近日,澳大利亚全国出现大规模断网,因此造成零售业损失惨重,收银机、ATM机纷纷“罢工”,经济损失约1亿澳元。报道称,对此澳大利亚电信公司Telstra有着不可推卸的责任,他们表示将会考虑赔偿用户在此次事故中的损失。
这是国家级的网络安全事故,而普通网络用户的利益也常会因各种“小故障”遭到侵害,如网盘里的文件一夜间不见踪影、社交网站内的信息被恶意窃取等等。
那么,针对此类突发的网络安全事件,当责任方启动赔偿时,是否有保险机制介入以减轻运营商或相关责任企业的损失?我国是否也有相关保险制度?目前的普及情况如何?针对上述问题,科技日报记者采访了业内相关专家。
旨在转移事故责任人财务损失
有研究报告显示,每年发生在我国的网络安全事故约会带来600亿美元的经济损失,这一金额居亚洲第一,是紧随其后的印度的15倍。新加坡和日本的情况相当,分别为12亿美元和9.8亿美元。
全球范围内,每家企业因数据泄露事件遭受到的平均损失至少高达300万美元。数据统计,现今50%的网络攻击都会集中在大型机构,越是重要的机构越容易受到攻击。
随着网络应用的不断深入,网络安全事故造成的损失越来越严重,相关责任方所承受的赔偿压力也越来越大。为了减轻因安全事故造成的赔偿压力,网络安全保险机制应运而生,旨在引入商业保险来转移相关责任人的财务损失。
通常来说,网络风险分为第一方风险和第三方风险。第一方风险主要涉及企业自有资产,比如自有数字资产失窃、网络事故导致的业务中断、网络欺诈等;第三方风险则主要涉及他人资产,比如客户资产的泄露、第三方数据的丢失等等。
欧洲网络与信息安全局(ENISA)将网络安全保险定义为:承保网络空间相关风险的保险,包括赔偿责任、资产损失与失窃、数据损坏、网络及服务中断导致的收入损失、计算机故障或网络污染等。
“目前,国际上公认的网络安全保险类型包括第三方责任险和第一方责任险。”北京理工大学网络攻防对抗技术研究所所长闫怀志在接受科技日报记者采访时表示,第三方责任险主要包括:网络安全责任险、隐私权责任险、知识产权泄密责任险等。第一方责任险主要包括:危机管理责任险、数据资产保护责任险、网络诈骗责任险等。
目前,主流的网络安全保险险种,主要有普适性的综合险和个性化的定制险,其保障范围包括被保险机构信息资产泄露、系统损坏、业务瘫痪、客户赔偿等,基本涵盖了网络安全事件所造成的各种损失赔偿。
新险种在我国尚处起步阶段
事实上,网络安全相关保险制度起源于上世纪90年代中期,后来逐步发展壮大。网络安全保险在我国尚处于起步阶段,相关体制、机制还有待完善。
2013年,人保财险公司开发出网络虚拟财产交易安全保险,成为国内首款网络安全类保险产品。2015年,安联财险、美亚保险等外资险企也在我国开展了网络安全保险业务。2015年,众安在线财产保险股份有限公司携手阿里云推出了国内首款云计算保险,2016年又联合推出了国内首款网络安全类保险——信息安全综合保险,包含数字资产损失保险和数字资产安全责任保险。
近年来,太平保险、永安保险等公司联合承保了支付宝账户安全险。2017年,平安保险推出了平安网络安全综合保险,但未实现大范围推广。目前,多家保险机构均推出了个人账户资金类安全险。
闫怀志介绍,网络安全保险参保机构多为大型金融服务机构、网络平台提供商、IT公司、云存储公司,这类企业的共同特点是客户及业务规模庞大、网络安全风险较高。
国内信息安全服务平台信安在线总经理舒首衡在接受科技日报记者采访时表示,很多政府单位和中小企业也会购买网络安全保险产品。网络安全类保险产品还需更精细化的设计,按照不同的场景打造不同的产品,也就是满足用户的个性化需求。
“目前市面上的网络安全类保险还是更偏向于综合险,虽然综合险覆盖的用户比较广泛,但还需要针对用户的‘痛点’发力。”舒首衡说。
“应该说,网络安全类保险对于提升参保对象的网络安全意识、减少网络安全事件损失起到了一定的作用,国际上发展较为完善的保险企业不乏相关案例。据了解,国内也有相关赔付案例。但出于保护企业声誉、防止商业机密泄露等原因,参保企业大多对相关消息三缄其口。”闫怀志说。
相关市场是潜力巨大的蓝海
网络安全类保险作为国内的一个新兴险种,毫无疑问,相关市场还是一片潜力巨大、亟待开发的蓝海。但培育网络安全保险市场耗时很长,需要政府、保险行业、参保机构和个人用户等各方面形成共识,通过制定并遵从相应的政策和规范,来推动我国网络安全保险市场的持续、健康、稳定发展和壮大。
在闫怀志看来,我国的网络安全类保险制度发展主要存在以下瓶颈问题:
一是相关各方的安全保险意识淡薄,对于网络安全保险的重要意义和作用,各方尚未达成共识,缺乏适合网络安全保险行业发展的宏观环境。
二是网络安全投保定价、网络安全事件的定责和定损困难,多数保险企业的网络安全技术和管理力量较为薄弱,对网络安全投保标的及其风险缺乏有效的指导和引导,相关法律法规和标准规范滞后现象严重。
三是相关产品数量少、形态单一,难以满足拟投保企业和个人的参保需求。
“网络安全保险实际上是一种社会保障机制,能有效地帮助网络经营者分担风险,但网络安全保险并不在国家强制要求范围内。同时,当前用户主动投保来降低网络安全风险的意识还不够高,因此无论是企业用户还是个人用户,目前的参保意愿都不是很强,整个产业也没有得到全方位的发展。”舒首衡说。
虽然发展现状并不理想,但对网络安全保险的未来,舒首衡还是表示出很乐观的态度。“从国际市场来看,网络安全保险的市场很大,能达到百亿美元的规模;同时,我国每年因网络安全事故造成的损失也在千亿元以上,因此这一市场未来必然会迎来大发展。”他说。
“需要指出的是,无论是企业还是个人投保网络安全险,都应将其作为规避网络安全损失的手段之一,而不能将网络安全保障的希望全部寄于网络安全险上。”闫怀志说,虽然网络安全保险提供商会督促并客观上促进参保企业和个人加强安全防范,但参保机构和个人建立健全自身信息安全保障体系才是王道。
|