网络安全险这盘棋该怎么下?
保观|聚焦保险创新
众所周知,在今天的信息互联网时代,网络安全事故频发,尽管在技术层面,可以通过软硬件系统升级加强风险防护,但鉴于市场的复杂变化,各种网络攻击与意外难以预测,谁都无法做到完全杜绝网络安全事故的发生。
所以在此情境下,我们不单是要考虑从技术层面加强风险防范,另外还有个非常重要的问题也必须考虑,那就是应该如何避免因为网络安全事故所造成的巨大财务损失。事实上,很多保险行业的有识之士都知道最佳的解决方案就是引入网络安全保险,通过商业保险的形式来转移此类潜在的财务风险损失。
应该说,网络安全险大有用武之地,不过目前由于人们的重视程度不够,所以这块市场仍然处在孕育期。保观作为互联网保险行业深度观察媒体,我们关注整个保险行业的动态变化。我们发现对于网络安全险,市场期望很大,但与此同时,包括政府、企业及普通民众在内,都所知甚少。
网络安全险的市场规模到底有多大?运营网络安全险会遇到哪些挑战?国家对这一块有政策支持?目前有哪些保险公司开发了网络安全险?有没有实际赔付案例?相信很多人都有不少疑问。
在《保观-对话探险家》以网络安全险为主题的线上分享活动中,我们邀请到杭州安恒信息技术有限公司网络安全险事业部副总监来泽枫、宋博对上述问题作出了精彩解答。
公司简介
杭州安恒信息技术有限公司创办于2007年,是国内云安全、互联网应用安全、大数据安全、智慧城市安全和工控安全等科技前沿领域的知名品牌公司,多次入选全球网络安全500强。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、历届世界互联网大会、G20杭州峰会、厦门金砖峰会等众多重大活动提供网络信息安全保障。
安恒公司主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等,包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。
保观
问答
安恒作为一家综合型的网络与信息安全产品和服务提供商。请问贵公司与保险行业的合作,都有哪些形式?
在网络安全险(以下简称“网安险”)方面,安恒和保险公司主要有两种合作形式:第一种形式是安恒作为技术服务商和风险咨询顾问,为保险公司的网安险客户提供投保前的风险评估、保后的实时防护和出险的应急支持,这其实也是为保险公司在做防灾防损的工作。
第二种形式是通过网安险,为安恒自有客户的网络风险兜底,形成既有产品和服务,又有保险的双重保障。
如果脱离网安险层面,还有第三种形式的合作,就是保险公司或者保险行业内的企业也可以是安恒的客户,我们已经给国内很多保险公司提供了安全产品和安全服务,例如中保信、人保、国寿、新华、平安、太平等等。
请问网络信息安全在中国的现状如何?能否分享一些行业的相关数据?
在网络安全损失方面,中国是遭受网络犯罪攻击最严重的国家,去年因网络犯罪造成的经济损失达到 660亿美元,损失金额是世界第一位的,网络信息安全形势比较严峻。
在政策层面,棱镜门事件之后,我国也把网络信息安全已上升到前所未有的地位,《网络安全法》的出台,也从政策层面驱动了信息安全行业发展。
在市场规模上, 2018年国内信息安全市场整体规模是495.2亿元,目前仍处于快速增长阶段,年复合增长率约23%,高于全球安全产业8%的平均增长速率。
请问网安险在中国的潜在市场规模预计会有多大?
目前网安险在国内保险业中占比较小,市场规模以亿元计。据安联的一份报告估计,目前全球范围内的网安险保费约为20亿美元,其中美国市场约占总保费的90%,到2025年,全球网络保险保费预计将达到200亿美元。
中国2017年的非寿险保费在全球市场的份额为10%,如果我们粗略估计国内网安险市场份额的全球占比也是10%,那么2025年国内网安险的潜在市场规模至少在百亿元左右,如果考虑到中国互联网产业在全球的占比,这个数字还会更高。
请问国内主流的网安险有哪几款?
主要有两种形式的网安险产品:
众安保险的网络信息安全综合保险,这个是安恒参与设计的一种标准化的保险方案,保额和保费都是固定的,主要保障企业的数字资产被泄露、被损坏产生的损失和技术费用,也可以赔偿给第三者造成的损失。
第二种是外资保险公司和国内头部公司推出的网安险定制化保险方案,主要面向大型企业,保额由客户定制,责任范围比较全面,由客户自主勾选,可以保障网络安全事件造成的营业中断损失、网络勒索损失、检测鉴定费用、名誉修复费用、第三者责任等。基本上把企业遭遇网络安全事件造成的经济损失都覆盖到了。
网安险在实际运营过程中,会遇到哪些痛点?对相关问题有没有成熟的解决思路与方案?
主要的痛点是风险建模和风险定价,网络安全风险建模和定价方式与传统的风险有着很大的不同,主要表现在两个方面:1、网络风险属于动态变化的风险,黑客的技术及战术会不断升级,保险公司缺乏相应的技术手段。2、一旦发生数据泄露事件,数据泄露的数量和损失难以精确计算。
因此保险公司在开发网安险时,最好不要“单打独斗”,例如保险公司与安恒信息的合作,安恒汇集了海量的网络安全大数据,不仅包含历史数据、病毒样本等,还可以通过威胁情报分析,生成对未来网络空间安全态势的感知,能够在威胁刚出现时为客户做好预防。落实到具体客户上,形成事前评估、事中防护、事后应急、取证的全周期服务,降低保险客户的网络安全风险。
对于数据泄露数量的判定,安全厂商会有一些技术手段判定,例如通过对设备的日志分析等形成一些证据,对于损失估计,目前只有众安保险可以按照数据价值来赔付,但是客户需要和保险公司提前约定好数据的价值,比如一条数据价值多少钱。其他的保险公司多是从支出的费用,和造成的其他损失方面给予补偿,而并不赔付数据本身的价值。
保险公司在设计网安险时,是如何对网络安全风险进行评估与定价的?
风险范围设计这方面会有一些相应的国家标准可以引用,比如GB/Z 20986—2007《信息安全技术信息安全事件分类分级指南》的国家标准中,就把网络安全风险分成了三大类,1.有害程序,例如病毒木马2.网络攻击,例如黑客攻击系统3.信息破坏,例如数据泄露损坏(包含内部误操作)等,这三类基本上覆盖了常见的网络安全风险。
产品定价方面,目前我们了解到的网安险的费率比传统财产险要高,这个在全球范围都是这样,主要是因为保险公司不太了解这一块的风险,感觉不在自己掌握之中,出于保守的考虑保费定的比较高。在这里安全厂商的出现也比较有意义,因为有我们的防护,客户的系统不再是裸奔的状态,一旦几年之后赔付率控制的比较理想,保费价格有望降下来,也更能促进网安险被客户接受。
想了解一下,保险公司是如何对网络安全事故进行定损的?
首先是确定事故的起因和性质,安全厂商通过收集到的证据溯源并还原事件的整个过程。
确定事故性质后,如果属于保险责任范围内的,定损方面要看客户投保时选择的责任范围,如果是营业中断损失,就按照中断时间的营收赔付,这时候需要客户财务方面的数据,如果是费用支出就按照实际发生的费用赔付,如果是遭遇网络勒索就按照实际被勒索的金额来赔付。
网安险如何规避道德风险?
一方面通过安全专家做事故分析,通过提取系统中的日志信息来追踪溯源,这些手段会对骗保行为有一定的震慑作用。
另外,我们在给客户做安全意识培训的时候也会展示一些案例,比如安恒曾经协助公安机关破获的黑客案件,对客户起到一定的警示作用。
那么请问网安险在中国有没有赔付的案例?
据我们了解,国内外资公司有赔付的案例,例如安达、美亚等,但是保险额度没有很高,客户出于企业形象的考虑也不会过多宣传这方面,但是网络安全发生损失的案例可不少,有中病毒的,也有自己员工不小心导致的,而且基本都是证据明确,可以纳入网安险赔偿范围的,可惜他们并没有买网安险。
关于网络险,国家的政策支持力度如何?未来会面临怎样的挑战呢?
国家层面,2017年6月实行的网络安全法规定了网络运营者的义务和违法的处罚,立法之后,对信息安全产业有一个很大的促进。网络安全法是一个宏观性的法律,后面还有一系列细化的法规跟进,比如近期即将颁布的个人信息保护法,这些配套法律完善之后,会促进企业和个人的信息安全风险意识,也有助于网安险的发展。
部委层面,目前主要是工信部对云计算等行业有一些政策上的指导建议,例如通过保险的方式推动企业上云等。
地方政府对于产业创新的需求也对网安险这种创新险种有一定利好,例如首台套的保险都有一定的政府补贴,山东政府对首版次国产高端软件质量责任保险有政府补贴,这些优惠政策以后也有希望落在网安险上面。
在网安险方面,安恒信息可以为保险公司提供哪些服务?
按照时间线来讲,安恒可以为保险公司用户提供事前风险评估,事中实时防护,事后应急取证的全周期安全服务,最后提取的证据作为保险公司的赔付依据。提取的电子证据可以由国家权威机构判定,例如中国信息安全测评中心,这样可以避免与投保客户的理赔纠纷。
按照应用场景来讲,对于用户网站安全,安恒有“玄武盾”远程防护平台,不需要在用户处部署任何硬件设备,就能实现对网络攻击的防护,这个防护平台获得过国际上的优秀安全产品奖,很多政府和企业的网站也在用,例如各级政府官网、广电总局、中国移动、中保信等。
安恒的产品线是比较全面的,对于各行各业的各种信息场景都有解决方案和案例。
举一个最贴近各位的例子:目前很多企业都在用钉钉办公,我们在钉钉上面有个应用叫安恒密盾,如果企业使用了安恒密盾,两个员工在钉钉上沟通的时候,两端手机上显示的是明文,在传输过程中是密文,任何第三方包括钉钉都不能解密,无法截取消息内容。这个产品能够有效避免公司的商业机密泄露,也是目前钉钉上销量最高的第三方应用之一。
就保险行业来说,保险公司汇集了大量的投保人信息,需要面向行业监管负责,自身也有网络安全的合规需求(比如公安机关要求的等级保护),这方面安恒有大量的解决方案和案例。
我的理解,信息安全行业和保险行业做的都是关于风险管理的工作,区别是一个前端一个后端,前后结合,才是天作之合。
所以我们在推广网安险的时候有一句slogan:“赔付不是重点,风控才是关键”,谁买了保险也不愿意哪一天真的用上,希望安恒这一类安全厂商的存在,能够在风险控制方面为网安险的推广出一点力,我们愿和各位一起并肩作战,共同开拓这片网安险的蓝海。
提
问
互
动
群友
前段时间,淘宝、美团涉嫌窃听用户语音来推荐商品,引起社会热议。想问下宋总,此类事情跟网络安全险有关么?这种伤害用户权益的事,从监管角度来看,有什么具体措施可以施行么?
网络窃听已经属于国家定义的网络安全事件范围了,并且网络安全法里面也明确了不得收集与业务无关的信息,但是国内的法律环境对于个人信息保护,尤其是用户向企业追偿方面的案例还比较少,希望个人信息保护法实行以后会好一些吧。
个人信息保护这方面欧洲的GDPR是最严格的,一旦企业违规要罚全球营业额的4%。
安恒
群友
核保方面如何做?主要关心事前和事中保险公司举措和紧急应对方案。
目前我们是这样操作,事前由我们来量化评估,出具一份系统评分报告,主要针对常见的风险、漏洞等,保险公司以此为参考,是否承保,或者费率多少。
报告里面的参数是按照网络安全法,还有一些国际机构的通用标准。具体达到什么要求可以承保,费率多少,还是保险公司定了,比如有的公司60分就能保,有的可能要求75分。
其实从安恒的角度讲,主要还是通过技术手段帮助保险公司做好相关风险控制。
安恒
群友
拼多多程序员搞的bug导致公司损失,是不是也属于网安险的范畴?
这个事件目前还没有统一的说法,拼多多自己说是漏洞被黑灰产利用了,如果是这样,是属于赔付范畴的,不过具体赔付多少,还得看和保险公司的约定,因为毕竟属于虚拟资产。
安恒
群友
网络安全险现在都是to B形态,如果是针对C端用户的话,又会是怎样的形态呢?
to C的话也有了,就是个人账户安全险,因为无论黑客用什么形式攻击,主要目的是账户里的钱。还有种情况,就是遭到网络诈骗,或者钓鱼邮件,主动把钱汇给对方了,这种情况也有了相关险种。
另外随着家庭用户网络设备的增多 比如视频、家庭路由器都会存在网络安全风险,c端产品发展潜力也挺大的。
我们有一款个人信息泄露的测试软件,输入手机号,会显示出你的手机号绑定的账户信息在哪些网站泄露过。这个可以作为to C的引子来使用。
安恒
群友
貌似中小企业抵御风险能力最差,你们实际服务的客户中这类企业多吗?
是的,我们觉得中小企业其实是最需要这个险种的,尤其是互联网、信息服务业,目前我们服务过的中小企业不少,主要是游戏、电商、招聘等等,信息集中度比较高的。
来泽枫:另外安恒提供技术赋能: 前端提供技术产品,目前与海康合作的一批视频监控头内已集成了安恒的设备,后端定损应急响应服务。
安恒
群友
您好,您刚才介绍的玄武盾是针对云上的服务器的吗?
是的,是针对云上或者在线网站的一款云服务产品,可以防护网站常见的攻击,还有CDN加速的功能。这个不用客户部署任何设备,我们这边代为运维,能给IT人员解放一下。
安恒
群友
安全厂商提供的风险评估及事中风控是单独收费吗,还是由保险公司付费?2. 目前市场拓展中是否遇到一些困难?
风险评估分两种 1,网站在远程评估,这个是用平台自动化进行,免费。 2,对于内部系统比较复杂的大型企业,工程师上门评估,费用和保费打包在一起。最后都是由保险公司付费的,只有上门评估后没有投保这种情况,需要客户付费。
目前市场拓展中是否遇到一些困难?网安险在国外发展已近20多年 国内刚引入不久,前面宋博也介绍到一些情况,目前这块市场法律,国人意识方面都在向积极的方面发展,未来可期。
安恒
群友
那您们的产品和阿里或者腾讯云本身的安全防护有什么优点呢?一般的云服务器都会使用平台自带的安全产品。
大型云平台一般都有自己的安全团队,但是也是需要第三方安全厂商一起共建生态服务客户,云安全其实需要云安全服务商、客户、第三方安全厂商共建,各自分担安全责任安全保障
使用安恒这边的远程防护,没有上云也可以,只要是在线系统或者网站就行,APP都可以。云平台自身做安全会涉及一些合理性的问题,有点又踢球又当裁判的感觉,近期发生的几次云平台事件,用户都没有获得期望的赔偿。
安恒
群友
不好意思有点较真了。这是针对责任和赔付方面的。单纯说安全和技术防护方面呢?就是说为什么选择您们的产品?只是说出了问题赔付方便吗?还有共建安全生态的话,三家怎么分工更合理?
这里有个模型,其实可以大致了解一下,不同的服务模式,各方承担的责任是不同的。
另外,除了阿里、腾讯,其实还有非常广阔的市场各方可以参与其中,比如工业互联网安全、物联网安全等等。
技术方面应该是伯仲之间的,阿里有云盾,安恒这边的玄武盾也是等保三级的平台。出了问题赔付的话,由安恒作为第三方会比云平台自身提供证据客观一点,如果各方有纠纷,可以让国家相关机构来裁定,比如中国信息安全测评中心。
就网安险来说,云平台安全其实是其中的一部分,实际网安险的承保范围不止是云平台上的用户的。
安恒
想联系安恒网安险专家来泽枫与宋博,或想成为下期保观线上主题分享嘉宾,请加微信:
投稿或寻求报道:zarc@warpvc.com
End
推荐阅读
点击图片即可阅读