保障体系(见图1)。此模式有助于IT服务商提高产品的市场竞争力,减少因产品存在潜在网络安全风险为企业自身及其客户带来的损失。在此模式下,保险公司无需直接面向用户开展网络安全保险产品的营销,网络安全保险产品依附于IT服务商的产品并为其增信。
图1 “IT产品+保险”模式
“保险+安全服务”模式指保险公司与安全公司合作,共同向投保企业提供网络安全保险产品及服务(见图2)。保险公司为企业提供标准化或定制化的网络安全保险产品,产品中包含可订阅的安全服务,如应急响应、溯源取证等,安全公司则向保险公司提供专业的技术支撑,赋能保险产品。此模式与国外网络安全保险市场成熟期的业务模式较为相似,但国内市场在产品和服务的种类、覆盖范围、服务机制等方面仍有待提升。尤其在安全服务方面,安全公司应协助保险公司为投保企业提供保前安全风险评估,以确定保单的保费及保额,并进一步提供安全加固、监测预警等服务,以降低出险率,平衡保险保费与企业安全投入。
图2 “保险+安全服务”模式
在“保险+安全服务”模式下,投保企业发生安全事件后,保险公司第一时间联系安全公司,安全公司通过远程或现场方式了解事故情况,判定安全事件是否在承保范围内;如是,则提供应急响应服务,并协助保险公司进行理赔定损、溯源取证等工作(见图3)。
图3 理赔处理流程
网络攻击泛在化、复杂化、常态化形势下,网络安全保险行业发展迎来风口,可以预见未来会有更多的保险机构进入到这一新兴市场。然而,产品定价难、专业人才稀缺、服务标准化难等“绊脚石”问题犹存,网络安全保险路在何方?也有专家认为网络安全保险作为一项正在兴起的行业,许多现有客户可能就是小白鼠。网络安全保险行业的基本问题说起来容易,解决起来很难。收入(保费)必须超过支出(索赔)约30%(运营成本+利润)。如果索赔额增加,那么保险费也必须保持保险模式的可行性。以保促防、防保结合的探索才刚刚开始。
以下编译自SecurityWeek的专栏作者Kevin Townsend的文章《The Wild West of the Nascent Cyber Insurance Industry》。
网络犯罪的成本正在急剧上升,而且多年来一直如此。不断增加的保费来对抗不断增加的索赔最终是不可持续的。迟早,保险的成本会让它变得过于昂贵,无法成为一种有效的企业风险管理模式式。因此,如果保险行业想要成功,就必须找到另一种平衡其收支的方法。
有一个潜在的解决方案。降低成本(索赔)比增加销售(保费)提高盈亏比率要快得多。这是保险业目前正在考虑的领域。首先,可以通过增加保单中的排除条款来降低成本,但这降低了保险作为风险管理工具的价值,而且它的使用是有限的。其次,如果客户的安全状况能够得到充分改进以减少索赔,那么保险成本也可以降低(或至少维持在当前水平)。
根据穆迪公司(Moody “s)的研究(2021年10月19日),“勒索软件攻击的扩散增加了网络保单的损失,2021年保险公司的损失可能会增加。尽管保险公司一直在逐步提高网络保险的定价,但为了应对勒索软件的趋势,费率的上涨在2021年开始加速,保险覆盖范围的评级增幅达到了两位数。保险公司也降低了保单限额,增加了免赔额,并收紧了条款和条件,包括次级限额或共同保险,以降低受到勒索软件的风险。”
对于行业和保险公司来说,勒索软件是当前的最大威胁。但这并不是唯一的威胁。BEC(商业电子邮件欺骗)也会造成巨大且不可预测的损失——许多研究人员认为,随着深度造假技术的改进,BEC将在2022年扩大规模。
在大多数保险市场,保险公司拥有数百年的海上、汽车、家庭和人寿保险损失及其原因的数据。这些数据作为精算表的基础,提供了准确的证据,可根据这些证据为个别案件确定保费。但网络行业却没有这样的精算表;而且它们不太可能被收集到。
“我不认为保险行业可以创建网络安全精算表,”Cowbell保险主管克里斯·里斯(Chris Reese)评论道。“风险是不可预测的。威胁行为者很聪明,他们一直在寻找利用受害者的新方法。是的,我们正在进步,我们有了更多的数据——但三年前的损失经验与今天无关。保险业会像汽车业一样得到精算表吗?我认为这不会发生。”
没有历史数据可以帮助,网络保险行业无法主动设定准确的保费。它被迫做出反应——正通过设置更高的保费和保险条件来应对索赔的增加。简而言之,购买保险越来越昂贵,续保越来越困难,有时甚至是不可能的。
但是,尽管网络保险的成本不断上升,覆盖范围不断缩小,市场却在迅速扩张。2021年5月,美国政府问责局(US Government Accountability Office)发布了全球保险经纪公司达信(Marsh)的数据,显示从所有行业来看,客户购买网络保险的比例从2016年的26%上升到2020年的47%。
主要原因是网络犯罪的持续增长和成功。据估计,网络犯罪已经给全球经济造成了数万亿美元的损失,预计未来几年还将继续增长。对于保险行业来说,要在更大的市场覆盖不断增加的索赔,它需要做的不仅仅是不断提高保费——唯一可行的解决方案是通过改善客户的网络安全来减少索赔。关键问题已不在是是否会这样做,而在于将如何这样做。
支付卡行业有一个安全标准(PCIDSS),所有公司都必须遵守这个标准,才能接受银行卡支付。提高被保险人安全性的一个途径可能是开发类似的安全标准并要求符合。
这在英国的汽车保险业是有先例的。司机投保前,车辆必须先通过交通运输部(MoT)的设计测试,并取得MoT证书。保险是法律所要求的,所以考试也是法律所要求的,而且保险行业受益。
在美国没有直接的类似规定,但一般来说,汽车保险必须包括第三方责任。
目前没有法律要求企业提供网络保险,但这在未来可能会发生,这并非不可想象。途径可能是政府希望通过某种形式的由保险支持的第三方责任保护来保护他们的选民(消费者)。
法律要求的保险将受益于一份价值证书,如英国的机动车检验证书。这种证书将有效地让客户要求保险公司通过经过验证的高安全性降低保费,而保险公司则提供更低的保费。
Qualys的总裁兼首席执行官Sumedh Thakar认为,这样的事情可能会自然发展,但他强调,现在还为时过早,不知道它将如何发生,也不知道它可能涉及什么。他告诉《安全周刊》:“对这条路线的兴趣似乎主要来自客户。”“如果我这样做,那样做,我的保费不应该减少吗?”在行业层面上还没有做很多工作,但我认为基本原则是有效的。如果你能证明你在保护房屋,你就能获得更便宜的房屋保险。”
PCI类型标准的一个潜在弱点是,它只要求在审计日符合要求——相关公司可能会在一年中的其他时间不符合要求,因此违反的风险会增加。
里斯并不认为这是一个严重的问题。她告诉《安全周刊》:“一年中不止一天需要PCI。”“符合的要求是365天。如果存在网络安全漏洞,并且这是由于或潜在地由于零售商缺乏安全而造成的,那么品牌(对于PCI,支付卡行业)可以扣留现金。”她的论点是,如果证明由于不符合保险标准而发生的违约足以确保公司持续遵守,则威胁拒绝索赔。
问题仍然是,保险安全标准是否足以减少被保险人的索赔,以允许保险业将保费保持在当前或更低的水平?趋势科技(Trend Micro)市场战略和企业发展主管埃里克•斯金纳(Eric Skinner)表示:“PCI无疑提高了许多公司的网络安全门槛。”但这并没有神奇地解决问题。你可以通过PCI审计,但还是会被入侵。支付卡行业面临的问题是,这样做是否足够降低违规的可能性?”
只有时间才能告诉我们,保险行业是否能够开发、维护并要求符合可靠的安全标准。
保险行业的另一种方法是对个人客户要求不同的控制。这将比单一的全面标准更加灵活,因为它可能在不同的垂直行业之间根据对风险的感知而有所不同。也可以根据保险合同的规定,在续签时或每年进行修订。
这里可能存在的一个担忧是,保险可能会干扰客户的安全状况。“这是一个合理的担忧,”斯金纳说,“因为其中一些已经发生了——网络保险影响网络安全的过程已经在某种程度上开始了。”
他指的是无处不在的问卷调查,在这种情况下要求客户陈述其安全状况。“就像年度合规审计一样,”斯金纳继续说,“这些调查问卷是及时的快照——它们提出的问题可能会降低风险,也可能不会,因为保险行业仍在学习安全知识。”
“例如,‘你们部署了EDR吗?’我们从一些保险经纪人那里听说,如果客户对此说‘不’,他们被拒绝或不能续保的风险非常高。”问题是安全性不是通过部署控件来增强的,而是通过正确地实现它们、充分地使用它们并确保它们是最新的。这些都不能通过问卷调查来衡量。“我不确定这些问题目前是否能带来保险公司所期望的好处。”
从逻辑上讲,询问安全姿态的延伸就是开始坚持落实某些控制措施。这将是一大步。为了有效,它将要求保险公司拥有CISO的能见度,董事会的业务理解,以及每一家保险公司的CFO的钱袋。这对保险公司来说太贵了,对客户来说也太麻烦了。
保险行业根据第三方安全扫描公司的建议来支付保费,这些公司包括Qualys、BlueVoyant、immuneweb、Outpost24、SecurityScorecard等。这可以提供一种持续的姿势监测;审计安全保险标准和基于问卷的方法都缺少一些东西。它还承诺减少干扰,因此更容易被客户接受。保险公司可以简单地说,我们的扫描显示你在这些方面很弱:加强这些方面,你就有资格享受较低的保费。
缺点是大多数扫描只能看到客户基础设施的外部视图。这仍然是有效的,因为这是黑客看到的相同的视图,加强所有可见的弱点使黑客很难找到入口点。
外部监视的一个进步是对整个基础设施的内部连续监视。Cowbell公司目前提供这种服务,该公司使用人工智能引擎扫描网络内部的姿势弱点。它返回的信息可以用来加强网络安全,但也可以让保险公司对投保个人客户所需的保费做出更智能的评估。
从某种意义上说,Cowbell是一个保险经纪人的助手。它为经纪人提供必要的信息,以便他们从潜在的保险公司中协商出可能的最佳保费。
网络保险仍在发展中,这意味着许多现有客户实际上是小白鼠。目前不断增加保费和免除责任以抵消不断增加索赔的模式是不可持续的。但保险公司知道这一点,正在积极寻求现实的解决方案。
他们最终会成功的。参与这一过程的各方都希望得到同样的结果:在降低网络犯罪损失的同时提高安全性。
Resilience首席执行官Vishaal Hariprasad认为,解决方案将伴随着被保险人、网络安全和保险公司之间的新关系而来。他于2016年进入保险业,此前在帕洛阿尔托网络公司(Palo Alto Networks)担任威胁情报架构师。他过去和现在都是美国空军预备役的网络作战官,也是(IMA)运营总监。
“在2016年,”他告诉《安全周刊》(SecurityWeek),“你可以买一份100万美元的网络保险,他们会问你,你的IT人员在吗?你们买防火墙了吗?”他们从来没有问过防火墙是否打开了,因为当时的保险行业根本不在乎。”
这是必须改变的。“保险公司需要知道,你的防火墙是否打开了?它总是被修补吗?你是否一直在输入正确的数据?你在监视他们吗?”需要的是保险人和被保险人之间一种新的合作关系。
