对话安恒信息&众安科技 网络安全保险需要生态各方彼此理解支持

“网络安全保险是网络安全全周期服务的一种新业态，是快速推动企业数据安全和网络安全保障能力的重要手段，将成为提高网络安全风险治理能力的新途径。”在2022西湖论剑·网络安全大会上，网络安全保险被列为“网络安全未来十大趋势展望”之一时，作出上述评价。

根据安全419此前的观察，最近几年在多方努力之下，网络安全保险在国内发展势头确实在不断加快，同时在政策引导方面也有不断的利好消息释放。但从趋势到落地，显然网络安全保险在国内还有很长的一段路要走。

图左为：安恒信息高级副总裁袁明坤；

图右为：众安科技网络安全事业部、众至网络安全联合共创实验室负责人秦峰

就网络安全保险落地这一话题，安全419最近邀请到了在这方面具有一定话语权的两位重量级嘉宾，就该话题进行了一场深入交流。他们分别是安恒信息高级副总裁袁明坤，以及众安科技网络安全事业部、众至网络安全联合共创实验室负责人秦峰，以下内容出自安全419与两位嘉宾的对话整理。

安全419此前就了解到，安恒信息是国内最早与保险公司合作推出网络安全保险产品的网络安全公司，在网络安全保险落地实践上具有丰富经验。众安科技则是众安保险的全资子公司，作为保险科技公司，其职责是为保险数字化转型提供科技支撑。

从趋势到落地，在回答网络安全保险在落地方面存在哪些难点时，两位嘉宾站在网络安全企业和保险科技公司角度几乎给出了相同的观点，分别是：网络安全保险的风险量化难、价值定义难、责任定义难。

在风险量化方面，袁明坤指出，网络安全保险需要理解和把握网络安全产品在各种场景下的安全风险。需要量化安全风险的概率，而这需要时间和数据来支撑。从安全企业侧来说，不同场景下，安全企业需要与保险业共同就场景特性制定相应的风险量化模型，这是风险量化的起步支撑。

秦峰则指出，在风险量化方面保险公司从保险视角下的风险量化模型与网络安全领域的风险评估模型并不相同，保险公司的风险量化模型主要强调的是风险发生的概率，以及风险发生之后的价值损失。从保险科技角度来讲，风险量化模型的搭建决定设计出的网络安全保险产品的保障限额，以及保费之间的关系，所以难点在于准确的搭建各场景下的风险量化模型，从而让网络安全保险在落地方面有依据可循。

在责任定义方面，袁明坤认为，网络攻击本身是技术问题，攻击是极为复杂的，以单次安全事件为例，攻击获取企业机密数据的路径和时长的不同，都会是责任定义上的难点。即保险索赔的边界问题需要准确定义，这需要更好地符合保险行业规范的应急响应和溯源，这是对安全技术和科技力量的考验。

秦峰回应称，用户购买网络安全保险，为残余风险提供风险保障，但与车险、健康意外险等等有相应的责任判定机构而言，处于起步阶段的网络安全保险在这方面仍有巨大差异。所以，赔与不赔的责任界定，也是网络安全保险目前阶段的落地难点之一。比如说是安全产品的问题，还是风险意外问题，又或者是存在主观恶意问题。

在价值定义方面，袁明坤表示，网络安全问题造成的影响和损失在不同的行业和不同的场景上是不同的，对于企业的形象损害也不同。比如同样因为安全事件造成1TB的数据损失，如果是银行业，那就是金融级风险，所以它在不同行业展现的价值完全不同，这种价值定义也是造成网络安全保险落地难的主要原因之一。

秦峰也同意以上观点，他表示，在价值定义方面，网络安全产业帮助用户保护的数字资产价值到底是多少目前难以具体评估，这也影响一定的参照依据是否准确适用。在网络安全企业这一侧，我们在接到一些安全评估，渗透测试类服务，我们需要对标的物进行界定，从网络安全保险角度来讲，同样需要做出界定，因为这将决定保险保额。

秦峰从保险科技一侧总结了他们正在做的，有助于网络安全保险落地的一些努力。

第一，众安科技目前正在积极主动推动和研发网络安全保险的风险量化模型，重点工作是将保险视角的风险量化和安全视角的风险量化两者结合，从而构建风险概率、成本、损失全方位的量化机制，这一机制的建立能够将安全事件，和保险定价之间形成挂钩。等同于风险货币化过程，这无论对于保险行业还是安全行业，都非常重要。

据悉，众安在这方面目前已实现了阶段性商用成果转化，正接受市场和用户的验证。

第二，从保险科技的角度，还要解决如何帮助客户和保司建立防灾降损机制问题，秦峰指出，MSS安全托管运营服务，如果从保险角度来看其实就是帮助保司和客户不断进行风险控制，风险监测和风险预警。众安自己也有一套主动风险管理ROC平台，在保险落地时平台会开放给保险端、生态端、运营端，帮助他们去做数据资产风险量化分析、风险监控预警、安全应急响应。

同时，从保险角度进一步去降低成本也很重要，这需要时间的推移去降低产品使用的边际成本，让用户能够体验到更好、更实惠的安全保障。

网络安全保险产品需要可靠的风险防控措施，保司对于如何设计市场需要的网络安全保险产品，则需要网络安全视角下对于市场的一些观察，进一步更加重要的是需要安全公司结合保险视角业务和知识，参与到保险公司的网络安全保险产品设计过程当中。秦峰指出，众安科技正在积极与多方联动推动网络安全保险细分场景和险种的落地。

袁明坤表示，过去从网络安全角度考虑，需要为客户的网络安全风险控制做到风险概率无限低，这也是网络安全产品和服务水平高低的核心衡量标准。但是从保险角度则不同，发生风险是概率问题，如果出现问题，网络安全保险则可以为风险提供保障。

但从具体实践来看，网络安全保险产品实际上可以成为企业用户解决网络安全风险管理闭环的一个组成部分。他举例说明，以任何一款网络安全产品为例，如EDR，他只能解决部分安全问题，不可能解决所有的安全问题，如果企业客户只为单台主机部署EDR，并没有其他配套措施，那么针对这种场景下，网络安全保险就可以发挥价值，可以解决残余风险问题。

袁明坤指出，网络安全企业已经发现了网络安全保险的价值，与单一的安全产品服务配套部署也在加速进行，但在落地整体的解决方案方面仍然欠缺实践。

就这一话题进行持续探讨时，我们发现，安恒信息在前不久发布的MSS安全托管运营服务，就引入了网络安全保险这项增值服务。在解释将网络安全保险纳入到MSS服务当中的价值与意义时，袁明坤认为，网络安全保险的“最佳搭档”可能就是MSS。

大家的共同理解是单一的网络安全产品只能解决某一个问题，而网络安全保险需要衡量整体风险，MSS服务恰好是打通了所有软硬件能力的综合安全服务方式，同时其服务过程数据化、流程化和标准化可以沉淀大量数据，这将与网络安全保险进行完美契合，即可以对网络安全保险的风险量化模型提供数据支撑。

按袁明坤的表述来看，安恒信息MSS服务中的网络安全保险，并不是在购买MSS服务伊始就为客户提供保险保障的，而是采用了阶段性的部署方式，需要通过一定时间的服务后，在对客户有了更准确的风险判断后，为其生成更加精准的网络安全保险方案。

这种网络安全保险的落地尝试，还有另外一个层面的考量，即MSS服务过程中，除了可以定义网络安全保险的价值，网络安全保险还能推动MSS服务的价值。比如MSS为用户产生的告警信息，用户是否及时处理，或是授权处理，这对于MSS服务的价值和效果是有决定影响的，而网络安全保险在确认威胁告警是否处理时会相应地调整对于客户的风险判断，实际上对于安全则是一种促进。

实际上这也是网络安全企业和保险公司的目标一致性的表现，旨在从风险管理的角度来阻止安全事件的发生和损失。

对于安恒信息在MSS服务当中尝试落地网络安全保险，秦峰则给予了高度评价，认为其具有一定的市场前瞻性。他进一步解释称，在MSS服务架构下落地网络安全保险，其价值体现是可以提供风险数据支撑，即由告警产生的威胁态势的研判数据。同时当服务业态持续推进，MSS服务作为重要的网安趋势，从行业认可度来看，它还能够提供细分行业的数据支持。

而这两部分的数据都是保险业急缺的数据，特别是后者，将有助于风险量化模型的完善，对于网络安全保险在我国市场迅速推动落地将起到催化剂作用。秦峰引用了重疾险要洞悉全国各地域的差异性来说明它的重要性，如精细到地区、年龄、性别等等维度，从而让相关险种能够对多方利益均能够做到精细的量化保障。

决定网络安全保险加速走向落地应用，保险科技的力量至关重要，对于这一话题，秦峰先是介绍了他们团队的定位。“对于众安科技众至实验室团队而言，是一支介于安全和保险之间的集合金融科技技术和网络安全技术的团队”，秦峰指出，这一领域在国内是个全新的赛道，在网络安全保险发展较快的欧美国家，该领域早已衍生出一些独角兽企业，而中国在这方面发展相对较晚。

秦峰指出，保险是风险管理过程中的一种金融工具，保险存在的意义是要解决不可见或者显见的残余风险。残余风险在保险行业其对应的专业名词是可保风险，它是一个动态的演进，对应在网络安全保险一侧，众安科技众至实验室团队重点要解决的就是可保风险当中的显著性风险，以及附着性风险。

显著性风险指的是，随着信息技术也包括网络安全技术的发展，我们需要挖掘原本没有被认知到的风险，并对其进行妥善的管理。附着性风险指的是随着新技术的应用，会引入一些新的风险，这部分的风险同样需要转移和管理。这些都是众至实验室团队要去研究和具体开展指向性工作的重点方向。即对应到网络安全当中，其风险管理应该以怎样的形式来体现。

鉴于网络安全产业细分领域众多，秦峰也预见了仅靠单一组织的力量，不可能胜任全部的安全量化管理工作，全行业、多场景、多技术应用下的风险量化模型需要多方努力共同推进。比如前文提到的安恒信息的MSS服务就可以为保险科技提供多维数据支撑，而众至网络安全联合共创实验室也是希望通过联合多方细分赛道的安全力量，共同推进行业生态的加速落地。

众至实验室本身将作为第三方保险科技团队，连同安全产业和保险业，融合为新的业态模式，在法律法规允许下，建立融合通用模型，从而推动并实现多方参与的网络安全保险商业市场的成熟与落地。网络安全保险能够全面落地，三者缺一不可，而保险科技公司则起到技术开拓和多方黏合的作用。

网络安全保险市场化阶段，从网络安全媒体角度观察，一线安全企业均与保险公司建立了合作关系，共同推动网安综合险种的落地，如2021年年底中国信通院发布的“网络安全保险十大优秀案例”，其背后就有安恒信息为代表的数家头部网络安全企业在做相关险种支撑。这种模式下，对于双方，以及用户企业而言，该如何捋清他们之间的地位与各自价值关系？

秦峰指出，在网络安全保险生态闭环当中，保险公司则作为承保主体，其推出的网络安全保险这种金融产品，指向具有可保利益，信息化时代网络安全的重要性越发凸显，如主要表现用户遭受网络攻击将直接与经济挂钩，比如勒索攻击动辄数百万、千万美元赎金，这种高可保利相反也进一步凸显了网络安全保险的重要性。

对于网络安全企业而言，则能够去补充保险公司在网络安全技术能力上的不足，以及在承保期间，对于用户风险监测能力的不足。保险行业遵循大数法则，这也意味着在网络安全保险的初期发展阶段，网络安全企业对于网络安全保险落地将起到关键作用。由于投保网络安全保险的企业并没有完全铺开，由专业的网络安全公司提供的风险控制能力至关重要。

对于保险科技公司而言，如众安科技众至实验室团队，则要从第三方的风险管理公司角度定位，将安全公司的技术能力、数据，转换为保险公司所需要的，多视角下的业务基础数据，从而推动整个产业向前发展。

对于投保用户而言，收益则尤为显见。投保用户如果出现残余风险或者是意外，由此导致的经济损失，在投资回报方面会有兜底保障。秦峰引用了戈登－洛布模型进一步解释了对于用户而言，投保网络安全保险的自身价值。戈登－洛布模型认为多于信息安全漏洞预期损失37%的信息安全投资，通常是不经济的，而网络安全保险恰好可以扮演那个重要的角色，能够让用户的整体网络安全投资更高效，且搭建了网络安全管理闭环。

据袁明坤介绍，安恒信息在网络安全保险落地方面具有多年实践经验。在产品端，作为杭州亚运会最高级别的赞助合作伙伴，他们已联合相关保险公司，为未来的重大活动赛事提供相关网络安全保险保障。在过去多年，安恒信息与保险公司合作，也推出过端点一侧的防勒索软件攻击保险，以及网站防篡改保险、数据修复保险等。

在承保端，安恒信息已经和部分保险公司打通了一些数据支撑机制，即由安恒信息提供的网络安全大数据，将被保险公司所使用，基于该数据建立风险量化模型，用于完成线上一键保险评估工作，从而减少投保风险，提高保险承保效率。

在理赔端，安恒信息拥有自己的应急响应中心。在保险机制当中，当客户发生安全事件，可以快速启动网络安全应急响应，以及后续理赔工作。在网络安全保险闭环生态中，网络安全企业7*24小时待命，可以为用户企业提供最专业的应急响应，最大化保障客户投保利益。

据袁明坤介绍，安恒信息还在尝试新的网络安全保险的落地方式，比如在最新推出的MSS服务中的网络安全保险，其实也是对大型客户的网络安全保险模式的落地探索。接下来，他们会跟更多合作伙伴，共同探索不同场景下的网络安全保险新模式，目的是在特定的场景下让网络完全保险给用户带来最大的保障效果，提供更好、更全面的网络安全服务。

秦峰在总结多方参与的网络安全保险市场未来发展时认为，现阶段我国网络安全保险处于市场培育期，需要各方以坦诚包容的态度共同致力于市场的做大做强。待市场成熟之后，各个角色自然会有自己的市场空间和地位。袁明坤对此也表示完全同意。

秦峰进一步表示，据披露数据显示，就美国市场而言，网络安全保险每年的保费规模已达到65亿美元以上，而中国则仅为7000万人民币（注.该数据源于《我国网络安全保险产业发展白皮书（2021年）》），在同样高度重视网络安全重要性大前提下，增涨空间肉眼可见。但他也指出，虽然中美两国网络安全市场体系并不相同，但随着我国相关法律法规监管的进一步落实，企业风险意识的不断提高，网络安全保险终将会迎来属于它的市场风口。

秦峰认为，虽然不同行业视角不同，但市场一致性相同，现阶段多方力量还要进一步加强合作，比如共同探寻更加符合用户需要的网络安全保险产品，和网络安全保险模式，从而加速扩大市场。与此同时，就网络安全保险的风险控制上，还需要进一步探寻性价比高的管控措施，从而降低保险的落地阻碍。

秦峰最后重点指出，对于用户侧而言，业态发展刚刚起步，一定要让用户感受到网络安全保险和科技服务所带来的温度，不能保而不赔，这也是网络安全保险最终能否成功落地的关键。