安联全球企业及特殊风险（AGCS）

7 年前，网络安全风险在安联风险指数的排名还低位游走在第15 位，而近年来，网络安全风险几乎年年排名居首或接近榜首。该指数是一项年度调研，统计来自100个国家超过2700 名风险专家对企业未来12个月及以后面临的首要风险的预测判断。网络安全方面索赔的明显增加，不仅源于网络保险市场发展的推动，还受到包括数据泄露、分布式拒绝服务攻击、网络钓鱼活动以及勒索软件增多等事件的影响。人为错误和技术故障也是主要因素之一。

与此同时，当今企业及保险人还面临快速演变的风险环境，新冠疫情的暴发又进一步加剧了这种态势。虽然新冠疫情的暴发并不是网络安全相关索赔增长的直接原因，但由于远程工作变多、家庭办公的网络安全保障措施可能不够健全，在疫情大流行期间，网络安全风险一直在上升，特别是勒索软件和商业电子邮件诈骗类事件。虽然AGCS已开始观察到一些索赔可间接归因于新冠疫情导致的商业格局转变，但要断定这是一个更广泛的趋势还为时过早。

然而，不管出于外部网络攻击、人为错误还是技术故障，所造成的营业中断损失是网络安全索赔发生的主要原因，赔案金额占到所统计的赔案总金额的60%左右，紧随其后的是处理数据泄露产生的损失所需的支出。尽管近年来企业在网络风险意识方面取得了巨大的进步，但仍有许多公司往往在事故发生之后才意识到自己的数字资产有多么重要。本研究重点介绍了目前主要的网络风险趋势，以及企业如何更好地避免或降低此类风险事件的影响。

一、后疫情时代的安全措施松懈加剧了网络风险

新冠疫情的暴发导致了历史上最大规模的居家办公，这也给了犯罪分子利用漏洞的新机会。为了应对疫情突发事件，许多企业通常在很短的时间内就扩大了远程工作部署，为尽可能多的员工提供访问公司软件和系统的权限便利，不得不降低甚至暂停执行IT安全标准，迫使网络安全承受前所未有的新压力。根据网络安全公司Arceo 的研究，受访的250 家企业（年营收在2.5 亿美元至20亿美元之间）的首席信息安全官几乎一致认为，远程工作时的安全措施不可能像在办公室时那样严格。

安全措施松懈的潜在后果就是网络犯罪分子和黑客更容易渗透到原先受到有效保护的企业系统中，造成数据泄露、网络勒索入侵和IT 系统故障。受访的首席信息安全官们表示，居家办公期间，云使用、个人设备使用以及未经审查的应用程序及平台是当前面临的最大威胁。同时，50%到90%的数据泄露是由员工自身的工作失误，抑或是被网络钓鱼或社交工程诈骗导致的。

国际刑警组织（INTERPOL）的数据显示，在2020 年，恶意软件和勒索软件事故已经增加三分之一以上，同时网络钓鱼、诈骗和欺诈行为也增加了50%。急于采用新的云系统和远程访问解决方案也会造成数据泄露案件增加。在四个月的时间内，国际刑警组织的一个私营部门合作伙伴监测到了约907000 封垃圾邮件、737 起恶意软件事件以及48000个恶意URL——皆与新冠病毒主题有关。

特定行业也报告了相关事件的增加。在美国，由于数以百万计的员工居家办公，其中包括那些负责维护关键基础设施的工作人员，这导致疫情期间针对电网的网络攻击激增35%。这种攻击可能引发的最坏后果是停电或重要设备的损坏。2020 年5 月，英国的电网数据系统遭到黑客攻击，不过电力供应并未受到影响。2020 年3 月，欧洲电网运营商协会ENTSO-E遭到攻击，其内部办公系统受到影响。有报告称，自疫情大流行开始以来，针对海洋和海上能源领域的网络攻击增加了400%。

迄今为止，AGCS 仅看到少量与新冠疫情有关的网络索赔，但随着犯罪分子继续加大活动力度且开发出更成熟的技术，网络犯罪导致的索赔可能在不久的将来进一步加大。

随着远程工作兴起和经济衰退下的商业环境转变，再加上网络钓鱼、勒索软件攻击和不安全的远程网络访问带来的损失成本，商业电子邮件诈骗事件或将继续增加。以新冠病毒为主题的网络诈骗和旨在利用公众对疫情大流行的关注的网络钓鱼活动将继续作恶。

疫情大流行对企业的数字化发展、远程办公以及更多依赖在线销售等都将产生长期影响，企业为应对新冠疫情采取的这些措施也意味着网络安全风险将以不同的形态和形式演变。

二、营业中断和数字供应链更加脆弱

由于对技术的日益依赖，供应链中的网络风险也越来越大，数字化中断已成为网络安全损失中不容忽视的因素。

网络安全事件发生后的营业中断（BI）已成为企业的主要关注点。AGCS通过分析网络安全赔案，发现在大多数情况下，营业中断是造成企业经济损失的主要原因。无论是勒索软件、人为错误还是技术故障，关键系统或数据的丢失都会让一家企业在当今数字化经济中陷入困境。

新冠疫情暴发前进行的“安联风险指数2020”调研显示，网络安全和营业中断现已成为企业面临的最首要的两类风险，而且它们之间的关联性越来越高。在包括银行和航空公司在内的多个行业发生大规模中断事件后，这种观点更是深入人心。与此同时，勒索软件攻击，如2017 年NotPetya 恶意软件和Ryuk 勒索事件，已经给制造业、服务业以及公共部门组织造成了严重的破坏。

数据或“商业情报”的丢失正在成为主要的损失原因。长时间无法访问数据可能会对企业收入产生重大影响，例如，一家公司无法接收订单。值得关注的大型营业中断赔案之一就是2019 年欧洲媒体公司遭遇的火灾事件，该起案件中索赔金额的很大一部分与数据失效和为恢复数据所产生的成本有关。

数字供应链为提供服务及货物都带来了巨大好处。技术化的共享平台使数据能够在各方之间交互，使行政事务和订单自动化，并按需运输产品。但是，此类平台可能会产生连锁反应，使得营业中断遍及整个部门。如果平台由于技术故障或网络事件而无法使用，则可能给所有依赖并共享同一系统的公司带来巨大的营业中断损失。2019年6 月，谷歌部分云服务发生的故障给包括YouTube、Uber 和Snapchat 在内的多家大型在线服务提供商造成了数小时营业中断的灾难性后果。2017年，亚马逊网络服务在北美地区发生4 个小时的故障，给标准普尔500强企业造成了约1.5亿美元的损失。

就在五年前，AGCS 等保险公司的网络安全保险理赔团队还主要关注数据泄露以及由此产生的第一方损害和对第三方承担的责任。但随着企业对技术的日益依赖，对第一方和营业中断保障的关注越来越多，理赔部门需要逐渐具备跨学科的职业能力（包括但不限于业务持续性、法务、会计等专业知识）。

三、勒索软件是如今最突出的网络犯罪威胁

勒索软件攻击正日益成为网络安全损失的最大原因之一。事实上，欧盟的执法机构EUROPOL正将其视为最突出的网络犯罪威胁。

已然高发的频率，加之越来越大的破坏性，勒索软件攻击以其复杂的攻击手段和巨额勒索要求正更多瞄准大型企业。五年前，典型的勒索软件赎金约数万美元，如今这一数字可以达到数百万美元。网络攻击的后果可能使企业陷入瘫痪，特别是那些依靠数据提供产品和服务的企业。同时对供应链中的其他环节，如关键基础设施，也会造成重大损失。

根据安全软件供应商Emsisoft 的估计，2019年全球有近50万次勒索软件入侵报告，仅在勒索赎金方面就给企业组织造成了至少63亿美元的损失。据估计，处理此类事件的总成本远远超过1000 亿美元。赎金只是其中一部分，勒索软件导致的营业中断经济损失才是最严重的。随着停机时间越来越长，恢复系统和数据的相关成本会非常高昂。一项关于欧洲网络安全保险损失的最新分析显示，修复支出的成本与索要的赎金相近；而营业中断损失的占比是前二者的4到5倍。

在某些情况下，勒索软件仅仅是真实目的下的烟幕弹，例如以个人数据窃取为目的的案件。在2020 年1 月至6 月期间，ID Ransomware 网站收到的100001 份上传信息是与勒索软件团伙攻击企业和公共部门组织有关的，其中11642 个（约11%）实际上是与公开窃取数据的团伙相关联，且真实数字可能更高。

攻击方式上也已经超越了前几年常见的散兵游勇式的大批量网络钓鱼攻击，资金雄厚的有组织的网络犯罪团伙对大公司发起更加复杂和有针对性的攻击，以期索取高额赎金。

近年来，网络保险索赔的主要案例有诸如Ryuk 恶意软件等事件，以及2019 年针对全球铝生产商Norsk Hydro的攻击，其员工一度不得不依靠笔和纸办公。Ryuk 于2018 年8月首次见诸报端，发动多次对全球大公司、医院和地方政府的网络袭击。此类攻击计划周密，黑客花时间识别和瞄准关键网络系统，力求最大限度地提高攻击的影响层面和赎金数额。

考虑到受疫情影响居家办公人数上升，而家庭网络安全保障措施可能不如工作场所，可以预计到未来会出现更多的恶意软件和勒索软件攻击，新冠疫情大流行的背景也加剧了这种威胁。自2020年初以来，各地所报告的恶意软件和勒索软件事件已经增加了三分之一以上。

“网络黑客商业化”也导致了更多安全事件发生。越来越多的网络犯罪分子采取“特许经营”模式，将恶意软件卖给其他攻击者，然后针对企业要求支付赎金。这使得高端黑客工具能够更加广泛地利用网络漏洞犯罪。

四、商业电子邮件诈骗攻击激增

一段时间以来，商业电子邮件诈骗（BEC），或称网络欺诈攻击的频率一直在增加，且由于经济衰退和新冠疫情暴发推动的商业环境转变，这种情况仍会持续激增。更多的人居家工作意味着会滋生新的犯罪活动机会。根据FBI 的数据，在疫情大流行之前，BEC事件自2016年以来已经在全球范围内造成了至少260亿美元的损失。2018年5月至2019年7月，全球BEC事件数量翻了一番，平均经济损失约27万美元。

BEC 攻击通常涉及社交工程和钓鱼式电子邮件，以欺骗员工或公司的高级管理人员，使其透露登录凭证或进行欺诈性交易。随着时间的推移，BEC 攻击已经变得越来越复杂，犯罪分子现在多使用欺诈性电子邮件和伪造账户来模仿高级管理人员、供应商或客户，以获得对公司IT系统的访问权限。在过去，BEC 攻击的重点是欺诈性的资金转移，但如今它们也被用来窃取有价值的数据或进行账户接管的攻击。

五、特大数据泄露的代价更大

随着IT 系统和网络世界变得越来越复杂，以及云计算和第三方服务的增长，大型数据泄露事件的应对成本正在上升。监管问责是推高成本的关键因素，同时第三方责任和潜在的集体诉讼风险的增加也是驱动因素。

尤其是所谓的特大数据泄露事件（涉及超过100万条记录），发生频率和付出的代价也更大。2019年7月，Capital One遭遇了银行业史上规模重大的一次泄露事件，美国约有1亿客户受到影响，超过全国人口的30%。美国银行监管机构也对其罚款8000万美元。然而此次事件还不是近年来最大的一次。

据报道，2018 年万豪酒店集团和信用评级机构Equifax 在2017 年发生的数据泄露事件，分别涉及超过3 亿和1.4 亿客户的个人数据。两家公司都面临着多个司法管辖区的诉讼和监管行动。英国数据保护监管机构宣布计划对万豪酒店集团的数据泄露事件罚款1亿英镑（约1.3亿美元）。此外，英国航空2019年7月宣布，其因2018年数据泄露事件（50 万名客户受到影响）被处以1.83亿英镑（约2.4 亿美元）罚金。然而，在考虑到新冠疫情造成的经济冲击后，英国航空最终只支付了2000 万英镑（约2600 万美元），但这仍是英国信息专员办公室（ICO）开出的最大罚单。

尽管如此，根据Ponemon研究所的数据，现在一个特大泄露事件的平均成本为5000万美元，比2019年增加了近20%。对于超过5000万条记录的数据泄露，成本估计为3.92亿美元，较2019年略有上升。

六、国内外监管力度趋严

数据保护和隐私监管的范畴和地域范围都在不断扩大，这对收集和使用个人数据的组织提出了更严格的要求，对消费者权益的保护力度和对违规行为的处罚力度都得以提高。

在美国，数据泄露后企业须履行通知义务早已成为网络保险损失及购买网络保险的重要推动因素。2002年，美国加利福尼亚州出台了第一部这样的法律，而阿拉巴马州则在2018年成为第50个制定数据泄露通知法案的州。近年来，其他国家和地区也纷纷效仿，澳大利亚和加拿大在2018年出台了数据泄露通知法，而其他一些国家的步子则走得更远。

2018 年5 月生效的欧洲《通用数据保护条例》（GDPR）改变了游戏规则。这项法律远远超出了向监管机构和个人通报数据泄露的义务标准，并大大提高了消费者权益的保护力度。它规定企业在使用数据之前需获得同意，解释如何使用数据，并在收到要求时删除数据。此后，其他司法管辖区皆效仿GDPR并起草了类似的法律，以美国加利福尼亚州和巴西最为典型，亚洲、拉丁美洲和中东的一些国家也在朝着类似的方向发展。

这些都意味着企业需要更多考虑其在国内外面临的监管风险。例如，GDPR 可适用于处理欧盟公民数据的美国公司，而《加州消费者隐私法》将适用于持有当地公民数据的欧洲公司。

GDPR催生了更多保险索赔的报案。如果从监管处罚的角度观察，根据Pinsent Masons律师事务所的数据，在2019年3月至2020 年5 月期间，欧洲数据保护当局（DPA）共开出190张GDPR罚单，金额近5亿美元。

欧盟法院于2020 年7 月对Schrems II 案件作出的判决也使情况更加复杂。这表明，依据欧盟—美国隐私保护框架（Privacy Shield Framework，又称“隐私盾”）从欧盟向美国传输个人数据已不再合法有效。作为回应，美国商务部和欧盟委员会已经开始有关讨论，以期建立一个符合判决要求的隐私保护措施强化框架。

上述所有都体现了对数据泄露责任的强化以及对数据收集和使用的规范，这对现代企业的存续发展有着重要影响，可期的是监管法规未来将得到更加严格的执行。

七、集团诉讼呈发展态势

如今，许多大型数据泄露事件都会引发监管处罚，同时可能遭受来自消费者、商业伙伴和投资者的起诉。一旦发生这样的情况，法律费用会大幅增加事件总成本。

美国的数据泄露诉讼呈上升态势，一些大型违规事件引发了消费者或投资者的集体诉讼。2019年7月，Equifax就其2017年的特大违规事件和起诉方达成了7亿美元的和解。美国法院一直在应对“法律地位”问题的争议，即索赔人是否有权起诉，但趋势似乎有利于原告。监管法规的变化也有助于主张数据泄露的赔偿。例如，《加州消费者隐私法》为消费者提供了起诉企业的相关法律依据，并开创了美国历史上为数据泄露设定法定损害赔偿的先河。

除美国以外的一些国家已经扩大了集体诉讼的权利。例如，在欧洲，《通用数据保护条例》（GDPR）使数据或隐私泄露的受害者更容易寻求法律救助。此外，原告代理公司和诉讼投资人正积极寻求在欧洲和其他地区提起数据泄露的集体诉讼。

八、公司并购也会带来网络风险

在一些大型数据泄露事件发生后，网络安全风险已经成为并购中的热门话题。例如，2018年万豪酒店集团的数据泄露事件，导致其面临监管机构近1亿英镑（约1.3亿美元）的罚款，该事件的起因是其2016年收购的喜达屋酒店集团在2014年发生过数据泄露。

即使是保护措施完善的公司，如果他们收购了一家网络安全薄弱或存在漏洞的公司，也会遭遇风险。由此带来的结果是收购方仍可能要对并购前发生的事件承担损害赔偿责任。

归根结底，潜在的网络漏洞和风险暴露需要成为企业在并购中更为优先考虑的事项，许多公司在这方面并没有进行足够的尽职调查。同时，交易完成后，很多企业也没能快速处理被并购方网络安全系统中的薄弱环节。

九、国家政治因素也增加了网络安全风险

对企业而言，国家政府卷入网络攻击成为一项日益增长的风险，这些攻击以企业的知识产权为目标，或意图对企业自身造成营业中断或物质损失。大型事件，诸如选举和新冠疫情等，则为网络攻击提供了“良机”。谷歌表示，他们在2020年的每个季度都不得不阻止超过11000次以政府资助做掩护的潜在网络攻击，包括网络钓鱼活动及不太常见的分布式拒绝服务攻击。

近年来，港口、码头、油气设施等重要基础设施也频繁遭到网络和勒索活动的攻击。

随着国家的介入为黑客提供更多的资金，先进的网络攻击技术和恶意软件也可能会流入网络犯罪分子手中。正如NotPetya恶意软件攻击事件，即使企业原不是直接的攻击目标，国家支持的网络攻击也会造成附带损害。

十、风险防范：预备、落实、预防

筹备和培训是最有效的降低风险的方法，可以大大减少网络事件发生的可能性或损害后果。对于很多人为错误导致的事件，可以通过培训来减轻风险，这尤其适用于网络钓鱼和电子邮件欺诈等最常见的网络攻击形式。

培训还能有效减轻勒索软件的攻击，当然维护安全备份也是必不可少的。业务恢复和持续性计划也是降低网络事件影响的关键，但应对计划进行测试、实践和定期审查。

企业应考虑借此机会与保险公司和经纪人配合，组织内外部关键人员进行模拟演练。这样不仅可以建立信任，也能降低危机事后之痛。

要成功减轻网络事件的影响，还需要对企业整体的IT系统和流程进行良好的监督和了解。整体管控机制有利于更快掌握局面。明确的职责分工和沟通，调动所有部门一致执行总体规划，将使应对措施更加有效。

疫情大流行后的格局为企业带来了新的挑战。随着家庭办公的普及，针对网络接入点和潜在勒索软件攻击风险部署安全措施至关重要。同时，因为网络中断对于营业收入会产生重大影响，也要同时定期监测并确保有充足的网络容量。当许多员工进行视频会议时，企业还应该注意带宽的可用程度。

购买网络安全保险是公司提高其网络恢复能力的最后防线之一。如果其他所有措施都不够充分，保险在帮助公司恢复重建方面可发挥至关重要的作用，但它不能代替战略性的风险管理机制。培养员工风险防范意识，以及对系统进行更新和持续监控，毫无疑问应该在任何企业的网络安全工作清单中排在首位。