网络风险,保险业的机遇与挑战
发布时间:2019-09-03 12:30:48 作者: 来源:中国保险报网
□刘新立
近年来,随着互联网技术的飞速发展,网络袭击事件层出不穷,造成的损失日益增大,网络风险几乎成为最受关注的新兴风险。2019年世界经济论坛发布的全球风险图中,从发生频率及损失的综合视角来看,网络风险的大小仅次于气候原因导致的风险。2017年就有数据表明,我国因网络袭击而遭受的年度损失已高达3996亿元,损失额位列全球第二。
业内对网络安全问题极为重视。8月21日,为期三天的2019中国网络安全大会拉开帷幕。来自中石油、中石化、国家电网等90%以上的中央企业和大型金融保险机构,以及阿里、腾讯、百度等互联网巨头企业的参会人员齐聚一堂,共同讨论网络安全的战略、产业和技术。本届大会主题为“聚合应变,内生安全”,意在汇聚全球顶级智慧,以高度专业化的观点、经验、解决方案,从内生安全的视角,探寻全新的网络安全发展路线图,为未来网络、网络颠覆性创新和产业升级指明极具前瞻性的方向。社会对网络风险的重视为保险业提供了机遇,作为以风险管理为主业的行业,这是保险业支持企业转型换代的机会。同时,网络风险具有新兴风险的特点,不断变化,难以评估,对保险业构成了挑战。
网络风险的典型后果包括信息泄露、业务中断和工业系统故障等。信息泄露风险包括个人和公共信息泄露。公共信息泄露又涉及企业、政府和大型组织。2005年到2015年间,美国共发生5029起信息泄露引起的法律纠纷,信息泄露估计涉及范围达到67.5亿人次,欧洲的数据也高达22.7亿人次。摩根大通、家得宝、索尼、Anthem和Target等公司都遭遇过信息泄露。摩根大通曾被黑客侵入计算机系统,造成7600万家庭和700万家小企业的户名、地址、电话号码和电子邮件地址被窃取。2014年Target信息泄露事件影响很大。黑客从POS机上窃取信息,包括7000万用户个人信息和4000万信用卡数据。Target为此付出了惨痛代价。12%的老客户不再去Target购物,继续购物的人中79%不再使用信用卡;其他零售商同样受到影响,76%的零售商减少了购贷频率。公司以每人1万美元作为损失赔偿,辞退了CEO并更换了首席信息官,最终付出了1.48亿美元的代价。2017年9月,掌握着全美大半公民个人重要信息的Equifax公司宣布遭到了黑客入侵,导致约1.43亿美国用户和上千万英国、加拿大用户的信用记录遭到泄露,其中包括用户的姓名、社会安全号码SSN、地址、生日信息,以及一些驾驶执照号码等等。业务中断会影响电信网、制造业、运输和媒体等多个行业。
2015年,波兰航空地面操作系统遭到黑客攻击,系统瘫痪5小时,10个航班被取消,1400多名乘客滞留华沙肖邦机场。工业控制系统风险包括工业停转和事故。前者例如汽车生产线。生产线受机器控制,若其中一个机器遭到攻击,将导致生产线停转。曾有预测称,在物联网时代,至2020年,每天将有500亿部机器进行数据交互。工业控制系统目前仍在使用的系统中,有相当一部分在当初开发时并没有考虑到今天网络会演变成一个安全问题。若这些控制系统受到攻击,有可能造成火灾、爆炸以及大批量数据泄漏、业务中断带来的巨额损失。
除了上述风险类型之外,随着企业对互联网应用的升级,网络风险的暴露也会日趋复杂和严重。例如,目前企业上云是一个趋势,2019年阿里巴巴就表示,“‘全站云化’的时代已经到来,目前阿里巴巴60%到70%是跑在阿里云公共云上,未来要经过1-2年的努力,实现100%的业务跑在公共云上。”云计算是IT基础设施的交付和使用模式,它通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。但在享受这些好处的同时,数据文件的隐私保护以及权责问题也随之成为企业面临的风险。RIMS公司和瑞士再保险对网络风险的分类涉及“第一方风险”和“第三方风险”,除了上述典型风险之外,还包括金融盗窃和/或欺诈、网络赎金和敲诈勒索、知识产权盗窃、事故响应成本、声誉损害(不包括法律保护)、监管和法律辩护费用(不包括罚款)等多种形式。
网络风险的升级,让政府、企业和个人都对该风险愈加关注。各国纷纷颁布数据保护方面的法律法规,我国自2017年6月开始实行《网络安全法》。2019年5月,我国发布了等级保护2.0 国家标准,增加了个人信息保护、云计算扩展等要求。来自国家计算机网络应急技术处理协调中心的信息显示,境内感染计算机恶意程序主机数量变化在2015年达到高峰后,之后几年呈逐年下降的趋势。但随着移动终端的普及,2010年至2018年间,移动互联网恶意程序捕获数量走势却在逐年增加。对于这种复杂多变的风险,控制型措施无法做到万无一失,融资性风险管理措施的作用不言而喻。在这样的背景下,一些保险公司适时推出了网络安全保险来为客户提供保障。目前网络安全保险市场主要在美国,并且增长较快,这和当地相关法律比较严格,市场发展迅速有关。据预计,全球网络安全保险市场规模将会达到75亿-200亿美元,年均复合增长率超过20%。虽然大趋势向好,但网络保险也面临一定挑战,主要集中在数据和评估模型方面,数据不够充分,不同的业务模式和IT应用,其受网络攻击的风险也有高低之分,如何进行分类以及使模型能够涵盖新的变化,一直没有较好的解决方案。我国网络保险尚处于萌芽期,在责任险、数据损失险和运营中断险等方面亟待发展。
(作者系北京大学经济学院风险管理与保险学系副教授)
□刘新立
近年来,随着互联网技术的飞速发展,网络袭击事件层出不穷,造成的损失日益增大,网络风险几乎成为最受关注的新兴风险。2019年世界经济论坛发布的全球风险图中,从发生频率及损失的综合视角来看,网络风险的大小仅次于气候原因导致的风险。2017年就有数据表明,我国因网络袭击而遭受的年度损失已高达3996亿元,损失额位列全球第二。
业内对网络安全问题极为重视。8月21日,为期三天的2019中国网络安全大会拉开帷幕。来自中石油、中石化、国家电网等90%以上的中央企业和大型金融保险机构,以及阿里、腾讯、百度等互联网巨头企业的参会人员齐聚一堂,共同讨论网络安全的战略、产业和技术。本届大会主题为“聚合应变,内生安全”,意在汇聚全球顶级智慧,以高度专业化的观点、经验、解决方案,从内生安全的视角,探寻全新的网络安全发展路线图,为未来网络、网络颠覆性创新和产业升级指明极具前瞻性的方向。社会对网络风险的重视为保险业提供了机遇,作为以风险管理为主业的行业,这是保险业支持企业转型换代的机会。同时,网络风险具有新兴风险的特点,不断变化,难以评估,对保险业构成了挑战。
网络风险的典型后果包括信息泄露、业务中断和工业系统故障等。信息泄露风险包括个人和公共信息泄露。公共信息泄露又涉及企业、政府和大型组织。2005年到2015年间,美国共发生5029起信息泄露引起的法律纠纷,信息泄露估计涉及范围达到67.5亿人次,欧洲的数据也高达22.7亿人次。摩根大通、家得宝、索尼、Anthem和Target等公司都遭遇过信息泄露。摩根大通曾被黑客侵入计算机系统,造成7600万家庭和700万家小企业的户名、地址、电话号码和电子邮件地址被窃取。2014年Target信息泄露事件影响很大。黑客从POS机上窃取信息,包括7000万用户个人信息和4000万信用卡数据。Target为此付出了惨痛代价。12%的老客户不再去Target购物,继续购物的人中79%不再使用信用卡;其他零售商同样受到影响,76%的零售商减少了购贷频率。公司以每人1万美元作为损失赔偿,辞退了CEO并更换了首席信息官,最终付出了1.48亿美元的代价。2017年9月,掌握着全美大半公民个人重要信息的Equifax公司宣布遭到了黑客入侵,导致约1.43亿美国用户和上千万英国、加拿大用户的信用记录遭到泄露,其中包括用户的姓名、社会安全号码SSN、地址、生日信息,以及一些驾驶执照号码等等。业务中断会影响电信网、制造业、运输和媒体等多个行业。
2015年,波兰航空地面操作系统遭到黑客攻击,系统瘫痪5小时,10个航班被取消,1400多名乘客滞留华沙肖邦机场。工业控制系统风险包括工业停转和事故。前者例如汽车生产线。生产线受机器控制,若其中一个机器遭到攻击,将导致生产线停转。曾有预测称,在物联网时代,至2020年,每天将有500亿部机器进行数据交互。工业控制系统目前仍在使用的系统中,有相当一部分在当初开发时并没有考虑到今天网络会演变成一个安全问题。若这些控制系统受到攻击,有可能造成火灾、爆炸以及大批量数据泄漏、业务中断带来的巨额损失。
除了上述风险类型之外,随着企业对互联网应用的升级,网络风险的暴露也会日趋复杂和严重。例如,目前企业上云是一个趋势,2019年阿里巴巴就表示,“‘全站云化’的时代已经到来,目前阿里巴巴60%到70%是跑在阿里云公共云上,未来要经过1-2年的努力,实现100%的业务跑在公共云上。”云计算是IT基础设施的交付和使用模式,它通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。但在享受这些好处的同时,数据文件的隐私保护以及权责问题也随之成为企业面临的风险。RIMS公司和瑞士再保险对网络风险的分类涉及“第一方风险”和“第三方风险”,除了上述典型风险之外,还包括金融盗窃和/或欺诈、网络赎金和敲诈勒索、知识产权盗窃、事故响应成本、声誉损害(不包括法律保护)、监管和法律辩护费用(不包括罚款)等多种形式。
网络风险的升级,让政府、企业和个人都对该风险愈加关注。各国纷纷颁布数据保护方面的法律法规,我国自2017年6月开始实行《网络安全法》。2019年5月,我国发布了等级保护2.0 国家标准,增加了个人信息保护、云计算扩展等要求。来自国家计算机网络应急技术处理协调中心的信息显示,境内感染计算机恶意程序主机数量变化在2015年达到高峰后,之后几年呈逐年下降的趋势。但随着移动终端的普及,2010年至2018年间,移动互联网恶意程序捕获数量走势却在逐年增加。对于这种复杂多变的风险,控制型措施无法做到万无一失,融资性风险管理措施的作用不言而喻。在这样的背景下,一些保险公司适时推出了网络安全保险来为客户提供保障。目前网络安全保险市场主要在美国,并且增长较快,这和当地相关法律比较严格,市场发展迅速有关。据预计,全球网络安全保险市场规模将会达到75亿-200亿美元,年均复合增长率超过20%。虽然大趋势向好,但网络保险也面临一定挑战,主要集中在数据和评估模型方面,数据不够充分,不同的业务模式和IT应用,其受网络攻击的风险也有高低之分,如何进行分类以及使模型能够涵盖新的变化,一直没有较好的解决方案。我国网络保险尚处于萌芽期,在责任险、数据损失险和运营中断险等方面亟待发展。
(作者系北京大学经济学院风险管理与保险学系副教授)
