保观 | 聚焦保险创新
随着信息数字化技术不断迭代发展,互联网安全问题一直备受关注,尽管在技术层面,可以通过软硬件系统升级加强风险防护,但潜伏在网络冰山之下的攻击风险时有发生,多样且层出不穷的网络攻击与意外难以预测,也给守护网络安全带来了诸多不确定性。
因此在该境遇下,各市场参与主体除了从技术层面加强风险防范外,如何避免因为网络安全事故所造成的巨大财务损失也是必要研究课题。而网络安全保险因通过商业保险的形式来转移此类潜在的财务风险损失,也逐渐成为各大企业最大程度规避网络安全风险损失的最佳选择。
(资料图)
那么,网络安全险如何为企业保驾护航?运营网络安全险该如何定价?作为最热门的保险新赛道,网络安全险有何发展趋势?相信很多人都有不少疑问。
带着这些问题,近日我们在直播中针对网络安全险的探索与展望这一主题连线了众安保险市场公关部负责人王瑶。在直播中和我们共同探讨了网络安全险解决方案和定价相关问题,同时对于网络安全险未来发展重点方向也提出了非常具有建设性的意见,本文的主要内容也来自该场直播。
01
我国网络安全险市场有哪些难题待解答?
众所周知,国内网络安全问题涉及方方面面,是非常庞大的系统难题。近些年,越来越多的政策层面、法规层面不断强调网络安全,不仅先后颁布了网络安全法、数据安全法、个人信息保护法等法律法规,而且还相继出台了《网络安全审查办法》《云计算服务安全评估办法》等政策文件。
由此可见,国内网络安全重要性和风险防范迫切性不言而喻。那么,从目前国内网络安全环境来看,企业主要面临哪些难题?保险公司在此方向是否有很好的承保解决方案?
首先,与传统的认知有所不同,过去网络安全攻击一般只存在于政府、机构或者大企业,但近些年不少中小企业无论是受网络攻击的次数,还是受攻击的比例都是逐年上升的。根据相关机构的调研数据,国内有超80%的中小企业都表示遭受过网络安全攻击,但是不少中小企业受限于资金、专业团队和技术的欠缺,以致于其自身对于网络安全事故的处置能力上相对不足,甚至对于网络安全攻击都没有感知。以比较常见的DDoS攻击为例,有网络安全技术平台监测到2021年DDoS的攻击次数比2020年的攻击次数要增加60%以上,而且该类攻击的很大部分对象就是中小企业。
其次,随着网络技术的进步,网络安全的威胁手段也更加复杂。以往网络攻击类型比较熟悉的有木马病毒,而现在已经进展到了如漏洞、后门、防冒服务器类型等等。不仅此类型攻击隐蔽性非常强,让企业的整个网络安全体系防不胜防,而且企业一旦遇到攻击以后,轻则短时间影响系统的正常使用,重则会导致连带第三方信息资产受损,面临比较大的经济损失和声誉损失。
最后,目前市场上的网络安全保险可承保的范围主要涉及到隐私数据泄露、未经授权访问导致的系统或者数据损失,包括数据丢失、感染了恶意代码、拒绝服务攻击以及网络勒索威胁、网络欺诈等等。可看出,其承保范围基本上已经涵盖了大部分因由于外部攻击导致的网络安全事件的风险场景。
然而,从组织内部而言,由于安全管理制度人员错漏,包括一些故意为之导致的网络安全损失,目前还没有保险公司能够提供相应的保障。主要是因为内部的一些定责非常困难,尤其是事故原因很难去追溯,以及数据资产如何确定也是一个比较大的难题。因为不同类型维度还有标准的数据资产,如何去确定其价值,在法律层面和财务层面,目前还没有比较健全规则体系来作为支撑。这样一来,对于保险公司而言,在理赔环节,网络安全事件所导致的损失就难以确定价值,也比较容易引发理赔纠纷,不利于网络安全保险产品的长期发展。所以目前由于组织内部这些安全制度和人员错漏,故意导致的网络安全损失问题还没有纳入到保险公司的承保范围里面。
02
千人千面个性化解决方案,或是最优解?
由于网络安全问题本身的复杂性和专业性要求较高,所以相比于传统的保险产品,网络安全保险会有更强的技术属性和产业融合的属性。从全球发展趋势来看,网络安全保险逐渐形成由保险公司、网络安全公司,还有第三方风险管理机构、保险科技公司多方合作和彼此赋能的一种产业形态。
那么,和一般的保险产品相比,网络安全保险在产品的开发、承保、服务方面有哪些特点?有没有比较好的案例可借鉴?
第一,在产品开发阶段。保险公司会利用自身或者合作的网络安全信息库与保险定价模型来完成数据的收集、分析,还有差异化定价。
第二,在承保阶段。网络安全保险会基于网络风险评估的结果来协助投保企业整改优化,从而帮助企业在整个可能会面临的一些风险方向做主动干预,包括通过一些安全产品、技术、服务,甚至是利用培训来帮助企业来降低自身出险概率。
第三,在服务阶段。网络安全保险会面临更多的服务要求,比如保单生效后,保司会根据企业的需求开展网络安全的风险实时监测,来监控承保风险的动态变化,同时为投保企业提供实时的风险处置响应服务,将潜在风险的损失降到最低,最大程度地去缩减风险敞口。
也正是深入洞悉了网络安全保险在各种环节下呈现的不同特点,作为国内最早一批推出网络安全保险的保险公司之一的众安保险,不断围绕网络安全保险的核保、承保、出险还有理赔各个阶段,已经形成了比较完整的保险科技服务供应链体系。其推出的网络安全保险产品,可以为投保企业建立或者完善主动的网络安全风险管理能力。比如在核保阶段,不仅会通过风险评估量化模型来帮助企业评估和提升网络安全风险,而且也会通过整个一系列风险扫描,去预知企业面临重大风险的概率,从而帮助企业去做相关风险整改,为后续的费率核算提供数据量化基础。
而在承保和应急服务的过程中,众安保险也会为企业提供7*24小时风险监控与预警等一系列解决方案,帮助企业尽量做到不出险或者是出小险。另外,众安保险还会推动企业方持续地去改进内部一些安全管理,防止类似的风险事件再次发生。
此外,值得注意的是众安保险对不同规模、不同行业的企业面临的网络安全保障需求的不同,推出了个性化的解决方案。
在针对大型企业购买网络安全保险方面,众安保险基于大型企业保安全的核心需求特性来开发产品。因为大型企业对于网络安全事故造成的经济损失的容忍度比较高,自身的承保或安全能力意识相对较高,所以其对网络安全产保险产品的核心需求就是避免网络安全黑天鹅事件带来巨额损失。
而在针对中小微企业购买网络安全保险方面,由于其自身的体量比较小,资金和技术人手都比较有限,安全预算也难以支撑比较完备的安全方案,所以中小微企业一般倾向于通过第三方的介入来补充内部网络安全保障的能力。以电商领域企业为例,由于线上业务占比较高,而且已经部署了比较完善的网络安全体系,业务属性决定了自身具有较高的经济价值,所以其遭受到网络安全攻击的概率非常大,而一旦受到网络安全的攻击,整个业务体系就可能会崩溃,用户的个人信息数据也会泄露,第三方责任损失的风险也会被放大。因此,像该领域的电商客户,如果投保了众安保险开发的网络安全责任和数据泄露责任保障网络安全保险,就会享受到众安保险包含的事前风险检测和安全加固等一系列保障措施,帮助企业进一步提升自身安全建设水平。
03
网络安全险市场仍拥有一片广阔蓝海?
目前,虽然网络安全被越来越多的人所关注,但其合理定价模式则是影响诸多企业选择投保的重要影响因素。那么,网络安全险到底该如何进行定价呢?
一是,基于不同企业客户需求来做差异化定价理论评估。正如前文所述,不同企业对于网络安全险的保额需求是不一样的,定价合理的网络安全险会根据保司自身的承保能力和承保条件等以及客户面临的风险敞口范围进行多方评估,给出专属于某一客户行之有效的承保保额建议。
值得一提的是,网络安全保费定价理论原则上会与投保企业的企业属性、经营范围、投保标的性质、数量、安全防护的等级都密切相关。比如,同等保额条件下,企业投保的数据和资产越大,经济价值标的物越高,其保费会越贵。相反,如果企业的安全防护能力越健全,自身的管理制度也很完善,保费相应就会越低。
二是,由于网络安全威胁的快速演变,新的漏洞和攻击层出不穷,企业所面临的网络攻击愈发频繁,所以其每年保费价格也在不断变化,这也是整个网络安全保险定价的共同特性。比如,公开数据显示,美国每年网络安全保险平均定价都保持变化增长,2021年前三个季度,美国网络安全保险的平均定价的涨幅分别是为34%、56%和97%。
最后,我们认为网络安全保险的未来发展趋势会呈现出以下三大突出特点:
第一,从市场规模来看,网络安全保险未来增长具有很大的想象空间。在国内,工信部数据显示,2021年我国网络安全保险的保费规模超7000万,最高保额达4亿,较上年增长3.2倍,保持高增长态势。在全球,一些专业机构预测到2026年,全球网络安全保险市场规模预计会达到350亿美元,年复合增长率高达26. 6%。
第二,在产品方案层面,目前市面上各家保司的网络安全保险产品差异并不大,相信随着未来网安险向智能网联汽车、能源互联网等更多行业的渗透,会有针对不同行业的场景化需求反向推动网安险承保范围的扩展,甚至是专门针对某一特定行业的网安险产品的出现。
第三,从产业协同上看,随着网络安全保险的产品与服务将进一步细化。在产品设计、服务模式输出方面,网络安全保险的发展无法脱离网络安全服务、技术的支撑。未来将进一步丰富“网络安全即服务”的业态,促进网络安全和保险的双产业融合,形成多产业融合、互促共赢的局面。
总的来看,现阶段我国网络安全保险仍处于市场培育初期,网络安全保险行业标准亟待完善,企业网络安全意识有待进一步提升,不少企业和保司对这一险种依然持审慎的观望态度。但我们相信随着市场需求的不断扩大、风险数据的不断积累、政策标准的不断完善,以及在政府相关部门的牵头支持下,网络安全保险试点服务在更多领域的开花落地,网络安全保险终将会迎来属于它的市场风口。
本文首发于微信公众号:保观。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
营业执照公示信息