保观|专注互联网保险

搜索框内输入“网络安全险”，你会发现近期关于网络安全险的产品在增多。上周是国家网络安全宣传周，公安部第三研究所与平安产险合作，要打造一个网络安全保险服务平台。可以说，网络安全保险正变得越来越炙手可热。

国内市场与全球市场对比

从全球来看，网络安全险是一个未被开拓的蓝海市场，对于中国来说则更甚。以网络保险的最大市场美国为例，但2016年的美国传统保险公司对网络安全险的承保总额仅为13亿美元，这一数字有望在2022年达到140亿美元。

有研究表明，美国每年应对网络犯罪而付出的平均成本高达590万美金，因此，越来越多的被保险人通过购买保险来保障由于出现网络安全事故而遭受的财产损失。

有调查报告显示，年收入处于10-50万美元区间的中小企业，其每年保费支出处于800-1200美元区间；年收入超过百万美元的企业，其每年的保费支出会超过10万美元。

安联集团预计这些企业的保费支出会在未来不断上升，并在2025年达到最快增速。美国的保险行业组织——保险信息协会预计，未来网络犯罪风险将是企业面临的第三大风险。

造成市场需求提升的是严峻的网络安全形势，研究发现，网络犯罪令全球经济每年损失接近4450亿美元，其中约50%发生在全球十大经济体。网络风险已经成为企业的主要威胁之一，且势头强劲。

来自普华永道的一份调查报告显示，过去两年间，中国内地及中国香港企业检测到的信息安全事件平均数量高达2577起，与2014年相比上升了969%。而安联最新发布报告也显示，中国每年预计遭受600亿美元的网络损失，居亚洲第一，是位列第二的印度（40亿美元）的15倍。

损失背后是一个巨大的企业级市场，目前我国在国家工商总局注册的企业数已经超过1100万家，绝大多数企业均已接入互联网，但却缺少安全可靠的IT系统。多家网络安全厂商表示，随着企业网络安全意识的觉醒，网络安全保险将迎来巨大的市场机遇，促使企业级网络安全市场变成千亿级，甚至万亿级别的大蓝海。

开拓蓝海市场的难点在于？

这么大一块蛋糕，谁都想吃，但吃起来却没有那么容易。

网络安全险的评价和建模方式和传统的风险有着很大的不同，保险公司难以开展这块业务的最大难点来自于无法有效地对风险进行定价。针对国内来说，又存在以下痛点：

网络风险模型建立困难重重

网络风险建模难的最大根源在于数据。网络安全保险发展历史较短，没有一个提供大量数据的权威统计机构。虽然现在数据收集的速度变得更快了，但是目前数据太过杂乱，保险公司难以高效整合。而且与自然灾害不同，网络灾害由人为因素造成，黑客会不断改变其战术、技术以及攻击目标来击溃网络防线，也就是说其风险是动态的而不是稳定的，这就对保险公司提出了更高的要求。第二个难点在于，网络安全产业包含了繁多的参数、标准、基准和评分等技术性指标，这些种类繁多的指标也加大了保险公司建模的挑战。

实际上，网络安全保险产品定价难，并非难在病毒或黑客入侵事件发生风险概率的评估，而是难在事件发生后投保客户损失的确定。鉴于数据泄露的数量和损失难以精确计算，因此网络安全保险公司常常面临各种问题：“如何对这种风险进行定价？”“企业需要购买什么样的保险以及购买多少？”“企业能够从投保中得到的实际回报是什么？”

道德风险和欺诈风险较高

众所周知，骗保是保险面临的一大痛点，网络安全保险也不例外。业界的担忧在于，客户投保网络安全保险后，对待网络系统安全的态度可能会有所放松，病毒或黑客入侵的概率会提升。同时，不排除有客户会骗保，也就是购买保险后“自导自演”黑客攻击并向保险公司寻求索赔，而事实上，客户可能已经对数据信息进行了备份。

相关数据隐私和安全法律的缺位

在美国，法律法规的发展及严格的责任追究制度成为网络安全保险行业的坚强后盾，数据保护条例坚定了人们的想法和看法，并促进市场迅速壮大。但我国对于网络安全的相关法规模糊，缺乏明确的法律责任和约束，在一定程度上约束了网络安全保险的发展。不过今年6月1日起，《中华人民共和国网络安全法》正式施行，无疑是一种进步。

国内发展历史短，入场玩家少

在美国，包括AIG和丘博在内的大型保险公司自上个世纪90年代后期就已经开始提供网络安全保险服务了。到如今，已经有80余家保险公司提供此类服务。相对而言，我国能够提供支持的保险运营商少之又少。目前在网络安全保险方面只有苏黎世财产保险（中国）有限公司、安联财产保险（中国）有限公司和美亚财产保险有限公司推动力度较大，近期入场的玩家又开始增多，平安产险、阳光产险等。

建立网络风险模型的注意点

互联网的发展是动态而又迅猛的，随着技术的发展，互联网本身的构造也越发复杂。网络风险也会随着互联网的发展而大幅波动，不断变化，不断进化。所以，建立网络风险模型时，保险公司不仅需要想方设法收集相关数据，还需要在一个动态的、实时变化的大环境下跟上网络风险发展的脚步。

数据收集和风险建模相辅相成，并且会互相影响互相反馈。一个优秀的网络风险模型是可以在两者间建立起可持续发展的正反馈闭环的，随着数据量的增加，模型的准确度会越高，而更高的正确度会带来更有意义的数据，从而进一步提升模型的准确度。

保险公司需要一个描述网络风险的量化经济模型，该模型不仅能预测网络攻击的频率（可能性），还要能对网络攻击的严重性、可能造成的经济损失以及二次攻击的可能性等性质做出预测。

此外，因为保险公司关注的往往并非是一家公司，而是整个行业或者整个公司组合的网络安全表现，所以网络风险模型还要能够反映风险累计后产生的综合经济效应，从而让保险公司可以有详实的依据在网络风险领域做出决策，即满足投保人的需求，也能达到股东的期望。

实例：海外公司如何建模

最近，开始出现一批关注网络安全保险的创业公司，Cyence是其中一家，他们为保险公司打造了一款数据分析平台，帮助保险公司对网络风险这一新兴险种进行建模和定价。针对网络安全风险建模的痛点，Cyence是这样做的：

开发了一个多样化可扩展的数据引擎，该数据引擎能够以非侵略性的方式收集特定公司人员和机器的数据，从而创造出客观真实并且具有实时性的风险评测模型。为了和网络风险的动态趋势匹配，Cyence这一配备了数据引擎的平台，也会实时校准模型，最大程度地精准分析网络风险。

对一些过往的网络安全事故进行分析。在最近Cyence和劳合社联合发布的报告中，Cyence对一起重大的网络风险事故进行了量化分析。在这起事故中，黑客攻击造成全球云服务器宕机，最终在全球范围内造成了530亿美元的经济损失。如此巨大的经济损失已经超过了2012年飓风桑迪所造成的500亿美元损失。通过过往事故的分析，可以累积案例与数据。

而海外最新的动态是，有研究机构正在开发高级模拟系统，通过模仿不同维度和方式的网络攻击来评估投保企业的网络安全程度。这一模拟系统会根据模拟进攻的结果为企业制定一个网络风险评分，这一评分的制定是基于如NIST、CVSS3.0和DREAD模型等这类被广泛接受的风险计算方法的。

这一模拟系统技术有望大幅度提升保险公司对于网络安全险的定价能力，他们可以在几个小时内完成对投保公司的分析，获取该公司的网络风险评分，从而决定是否承保，并且确定保额总量以及保费水平。

国内部分网络安全保险盘点

国内首批提供互联网安全保险的险企是美亚保险和安联财险，两家公司都在2015年推出相关产品。

美亚保险产品的承保范围包括敏感数据外泄（个人及企业数据）、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃、网络保安系统失效、计算机系统事故所引发的第三方索赔或导致的业务中断，以及网络勒索相关赎金的保障。

安联财险的网络安全险则针对各种原因引起的数据丢失、网络被加插恶意软件、网络盗窃与网络敲诈等风险事件作出理赔，保障范围包括营业中断损失、设备损坏费用、赎金等。

近日，阳光产险也有所动作，面向金融机构、医疗卫生行业、政府事业单位等企业客户推出网络安全综合保险，该产品对单一客户可提供最高达8000万元的风险保障。因计算机恶意行为、恶意软件、操作人员失误、DOS攻击等导致的数据损坏，以及网络勒索、名誉损失、利润损失、数据泄露等风险均在保障范围之内。

投稿或寻求报道：wxp@warpvc.com

End

推荐阅读

点击图片即可阅读

微信公众号ID ：baoxianguancha