随着互联网技术日新月异,人们在享受着诸如云计算、大数据、物联网等技术服务带来的便捷的同时,网络安全事件的频繁发生也逐渐引起了不少企业和个人的重视。
图片来自“123rf.com.cn”
前景:尚未被开拓的蓝海
据安联财险发布的网络安全研究报告显示,每年中国因网络袭击造成的经济损失高达3996亿元,损失额居亚洲第一;普华永道的调查报告也显示,过去两年间中国企业监测到的信息安全事件平均每年2577起。
目前来看,网络安全风险正随着互联网技术的发展而升级。
首先,大数据技术的普及增大了数据泄露的风险和成本。大数据的运用是基于庞大的数据库,企业如果疏忽了对数据库实行加密、隔离等防护措施,数据一旦泄露将会造成巨大损失;而如今不少企业出于技术需求将数据库委托给第三方管理,如云计算服务商等,毫无疑问数据流动范围的扩大也增加了数据泄露风险,云计算服务商Dropbox就曾于2011年因为数据安全性及未能及时告知数据泄露事件而面临集体诉讼。
其次,便携式移动终端构成潜在威胁。智能手机、平板电脑、笔记本、USB等经常用于工作的便携式设备储存有大量企业信息和数据,这类移动终端由于难以管理和约束,极易泄露敏感信息。
再次,恶意网络攻击日益频繁。2016年12月雅虎公司10亿多用户账号被黑客盗取,直接导致其公司价值剧减,并间接影响许多其他中小企业。诸如此类事件每年数不胜数,并且造成的经济损失日益扩大。
而保险作为市场经济条件下最重要的风险管理和风险转移手段,在保护网络运行和数据安全、提高被保险人网络安全防护水平等方面大有可为,因此对于保险行业来说,这些网络安全风险和巨额损失的背后是一个千亿乃至万亿级的蓝海市场。
挑战:三大行业痛点
网络安全保险,即为客户规避诸如数据丢失、网络中断等互联网风险的保险。目前来看全球网络安全保险的发展处于萌芽期,以保险市场最为发达的美国为例,2012年互联网安全保险保费规模仅为5亿美元,但2014年网络安全保险的购买数量同比增长32%。而在中国,提供网络安全保险的险企则屈指可数,究其原因,存在以下行业痛点:
一是数据搜集挑战。建立一个网络风险模型的基础便是经验数据。传统保险商建立风险模型时通常依靠官方数据提供者,比如自然灾害险可以寻求国家地震局、气象局的数据支持;但显然,目前尚不存在可以支持网络风险评估的官方数据源。除此以外,网络风险是动态的、变化的,随着网络技术的更新而变动,因此网络风险数据的搜集同样必须是实时的、动态的,而这也区别于传统风险模型的相对静态的数据,并且前者的数量和处理难度也远大于后者。
二是行为风险和风控质量的考量。与自然风险不同,网络风险不仅仅来自于外部事件,也来自于内部行为。据2014年IBM调查显示,95%的网络犯罪都涉及员工行为错误,比如无意间丢失了储有重要信息的移动设备、账户密码安全等级弱等,甚至有内部员工故意偷窃并传播公司机密数据。自然,相应的风险管理质量也同样关系着网络信息的安全。而风控质量和行为风险的量化和数据搜集成为了另一道难题。
三是网络风险经济模型的建立。由以上分析不难看出,网络风险至少有以下特点:动态性、来源多样性和传导性,这导致了其影响因素复杂、数据搜集困难,同时网络风险的传导性也加大了保险商对潜在经济损失的预测难度。因而,网络风险经济模型的建立也是一项挑战。
部分中外保险公司的解决方案
目前来看,国内外网络安全保险产品开发的核心聚焦于网络风险数据库的建立。
去年经历了4000万美元融资后的美国初创企业Cyence首次提出建立了网络安全风险经济模型,该公司通过开发一个多样化可扩展的数据引擎,能够以非侵略性的方式收集特定公司人员和机器的数据,从而创造出客观真实并且具有实时性的风险评测模型。
为了和网络风险的动态趋势匹配,Cyence这一配备了数据引擎的平台,也会实时校准模型,以最大程度地精准分析网络风险。除此以外Cyence也通过对一些过往的网络安全事故进行分析来积累案例与数据,例如Cyence曾发布了一起重大的网络风险事故量化分析报告,分析结果表明在这起事故中,黑客攻击造成全球云服务器宕机,最终在全球范围内造成了530亿美元的经济损失。
除此以外,海外最新研究进展表明自动模拟攻击系统可能是解决数据问题的出路之一,即通过模仿不同维度和方式的网络攻击来评估投保企业的网络安全程度。
这一模拟系统会自动根据模拟进攻的结果为企业制定一个网络风险评分,这一评分的制定是基于如NIST、CVSS3.0和DREAD模型等这类被广泛接受的风险计算方法的。显而易见,这套模拟系统带有人工智能色彩,某种程度上类似于AlphaZero——没有数据,那就创造数据。笔者认为一旦取得技术突破,这套系统将极大程度地降低数据搜集和风险评估的难度。
国内本土企业也有数家公司推出了网络安全保险,如人保推出的国内首款网络虚拟财产交易安全保险、阳光财险和众安在线推出的网络安全险等。
其中,众安在线先后通过与安恒信息和阿里云平台合作于国内首次推出网络信息安全综合险,该保险承保事件囊括了有害程序、网络攻击和信息破坏三大常见网络安全事件,用户投保前需要填写风险评估表并由安恒信息进行系统风险检测,并且在通过风险评估之后安恒信息公司将对其系统保持实时监测,发生问题后将及时反映,同时收集相应的风险数据和更新数据库。
