安全技术与保险服务相结合的新兴险种——网络安全保险有据可依
网络安全保险作为一个跨行业融合创新的新险种,不仅需要保险机构提供专业支持,也需要网络安全企业提供相关技术,赋能网络安全风险事前、事中、事后管理的全流程,如风险评估、风险监测、攻防演练、应急响应、事后恢复等。
工信部、国家金融监管总局近日联合印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》)。
网络安全保险是为网络安全风险提供保险保障的新兴险种,日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。
《意见》相关解读指出,随着我国数字经济的快速发展,网络安全基础性、保障性作用增强。网络安全保险作为承保网络安全风险的新险种、网络安全服务的新模式,有利于行业企业提升网络安全风险应对能力,促进中小企业数字化转型发展,推进构建网络安全社会化服务体系,促进网络安全产业高质量发展,助力制造强国、网络强国建设。《意见》的出台,将有力指引网络安全保险健康有序发展。
当前,我国网络安全保险发展现状如何?网络安全险产品发展亟待解决哪些问题?推动我国网络安全险规范健康发展,还应在哪些方面重点完善?7月下旬,科技日报记者就这些问题采访了相关专家。
网络安全保险方兴未艾
“截至目前,我国有37家保险公司(含外资、合资保险公司)提供89款在售网络安全保险产品(含附加险9款),其中企财险达42款、责任保险22款,还有一些为其他类型,如网络安全综合险、应急响应专项险等险种。”国家工业信息安全发展研究中心总工程师黄鹏告诉科技日报记者,据测算,2022年我国网络安全保险保费规模约1.4亿元,较2021年翻一番,保持高速增长。
黄鹏介绍,我国网络安全保险产品服务模式主要有两种。一种是面向行业企业网络安全风险管理需求的“保险服务+安全风控”模式。该模式下,保险公司发挥主导作用,借助网络安全企业、专业网络安全测评机构的网络安全技术能力、场景化评估分析能力和数据整合分析能力,开展产品开发、核保定价、防灾减损等保险服务,为行业企业提供网络安全财产损失险、责任险、综合险等保险产品。另一种模式为面向网络安全产品残余风险转移需求的“安全防护+保险保障”模式。该模式由网络安全企业主导,体现为网络安全企业为行业企业用户提供网络安全防护类产品的同时,附加网络安全专门保险,如在招标文件中明确网络安全服务中包含为服务责任兜底的网络安全保险产品。
如今,网络安全企业、保险公司、保险科技企业等多方主体正积极投身网络安全保险产品形态和服务模式创新,助推我国网络安全保险行业快速发展。
作为我国网络安全保险领域的首份政策文件,《意见》围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出5方面10条意见,鼓励保险机构面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。
在奇安信董事长齐向东看来,《意见》将促进网络安全保险创新升级,帮助企业有效规避安全风险。“不同行业面临的网络风险存在差异,安全保障需求也不尽相同。多元化的网络安全保险产品能使企业享受到有针对性的保险服务,提升安全防护能力,最大程度实现风险可控。”
持续开展技术和产品创新
在黄鹏看来,我国网络安全保险市场当前正处于发展初期。社会对网络安全保险的认知尚显不足。从供给侧看,网络安全保险是一个新兴险种,并对销售推广人员提出了较高的专业性要求,目前大部分保险公司的业务人员并不具备网络安全专业知识,因此对该险种的推广力度有限,网络安全保险尚未得到投保企业的广泛关注。从需求侧看,多数企业对投保网络安全保险的认识仅仅停留在传统意义上“在出险后获得赔偿”的层面,仅有部分企业片面了解到其对降低合规风险或实现增信的作用,然而极少有企业了解网络安全保险可提供风险管理服务、监控风险敞口的重要作用。
同时,网络安全保险服务规范也亟待完善。作为典型的“舶来品”,网络安全保险的承保内容尚未达成行业共识,流程机制也还未建立。
另外,赋能保险的安全技术有待加强。在风险评估方面,传统意义上的网络安全风险评估多为定性分析,缺乏针对风险发生概率、损失类型以及损失规模的预测,难以转化为适用于核保评估的定量数据。在风险监测方面,以漏洞扫描、Web应用防火墙等为代表的风险监测方式可能并不完全适用于承保过程中,对新增的脆弱性及潜在威胁的持续监测,不同机构提供的服务类型与频率、监测的对象和指标也存在较大差异,如何优化并规范风险监测技术仍有待研究。
网络安全保险是网络安全技术和保险服务的有机结合,网络安全技术在网络安全保险业务关键环节中发挥着重要作用。网络安全保险作为一个跨行业融合创新的新险种,不仅需要保险机构提供专业支持,也需要网络安全企业提供相关技术,赋能网络安全风险事前、事中、事后管理的全流程,如风险评估、风险监测、攻防演练、应急响应、事后恢复等。
《意见》聚焦网络安全风险量化评估和网络安全风险监测两方面,强化网络安全技术赋能保险发展。
一方面,应开展网络安全风险量化评估,探索建立网络安全风险量化评估模型,开发轻量化网络安全风险量化评估工具。同时,鼓励建立网络安全风险理赔数据库,支撑网络安全风险精准定价。
另一方面,加强网络安全风险监测能力,开展网络安全保险全生命周期风险监测,覆盖事前、事中、事后等重要环节,充分利用网络安全风险监测技术手段,针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测,及时发现网络安全风险隐患。
“网络安全险的保费与网络安全厂商的安全技术创新能力成负相关,技术创新能力越高保费越低,这对厂商的技术实力提出了重大考验。”齐向东强调,“为了深度参与网络安全保险产业,网络安全厂商必须根据不同行业的特点,持续开展技术和产品创新。”
加快构建网络安全保险标准体系
目前,我国还未有明确的网络安全保险相关的国家标准和行业标准,一些网络安全专业机构和行业龙头企业也在积极推进网络安全保险基础类、应用类标准研制。
黄鹏建议,下一步应加快构建系统、科学、规范的网络安全保险标准体系,加强对网络安全保险发展的指导和规范。面向基础概念,统一规范网络安全保险相关专业定义、术语表达,促进网络安全保险产品条款标准化。面向主要业务环节,制定网络安全风险量化与核保评估、网络安全风险管控与防灾减损、网络安全事件处置与理赔鉴定等服务规范。面向不同行业领域,结合电信和互联网、工业互联网、车联网等具体行业领域的网络安全风险特点,保障范围、业务模式的差异,明确上述业务环节对应的网络安全技术要求。
《意见》提出,加快标准研制,研究建立网络安全保险标准框架,加快关键亟须标准制定。具体来看,要健全网络安全保险标准规范。支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,统一行业术语规范,明确核保、承保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求;承保中网络安全监测管理服务相关标准,规范监测预警方法;承保后理赔服务实施要求相关标准,规范网络安全保险售后服务。(记者 崔 爽)