中国保险报/中保网讯【记者 康民】
国际保险经纪巨头达信近日发布的研报认为,亚洲被黑客攻击的可能性比世界其他地区高80%。不过,与亚太地区较高网络威胁水平不协调的是其薄弱的网络风险防范工作,例如风险意识差、网络安全投资不足、网络保险投保不足等。低网络保险投保率能够突出地反映这个问题,新加坡(<10%)和澳大利亚(14%)的投保率都显著低于欧洲(30–36%)和美国(55%)。因此,亚洲的网络保险机会较之其他地区更多。
达信亚洲的低网络保险投保率可归因于风险意识的普遍缺乏,而后者是由以下因素导致:文化因素可能影响该地区的网络保险销售,当前立法格局导致的数据不足也有影响。此外,亚洲地区关于网络攻击规模及频率的信息披露有限,使人们对网络安全产生错觉,这可能会为企业带来重大经济损失。企业不应盲目自信,必须采取措施来预防和减少网络攻击,包括投入适当的资源和制定战略性应急计划来确保在发生攻击时能做出有效响应。
达信重新梳理企业在网络风险保险方面的常见误解,并提供关于网络风险转移的替代视角。其次,达信建议首先实施包括有效终端安全和IT基础设施在内的网络防御最佳做法,然后使用网络保险控制事件发生时的补救成本。再次,为了切实保证企业的网络弹性,达信强烈建议企业进一步考虑实施危机管理、业务持续性和ICT (Information and Communications Technology) 灾难恢复计划。这样可以确保恢复关键业务活动,包括关键ICT应用系统和数据库。这样可以最大程度地减少运营和业务中断。
达信分析道,网络保险可能会很贵,但是企业管理者真正应该考虑的问题是为他们介绍的网络风险保险是否足以满足其具体需要。有时,由于缺乏优质网络风险精算数据,风险量化和定价过程可能会过于保守,导致网络风险保单范围过大和价格过高。网络保险太贵、很多企业没有预算这个问题很容易解决,只需企业聘请独立风险专家提供咨询和经纪服务来获得全面而又价格合理的网络保险。
企业应考虑的另一个成本角度是在网络事件发生时的财务影响。根据安联《2017年度风险晴雨表》(下图),作为网络事件后导致经济损失的主要原因,业务中断(BI, Business Interruption)的影响是企业最担忧的网络问题。企业业务中断,包括关闭操作系统、重新格式化计算机和服务器,以及从备份设备恢复关键数据,造成的损失费用估计在10-40亿美元之间。因此,与在发生网络事件时承担所有直接和间接费用相比,把部分风险转移给保险和资本市场可能会节约更多成本。
据介绍,网络业务中断量化(CBIQ, Cyber Business Interruption Quantification)是一种独特的解决方案,它帮助企业确定并根据其潜在财务影响为网络风险情景排序。它识别并评估网络风险情景和/或网络安全控制措施。该解决方案结合使用损失前业务中断分析和分析建模来为情景的影响定性和定量。这种可衡量的结果使企业能够优先考虑和分配宝贵的资金和资源,以缓解高影响力的风险情景。