从道德风险视角看网络安全保险市场的挑战

2020-09-16黄建莲

华北科技学院学报 2020年3期

关键词：保险市场投保人保险公司

黄建莲

(华北科技学院经济管理学院，北京东燕郊 065201)

0 引言

数字时代，人们越来越关注信息和网络相关的风险，最主要的原因是，包括政府和企业在内的机构的越来越依赖信息和技术，以执行服务交付的业务流程。如果这些系统出现故障，将带来直接和间接的经济损失，最终危及组织的可持续发展能力。

网络犯罪是形成这种风险的一个非常重要且直接的原因，来自美国国际集团(AIG)的最新网络安全报告显示，金融服务、能源、电子通讯、医疗及信息技术最有可能成为系统性网络攻击的行业对象[1]。

根据美国联邦调查局网络犯罪投诉中心的年度报告，自2003年以来，美国涉及的主要欺诈类别统计数据见表1。

表1 2003-2016年美国涉及的主要网络欺诈类别

近年来，人们还对网络风险进行了其他分类，试图捕捉此类风险管理可能涉及的损失过程事件类型。例如，Cebula和Young(2010)的“操作网络安全风险的分类”等。

但各种应对措施和网络安全策略并不能保证不受网络攻击的影响。换句话说，组织总是面临一些残留的网络风险。在此情况下，网络安全保险被广泛认为是一种补充性的方案，即通过风险转移覆盖被保险人在自身系统安全措施之外的剩余风险。例如，数据泄露保险(data- breach insurance)是网络保险的一种，它赔偿被保险人因信息泄漏事件而遭受的损失，相关的早期研究包括Gordon(2003)、Baer和Parkinson(2007)等。Meland(2015)提出，企业要使用双管齐下的方法来管理网络安全风险：首先投资于安全技术，然后购买网络保险来覆盖剩余的网络安全风险[2]。

从网络安全保险的需求看，市场普遍持乐观态度。如世界经济论坛白皮书曾提出，预计到2020年，包括网络安全保险在内的网络安全市场的产值将达到1700亿美元，且将保持至少10%至15%的年增长率[3]。

然而在我国，现实情况是网络安全险不仅产品数量少、形态单一，而且价格需要定制。相关研究分析认为，可能存在的原因主要是：一是建模难，对于动态变化的网络风险，如Kovacs(2004年)认为产品定价对保险公司是巨大挑战[4]；二是与发展相对成熟的美国来说，我国保险市场不成熟，能够提供服务的保险运营商非常稀少；三是相关数据隐私和安全法律不完善。

本文认为，除了上述因素外，网络保险蕴含的道德风险同样不容忽视。道德风险普遍存在，通常指“从事经济活动的人在最大限度地增进自身效用的同时做出不利于他人的行动。”在网络安全保险市场，由于保险公司网络安全专业知识不足，以及信息不对称的原因，主要体现为挤出效应和索赔不足两个方面。挤出效应是被保险人投保后，将发生网络风险可能会带来的经济损失完全转嫁给保险公司，而后者难以对安全投资做出准确的评估，进而降低了整个社会的安全水平。逆向选择则是由于网络风险不仅会带来直接损失，还会带来包括客户流失等在内的长期隐性伤害，从而导致被保险人做出不予申请赔偿的决定，长期中抑制市场的投保意愿。

上述问题是否能够妥善解决，将直接影响到保险公司、投保人和监管机构的态度，并对网络保险市场的发展形成制约。在接下来的论述中，将对这两种风险尝试通过建模和文献回顾来加以说明。

1 挤出效应

在没有网络安全保险的情况下，企业为保证信息系统和数据安全，必须对网络安全设施和软件进行投资，网络保险的出现对此是一个替代和补充。但这两种效应，哪个更强一些呢？文献Ogut(2005)、Pal(2014)、Shetty(2010)表明，在没有政策影响下，网络保险不是自我保护的激励和补充。事实上，投保人更愿意为他们的风险投保，而不是通过自身增加安全投资来降低风险。在这一点上，保险公司由于信息不对称的原因，很难对被保险人的安全投资做出约定和评估，客观上，本应提高网络安全的保险，反而挤出了安全投资，这无疑提高了对整个社会受到恶意网络攻击的风险。而这同时也影响到了保险公司承保的积极性，逼迫他们采取更为保守的策略，如限定保费赔偿上限等，如此反过来，则又限制了整个网络保险市场的发展。

下面我们用一个简单的数学模型来分析。

设W0为网络安全保险投保人的初始财富，其需要预测未来一段时间(例如1年)的收入变化。一般意义上，投保人并不知道网络风险是否会发生，但其可以通过对安全措施的投资(x)来降低被攻击的可能性。由于不确定性的存在，投资后的财富是随机的。可以预测的前提是知道风险发生的概率p(x)及可能带来的损失L，概率p是投资额x的函数，高的投资额会带来较低的风险发生概率，即p′(x)<0。同时，随着x的增加，风险概率降低的边际收益递减，即p″(x)<0。在这种情况下，如果发生网络攻击等安全风险事件，最后的损失也是一个随机变量S。如果事件发生，则S=L；否则，S=0。

定义E(W)为投保人在未来一段时间后的财富期望值，其等于初始财富减去损失发生的期望值E(S)和安全设施投资额x。损失发生的期望值E(S)由一个二元的伯努利分布(the Bernoulli distribution)决定，受到攻击时为L，概率为p(x)；不受攻击时为0，概率为1-p(x)。根据期望值的计算公式：

E(S)=p(x)L+(1-p(x))(0)

(1)

E(W)=W0-E(S)-x=W0-p(x)L+[1-p(x)](0)-x

(2)

设U(W)为效用函数，可以看作是投保人拥有一定数量财富得到的满足。效用函数不是线性的，而且在许多情况下，随着拥有财富的增多，效用的增加速度降低，可以用满足以下条件的效用函数进行建模：U′(W)> 0和U″(W)< 0。定义E(U(W))为效用的期望值：

E(U(W))=p(x)*UL(W0-L-x)+(1-p(x))UN(W0-x)

(3)

本文中使用了与Ogut类似的一种普遍形式。然而，效用函数不一定是一个不变的绝对风险厌恶(CARA)效用函数。我们下面分别分析无保险和有保险两种情形。

1.1 无保险情形

首先，考虑没有保险的情况。

如果没有风险发生：

UNN=U(W0-x)

(4)

如果发生风险：

UNL=U(W0-L-x)

(5)

这种情况下，期望效用是：

E(U(W))=p(x)UNL+(1-p(x))UNN

(6)

通过对x取一阶导数，寻找最优解xN：

(1-p(xN))U′NN-p′(xN)UNN=0

(7)

p′(xN)(UNL-UNN)=p(xN)*U′NL+(1-p(xN))U′NN

(8)

(9)

上述方程的解将提供在没有保险情况下，自我保护的最优投资额。

1.2 有保险情形

现在，考虑保险人同意在事故发生时赔偿被保险人的部分损失I(I≤L)。被保险人支付保险费P作为这项服务的费用。保险费通常与赔偿有以下关系：

P=(1+λ)p(x)I

(10)

其中，λ是市场垄断程度，这个程度可近似看成是保险公司要求的保费。如果保险市场是一个完全竞争的市场，保险服务是同质的，则λ=0。

首先来看在有保险服务情况下的效用函数：

如果没有风险发生：

UIN=U(W0-p(x)(1+λ)I-x)

(11)

如果发生风险：

UIL=U(W0-L+I-p(x)(1+λ)I-x)

(12)

期望效用为：

E(U(W))=p(x)UIL+(1-p(x))UIN

(13)

类似的，在完全竞争市场上，通过上述方程，可以寻求最优的投资水平：

(14)

比较有保险情况下的xI和无保险情况下的xN，我们希望可以确保在有保险情况下安全投资要高于无保险情形，即：

xN≤xI

(15)

但大量研究如Ogut(2005)、Pal(2014)、Shetty(2010)等的论文均证明，网络保险会减少投保人的网络安全投资，即：

xN>xI

(16)

换句话说，网络安全保险挤出了投保人的安全投资，从而带来相关的道德风险。在一个完全竞争的保险市场(λ=0)中，保险产品同质化，保险公司难以在定价上针对不同安全投资水平的被保险人做出差异化的保费安排，从而无法降低上述挤出效应。一个可能的措施是提高保险公司的议价能力，一个不完全竞争的保险市场可能比完全竞争市场更好。对此，需要在进一步的研究中通过在模型中就不同λ值进行建模，以验证上述猜测是否合理。

2 逆向选择

一般情形下，发生损失的时候，投保人通常都会及时通知保险公司理赔，并将试图获得最大限度的赔偿金额。

但网络保险与此存在一个重要区别，即一旦发生网络风险，投保人会做出两个艰难的决策：是否以及如何以最佳方式索赔。决定这一不同的原因是，网络风险对投保人存在间接损失，而这种间接损失很多时候对投保人的伤害更大，也更为长远。

当网络风险发生时，投保人将遭受系统停机和数据泄露，进而中断产品生产和服务的提供，带来直接的经济损失和时间成本。这种损失相对而言易于评估，同时也能够以相对较短的时间来恢复。

但网络时代背景下，数字开始成为许多公司越来越核心的资产，其商业运营也更多的依赖于系统的稳定和数据的安全。如果受到威胁，除了直接损失之外，长期的商誉和顾客信任也间接受到伤害，如果是上市公司，则会对其股价形成打击。如Campbell(2003)、Cavusoglu(2004)等研究认为，披露一个网络风险事件可以从多方面对公司的股价和市值产生负面影响。Ponemon(2008)发现，数据泄露会导致客户的异常流失，这可能占数据泄露总成本的52%。Ernst and Young(2008)认为，与网络安全事件相关的两个最重要的问题是声誉和品牌的损害，以及利益相关者信心的丧失。Hartwig and Wilkinson(2014)以美国为例，发现企业因网络入侵而遭受整体声誉和商誉损失[5]。

尽管存在令人难以忽视的间接损失，但大部分的网络保险却并不为这样的损失提供保障，而要由投保人自己来承担，这就带来一个容易被忽视的问题。虽然投保人往往(在大部分国家)被要求公开披露涉及个人身份信息丢失的网络风险，但其他风险往往没有被报告。Kovacs(2004)发现，很多公司担心消费者的信任会随着网络攻击的发生而恶化，对“负面宣传”的恐惧是不报告已发生网络安全威胁的三大原因之一。在美国，CSI/FBI的调查曾经发现，约90%的受访者发生了网络风险和计算机安全漏洞，但只有34%的人报告了这些损失。

简而言之，网络保险存在未提出索赔的现象。安永2003年的全球信息安全调查(Global Information Security Survey)指出，部分IT经理担心，提出保险索赔可能会暴露安全和情报信息。Baer(2004)的研究还表明，“客户担心如果他们的IT系统漏洞被揭露，会损害公众形象，因此他们不愿提出索赔”[6]。

上述文献回顾和讨论表明，网络保险索赔决策可能是复杂的，并且可能需要计算扣除间接损失索赔的应收赔偿额。Moore(2005)认为，这种索赔不足的行为引发了一个基本的需求侧问题，即类似于信息不对称的隐藏行为问题[7]。此外，间接损失的存在也给保险公司造成了一个困扰的定价问题：保险公司是否应该为这种可能的索赔不足行为定价，以免合同双方计算的预期赔偿不同，从而使得保费结构显得不正常?

对于索赔不足行为，首先需要分解网络风险的两种不同形式：共性风险和个性风险。

个性风险是利用投保人自身的系统漏洞造成的。例如，微软Office系统软件一直是电脑上最为常用的办公软件之一，在国内外都拥有大量的用户。2018年，曝光了RTF漏洞CVE-2017-0199，产生了大量利用该漏洞的钓鱼邮件，邮件附件中携带了 CVE-2017-0199漏洞利用程序，一旦收件人在未打补丁的电脑上打开附件中的Doc 文件，就会感染Loki Bot僵尸网络木马[8]。观察到一个个性风险的发生，利益相关者就可能会降低他们对公司产品安全状况的看法，从而遭受额外的损失。可以理解的是，这些个性风险往往有被掩盖的动机，规模较小的风险可能会逃过公众的眼睛，而不在会计准则、合规要求和监管义务的范围内向利益相关者披露违约信息，如果投保了网络保险，也就相应的存在放弃理赔的动机。

系统风险的产生往往是受影响的公司没有合理的或已知的方法来抵御，尤其是当攻击是通过商业网络和第三方软件传播(如购买了Office系统的公司)。系统入侵的区别特征是：

(1) 没有特定于公司的恶意意图；

(2) 没有特定于公司或特定于IT安全程序的漏洞被利用。

这些攻击发生时，受影响的公司没有动机，有时也没有能力去掩盖已经发生的风险和损失。基于这样的认识，一般被认为是使用IT系统和在从事互联网商业行为的标准风险，甚至是不可避免的商业成本。

上述分析为我们带来一个认识，即网络保险由于区别于传统保险的特征，其索赔和投保往往是异常复杂的，部分原因是信息不对称，或者说IT和网络知识不对称，以及监管不够全面和具体造成的。由此带来的索赔不足会对网络安全保险市场的发展形成威胁：投保人倾向于对系统风险造成的损失投保，但保险公司却难以区分其中的差异，往往倾向于不做任何区分，这种差异会影响到双方对保险合同的共识，长期中会抑制投保人的投保意愿，从而影响网络保险市场的发展。