(图片来源:图虫创意)
你的网络安全吗?
当下,在中国大力推进信息基础设施建设和互联网普及应用的背景下,各行各业的数字化进入快车道,随之衍生的问题,在于网络安全的保障。作为风险转移的重要工具,网络安全保险逐步发展,但与国际的成熟市场相比,我国网络安全保险仍处于探索期。
(资料图片)
近日,这一险种的发展迎来提速期,继9月上海发布上海发布国内首个网络安全保险行业团体标准《网络安全保险服务规范》后,近日,工信部发文,对网络安全保险规范健康发展的相关意见进行公开意见征集,从政策层面助推网络安全保险发展。
对于网络安全保险的进一步发展,在供给端,关键在于产品和服务的创新,如产品,聚焦于风险场景差异,围绕电信和互联网行业典型事件,以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。另一方面,在供给端,业内呼吁可在财政政策方面提供鼓励,鼓励提供保险减税、保险购买补贴等政策,也有企业建言,可针对网络安全风险大的行业、关涉公众重要隐私信息领域,通过立法形式强制企业购买网络安全保险。
网络安全风险处置待“外部化”
近年来,各个行业均在积极推动数字化的创新与转型,在此过程中,正面临信息流转环节的大幅增长,业务向大规模网络化迁移,与此同时,云计算、移动终端、大数据和社交媒体等新技术运用也给网络安全带来前所未有的挑战。当前,网络风险正以快速升级和扩散的态势呈现。
据McAfee估计,网络事件每年造成的全球经济损失在4450-6080亿美元之间,约占全球GDP的0.59-0.8%。就中国而言,平均每年在网络安全领域的损失高达600亿美元。企事业单位因网络安全事件导致的处罚和处理成本也在不断加大。
“企事业单位在面临网络安全风险时,传统的处置方法是以技术手段对抗技术入侵,通常是通过升级或购买网络安全产品、强化安全管控、加强数据备份等进行简单强调和灾前预防。但缺乏对网络安全风险实际发生后的降灾减损的措施。因此,企业可利用网络安全事件外部处理手段,即配置网络安全保险产品,降低或转移网络安全事件实际发生后造成的实际损失”,国任保险科技保险研发部网络安全险负责人向蓝鲸保险介绍道。
根据《2022年全球网络安全保险市场报告》显示,2021年网络安全保险市场规模为92.9亿美元,2022年约为119亿美元。在海外,网络安全保险覆盖已相对完善,成为企业标配。但在我国,基于多数行业及企业的网络安全风险意识淡薄,网络安全建设投入普遍不足,对于网络安全保险的投入预算更是基本处于空缺状态。根据国家工业信息安全发展研究中心测算, 2021年我国网络安全保险的保费规模约是7080万元左右,已较上一年增长3.2倍以上。
“现阶段,网络安全保险市场在我国的发展还存在很多的难点,如投保企业比较少,风险分散能力有限,法律法规缺失,网络安全风险意识淡薄,风险量化能力比较弱,精算模型的定价能力不足等等”,众安保险相关负责人向蓝鲸保险分析指出。
缺口也意味着机遇,在此背景下,工信部会同银保监会起草《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,其中明确提出完善网络安全保险政策制度,健全完善财政政策,鼓励提供保险减税、保险购买补贴等相关内容,从政策端为网络安全保险的长足发展打好地基。
行业也在推进网络安全保险发展的配套动作,今年9月,在上海银保监局和上海市经信委的指导下,上海市保险同业公会发布了国内首个网络安全保险行业团体标准《网络安全保险服务规范》(以下简称《规范》),对保险公司开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求。
产品服务创新“突围”探索
在明确要建立健全网络安全保险政策标准体系的同时,《意见》也明确提出,要加强网络安全保险产品服务创新。
在产品端,鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。面向网络安全服务开发职业责任险等产品,降低专业技术人员在安全服务过程中因人为操作可能引发的安全风险。
“保险公司可聚焦于风险场景差异,持续推动产品创新”,国任保险科技保险研发部网络安全险负责人提出,包括围绕电信和互联网行业典型事件,以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。
众安保险相关负责人同时提出,“目前中国网络安全保险以服务企业为主,原因在于大型企业对于网络安全保险的付费意识更强,而长期以来中小企业和个人的保险意识相对缺乏,导致网络安全保险在相关领域尚未形成市场。这可能也是当前网络安全保险市场面临的主要挑战之一。”
由此,从投保主体角度考量,针对小微企业网络安全风险提供保障,也是未来产品创新考量的维度之一。
与此同时,服务端的创新意见在于:鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。充分发挥保险公司、再保险公司等保险机构专业优势,联合网络安全企业等加快保险与网络安全服务融合创新。充分发挥网络安全企业、专业网络安全测评机构技术优势,联合保险公司提升网络安全保险服务能力。
据业内介绍,目前在进行网络安全保险解决方案设计时,保险公司一般与第三方进行合作,形成优势互补。而对于服务的供给,所合作机构的资质、服务的规范与能力评价标准均待进一步完善。
在9月上海发布的《规范》中也提出,保险人在选择合作机构时,应确保其具有相关行业主管部门规定的经营资质。其中,网络安全服务机构选择标准可参照网络安全保险服务技术相关标准。
同时,网络安全保险的安全技术服务规范标准及服务能力评价标准目前正在制定中,将指导网络安全保险定点服务商开展相关安全服务支撑工作,并帮助相关方识别、评价各类网络安全保险服务供应商的能力。
需求端待激发,业内期待补贴政策出台
围绕网络安全保险,值得关注的还有需求端对市场的激发,而现状是,企业消费者对如何使用保险来保障自身网络安全的理解尚不足。例如,据众安保险相关负责人介绍,保险条款中可能出现较多专业技术术语,加大了大众消费者对于保险条款理解的难度。同时,大众消费者对网络安全问题或带来的经济损失的理解及关注度较低,也加大了该类产品在市场上的销售难度。
在此前提下,国任保险科技保险研发部网络安全险负责人建议,可继续强化网络安全立法规范和行业监管,明确网络安全事故相关责任界定。“在法律层面确定单网络安全事件发生后,企业不仅需要承担给第三方造成的赔偿责任,还会面临监管部门的罚款,高额的赔付成本促使企业对网络安全保险的需求增加。”
另一方面,用户触达与体验,才是形成用户转化的关键。《意见》也明确提出,拟面向电信和互联网、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网等新兴融合领域,围绕网络安全与信息技术产品服务供给侧和需求侧两类主体,开展网络安全保险服务试点,形成可复制、可推广的网络安全保险服务模式,促进网络安全保险推广应用。
在需求端,财税政策的利好,是业内的共同期待,工信部在《意见》中提出,要推动健全完善财政政策,鼓励提供保险减税、保险购买补贴等政策。进一步落地执行,还待具体的政策完善。
《意见》也明确,鼓励重点行业企业完善网络安全风险管理机制,推动电信、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具,有效转移、防范网络安全风险,提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险监控风险敞口,建立健全网络安全风险管理体系,不断加强中小企业网络安全防护能力。
由此看来,或进一步在政策端为重点行业企业及中小企业配置网络安全保险提供支持。
国任保险科技保险研发部网络安全险负责人补充道,针对网络安全风险大的行业、关涉公众重要隐私信息领域,通过立法形式强制企业购买网络安全保险。
“网络安全相关问题正在困扰大量的企事业单位,但受困于市场规模有限,保险公司推进的积极性不高。此次征求意见稿的发布,为财险市场推进网络安全保险产品提供政策东风,下一步,借力于各地工信部门及银保监局的协同发力,网络安全保险或迎来快速发展”,一位保险业内人士表达期待。(蓝鲸保险 石雨 shiyu@lanjinger.com)