APP下载

网络安全保险的内涵和发展

2022-02-19徐炜复旦大学中国保险与社会安全研究中心

上海保险 2022年1期
关键词:损失网络安全数字

徐炜 复旦大学中国保险与社会安全研究中心

一、网络安全风险和网络安全保险的内涵

网络安全风险的定义分为狭义和广义两种。狭义的网络安全风险通常只涉及特定类型的网络安全风险,如造成商业破坏和经济损失的恶意攻击、身份盗窃、敏感信息泄露和业务中断等;而广义的则通常相对淡化网络属性,如信息系统失灵或信息安全风险、任何因使用和传送电子资料而产生的风险等。目前在保险学术界,对网络安全风险最为广泛使用的定义是“影响信息技术资产的保密性、可用性和完整性的操作风险”,以便于参照巴塞尔协议和偿二代监管框架对操作风险的分类,同时便于利用已有的操作风险数据库。在此定义下,网络安全风险按风险来源可分为:1.人的行为导致,包括非故意行为(失误、遗漏)、故意行为(恶意攻击、勒索)、缺乏行为能力(缺乏专业知识)等;2.信息系统或技术失灵,包括硬件失灵(内存、硬盘空间不足)、软件失灵(兼容性、环境配置、安全设置)、系统失灵(系统架构设计)等;3.内部程序不完善,包括风险应对程序设计问题(通知预警、日志记录、角色分工等)、风险应对程序管理问题(安全态势监控、测量、检查)、风险应对支持机制问题(人员配置、设备支持、安全培训)等;4.外部事件,包括自然灾害(地震、洪水造成物理损坏)、对外服务依赖(安全服务提供商服务中止)等。值得注意的是,上述第一种风险类型不仅仅局限于外部人员,也纳入了由企业内部员工行为导致的网络安全风险。

相应的,网络安全保险即为一种针对上述所定义的网络安全风险造成相关经济损失的风险转移工具。按损失主体不同,网络安全保险可分为承保第一方损失,即投保人自身的损失的,例如数字资产丢失或损坏,以及承保网络安全风险事故造成的第三方损失的,例如无意传播病毒导致的第三方损失、数据泄露对客户造成的损失等;按产品类型分类,网络安全保险可分为独立保单(通常包含配套网络安全服务)、复合责任保险(与其他财产/责任保险打包成一揽子保险方案)和隐性网络安全风险保障(Silent Cyber Risk Coverage)。隐性网络安全风险保障源自保险条款术语表述的不完善或局限性,隐藏于并未明确免除网络安全风险责任的其他财产/责任保险产品中,因而这是一种潜在的风险保障。例如,营业中断保险中通常没有明确除外由网络故障导致的运营中断事故,董事及高管人员责任保险中通常没有明确除外企业高管在其职业活动中泄露公司机密数据而引致的经济损失,职业责任保险中通常没有明确除外企业职工误删数据、更改数据、中断对第三方电子数据交换的访问等造成的经济损失,这些都属于隐性网络安全风险保障。新冠疫情暴发后,随着物联网设备加速渗透和办公线上化(例如智能家居、智能办公),传统财产/责任保险中的隐性网络安全风险保障,一方面亟需保险行业重视和评估其经营稳健性,另一方面需要尽量减少责任重叠以避免重复保险和可能引起的理赔纠纷。

二、发展网络安全保险的必要性

实现数字经济健康发展,必须有效应对网络空间日益严峻的安全风险。以计算机、网络、通信为代表的现代信息技术革命催生了数字经济。目前,数字技术正广泛应用于现代经济活动中,其提高了经济效率,促进了经济结构加速转变,成为全球经济复苏的重要驱动力。作为我国把握新一轮科技革命和产业变革新机遇的战略选择,发展数字经济正成为新时代中国特色社会主义经济建设的重大历史任务。随着移动互联网和智能设备的快速普及,网络攻击呈现常态化、全球化、大众化的新特点,攻击范围、攻击破坏力日益扩大。网络和数据安全风险不仅关系到公民切身利益,而且涉及保护数字经济发展的关键生产要素。在数字经济时代,数据已成为关键生产要素和重要战略资源,是创造价值的核心资产。没有一个强大、安全和可信的网络空间,数据要素无法高效生产,数字经济无法持续繁荣。

网络安全保险是数字经济安全体系的“血液”和最终风险转移手段。“强化数字经济安全体系”是“十四五”数字经济发展规划的重要内容。网络安全保险的赔偿通常覆盖事后安全漏洞的弥补、系统运营的修复、防病毒软件设计等防御性措施产生的费用,是事故后网络安全费用的实际支付方。从这个角度来看,网络安全保险为数字经济安全体系的健康运行提供资金“血液”,用清偿力支撑我国网络安全产业的快速发展。在当前人类的科技视域下,不可能彻查信息系统所有的漏洞、后门,不可能构建一个“无毒无菌”的网络空间,信息化、智能化与网络安全在动态博弈中辩证统一、相伴相生。网络与数据安全风险的不可杜绝性从根源上对网络安全保险的风险转移功能产生了必然需求。因此,除了事后补偿,网络安全保险通常作为一揽子网络安全服务方案的一部分,担当已有安全措施后的最终风险转移手段的角色。当然,网络安全保险发展的前提是建立标准化的网络安全水平评价体系和相应的网络安全措施实践,这也会产生一定正外部性,倒逼企业在投保前建立符合标准的网络安全防护体系。总而言之,网络安全保险是数字经济安全体系不可或缺的一部分。

三、网络安全保险面临的挑战

当前发展网络安全保险仍将面临种种考验。

第一,如何解决损失发生的随机性问题?从精算标准来看,大数定律下平均损失依概率收敛于期望值需要两个前提,一是单件损失发生的独立性,二是风险池中的保单数量充分大。网络安全风险存在三个特点可能导致其违背这两个前提:首先,IT 行业的规模经济导致当前许多软件、硬件、系统架构等高度同源,容易受到相同网络安全事故的影响,从而导致部分网络安全风险类型(例如DDoS攻击)在不同公司之间存在风险相关性;其次,由于目前我国网络安全保险市场仍处于起步阶段,承保的保单总体数量较少,导致保险公司的风险分散不足,同时也缺乏再保险风险分散力量的支持,但这一点会随着市场的持续高速增长而有所缓解;最后,网络安全风险往往动态性较强,算法更新、系统或设备升级都可能引起企业网络安全风险出现根本性变化,破坏事故发生的随机性。

第二,如何达成网络安全投资激励和网络安全风险保障的平衡?这种平衡的重要性体现在两个方面。首先,作为典型的事前道德风险,投保后网络安全投资激励不足可能威胁网络安全保险的持续经营。我们有充足的理由相信,网络安全风险的信息不对称比普通的财产风险更严重。例如:网络安全风险本身更加复杂且具有动态性特征,对于保险公司的理解和评估构成挑战;内部系统和数据资产关乎企业机密,企业在披露相关信息时天然地会更趋保守,投保后保险公司难以及时了解企业的真实网络安全水平。因此,在没有抑制措施的情况下,企业在投保后具备更强的动机减少网络安全投资。其次,从全局看,网络安全投资的正外部性关乎数字经济的整体福利。最近有文献表明,隐私信息具备公共物品属性(Public Goods),这为政府对数据隐私保护的监管提供了理论依据。在数字经济时代,一个人的隐私信息泄露会被第三方用于训练模型并预测他人的行为,进而影响他人的福利。据此,隐私保护措施自然具备正外部性。信息泄露本身是网络安全风险之一,如果接受这一观点,则网络安全投资的正外部性和对于数字经济的重要性毋庸置疑。同时,网络安全风险的相关性强化了这一属性。如果一个企业在网络安全投资决策时出于风险关联会考虑其他企业的网络安全保护情况,那么企业的私人网络安全投资水平会次优。综上所述,如果投保后企业的网络安全投资激励下降,就会给数字经济的整体福利带来负面影响。需要注意的是,网络安全投资激励和网络安全风险保障的平衡并不意味着非此即彼,而是强调网络安全保险产品需要重视和创新网络安全投资激励机制,使其更多地发挥促进网络安全投资的正向作用。

第三,如何看待间接损失和事后道德风险?网络安全事故的直接损失表现为业务中断或瘫痪,包括财产、权利或交易性损失、维修和恢复费用、合同违约成本等,通常发生在风险事故的监测识别、通知、及时处理和事后预防阶段。相对地,间接损失则源于网络安全事故导致利益相关方的信心受损,通常由网络安全事故信息的披露导致企业安全状况评价降低而触发,包括现有客户流失和新客户减少,以及声誉、品牌形象、员工信心、市场地位受损等。不难发现,间接损失往往在事故发生后较长一段时间才产生,并且难以定量测算、损失规模波动大,因此可保性差,往往不被网络安全保险的保障责任覆盖。然而,这种间接损失的保障缺口会导致企业在披露事故则获得赔偿和不披露事故以避免间接损失两者之间权衡,形成事后道德风险。具体而言,只有当披露事故信息后所获得的赔偿大于该举措所造成的间接损失时,企业才会索赔;否则,不披露事故信息以及不索赔才是最优选择。显然,在特定网络风险类型的直接和间接损失联合分布符合一定条件时(例如间接损失为常数),这种权衡会系统性地推高平均赔偿金额。

此外,风险数据缺乏、企业网络安全水平缺乏统一可信的衡量标准被广泛认为是构成网络安全风险建模和准确评估的障碍;对网络攻击的激励也是网络安全保险在产品责任设计时需要抑制的负外部性之一。

四、发展网络安全保险的建议

我国网络安全保险尽管起步较晚,但在目前发展数字经济的新时代重大战略选择背景下更具重要意义。国外发展历史表明,政府监管的引导和支持是提升社会网络安全风险意识、推动网络安全保险发展的重要力量。2020 年以来,我国政府先后出台《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》,网络空间治理进入了新的阶段。目前,我国网络安全保险市场上出现了保障网络金融账户安全、虚拟财产安全、移动支付安全、云服务安全及防御DDoS 攻击风险等侧重部分特定风险类型或保险标的的产品,存在责任覆盖狭隘、产品种类缺乏、条款表述冗杂、风险控制不足、持续经营能力弱等问题。整体而言,作为一款新险种,由于缺乏行业标准规范,我国网络安全保险发展较为缓慢。对此,本文提出以下7条关于发展我国网络安全保险的建议:

1.发展网络安全保险需要网络安全技术范式创新、实现安全功能可定制可度量可检验。网络安全风险概率可测、损失可估是可保的首要条件,是精算定价的重要基础。然而,传统的网络安全技术范式无法在缺乏先验知识的条件下有效应对未知漏洞、未知病毒等未知内生安全威胁,进而难以量化安全可信水平。因此,从根本上推动技术范式创新、落实安全功能可定制可度量可检验,是实现网络安全保险产品创新的充要条件。

2.发展网络安全保险需要构建“保险+风险管理+服务”的综合业态。网络安全保险亦是网络安全服务,事前风险评估、事后风险干预是保险业风险控制的重要手段。由于产业交叉性、数据有限性、风险相关性、技术复杂性等特征,网络安全风险具备更高的信息不对称性,潜在的逆向选择和道德风险隐患更大。为此,网络安全保险产品创新必须与网络安全服务深度融合,转移风险的同时提供更具主动性、预警性、实时性、动态性的安全风险解决方案。

3.发展网络安全保险需要确立中国特色的服务规范,制定企业和行业标准。目前我国正处于网络安全保险发展的初级阶段,起步较晚、缺乏标准。尽管欧美国家发展领先,但由于市场体制、行业生态、网络空间治理等存在差异,不能生搬硬套产品服务模式。为满足我国数字经济安全保障的迫切需求,推进网络安全保险落地,需要加强顶层设计,在借鉴国外发展经验的同时,重视国情,因地制宜,制定具有中国特色的网络安全保险和服务的标准规范。

4.发展网络安全保险需要自上而下推进数据基础设施建设。基础数据对于建立相对准确的网络安全风险经济模型、防止过度夸大网络安全风险具有决定性作用。在网络安全保险发展初级阶段,我们一方面有必要借助公权力推动强制信息披露制度,为网络安全风险情报库提供权威数据来源;另一方面需要建立匿名共享网络安全事故信息机制,在规避隐私问题的前提下推动多源数据融合,共享网络安全感知。

5.发展网络安全保险需要保险、网络安全产业、高校科研机构协同创新。立足当前我国网络空间安全态势,整合跨产业、跨学科多方资源和技术力量,鼓励产学研深度合作,协同攻关网络安全保险领域的风险定义、定价、风控等难点疑点,创新网络安全保险机制和模式,指导行业推出切实满足需求、自有知识产权、保持稳健经营的网络安全保险示范产品。

6.发展网络安全保险需要政府部门大力支持和社会力量积极参与。面对数字经济时代的迫切需求,实现当期和中远期的网络安全保险快速发展不能仅仅依靠行业自身。欧美国家网络安全保险的发展历史表明,政府监管部门的政策支持是提升社会网络安全风险意识、统筹协调各方资源、推动行业快速成长的重要引导力量。我国应充分发挥体制优势,在政府的引导下团结社会力量积极参与,共同做大做强中国网络安全保险。

7.发展网络安全保险需要先行先试,在实践中不断完善。为积累探索稳健经营网络安全保险的经验,填补我国相关行业标准空白、示范产品空白,可针对网络安全风险类别、保险公司、承保对象等展开试点,在系统性风险可控的条件下摸着石头过河,鼓励机制创新、产品创新、服务创新,在实践中不断完善网络安全保险发展模式。

猜你喜欢

损失网络安全数字
胖胖损失了多少元
网络安全
玉米抽穗前倒伏怎么办?怎么减少损失?
上网时如何注意网络安全?
答数字
数字看G20
网络安全监测数据分析——2015年11月
菜烧好了应该尽量马上吃
损失
我国拟制定网络安全法