论网络安全保险在中国的发展｜安全村

网络安全这个圈子不大，就算不署真名，也很多人知道作者是谁。我在网络运维和网络安全领域从业20年，长期在央企和大型国企工作，作为甲方的安全负责人，自认为技术不错，参编过国标行标地标团标，对安全产品和服务很有研究，和监管关系也不错，获得过长三角优秀首席安全官，但是无法摆脱业务中断由安全负责人背黑锅的宿命，哪怕故障原因是内存溢出而并非黑客攻击。所以我一直在探究，如果出了安全问题如何善后，难道唯一的出路就是背锅吗？有没有风险转移的方法？本人于2021年开始研究网络安全保险，在2022年从国企辞职进入这片蓝海，到2023年初因为团队解散且找不到新的投资人，暂别这个行业，谨以此文为这段旅程做一个小结吧。

网安险这个险种，在国外叫做Cyber insurance，范围是比较广泛的，Cyber是整个数字空间，在这里面发生的事情，都可以保，包括运维人员误操作、设备故障、停电、软件Bug等引起的问题，但是在国内被限定在因为黑客攻击和病毒爆发引起的问题，所以国内叫网络安全保险。另外根据法律规定，保险不能赔偿因为不合规引起的监管处罚，以及相关人员的党纪处分和行政处罚。

网安险可以赔偿什么？主要是营业中断、数据损坏(包括勒索病毒)、数据泄漏和相关的应急响应、法律服务、舆论宣传等配套费用。

很多网络安全从业者由于不了解，又很好奇，会去牛角尖，探讨一些不重要的问题，在此做个说明，我想表达的意思是，网安险发展得不好，不是这些问题导致的；网安险发展起来后，这些问题都会迎刃而解。

1、营业中断损失如何评估，实际上因为网络安全导致的营业中断，和因为台风、火灾引起的营业中断，并没有什么本质区别，都是根据财务报表来估算的，保险公司通过公估公司来确定损失，有比较成熟的方法。只是我们网络安全从业者不熟悉这个领域。

2、勒索病毒可能涉及缴纳赎金，会不会触碰中国法律禁止数字货币的红线。这个问题确实存在，但是现阶段被保险资产往往是数据库，结构化数据其实通过技术手段是大概率可以解密的，少量重要资产难以解密的，也有第三方公司愿意协助解决，并对外宣称是技术手段解决的。至少这个点，不是导致网安险无法销售的原因，实际上全国有几十家保险公司的保险产品都声称是保障数据损坏，赔偿数据修复费用的。

3、信息泄漏怎么赔偿？这确实是个问题，按照保司规定，需要用户起诉，法院判决，才能赔偿。但是用户起诉信息泄漏存在两个难点，一类是虽然明确知道自己的信息被XX公司泄漏了，但是尚没有造成损失；另一类用户因为信息泄漏导致自己被诈骗了，损失是明确的，但他无法举证是哪个网站泄漏的，比如机票信息，是机场、航司还是售票平台？物流信息是快递公司、购物网站还是卖家？到目前为止国内还没有一例信息泄漏赔偿用户的判例。

保险公司肯定是不懂网络安全保险，但是网络安全公司也不懂保险。所以为了要解决保险公司所谓不会卖不敢卖的几个痛点，无论是大保司自己组建团队，还是为保司提供网安险科技服务的独立第三方(Third Party Administrator ,TPA服务，以下称网安险科技公司)，网安险这个险种如果发展起来，网安险科技公司在这个领域可能会有一席之地。下面谈一下网安险科技公司应该具备哪些能力。

1.销售模块

考虑到现阶段企业自己也不知道应该怎么买，保险公司也不知道应该怎么卖。所以需要有一套系统，输入企业名称后，就能告诉这个企业，你应该买哪些险种，保额和保费分别是多少钱。

我们先来看相对理想的产品推荐模型，有一套系统基于人工智能，动态调整各个保险产品模块(营业中断、勒索、数据泄漏)，使被保险企业的风险管理人员能够依据风险视图，进行安全现状预测，了解可能遭受的攻击，并获取推荐最优的保险组合方案。同时按行业、功能、用户量和风险等级等统计数据，深入分析被保险人系统的细节，结合人工智能训练高效准确的预测模型，为保司、再保险公司的风险经理和精算师提供准确的定价支撑。简单地说，就是系统分析一下投保的企业，就能智能给出保险方案和报价。这很理想，但这有点科幻，现有的样本数根本不足以支撑这么做，最起码投保企业数量达到10000家以上，才有可能逐步实现。

现阶段，我认为比较务实的做法是按照行业来设计一些相对标准化的产品，每个行业都具有自己的特点和诉求，比如工控行业在乎的是停产，特别希望有营业中断的保障；教育行业比较在乎的是数据泄漏；医疗行业比较平衡，对营业中断、数据丢失和泄漏都是有需求的；传媒行业在乎的是内容的正确性，他们的损失难以量化评估，可能现阶段不是网络安全保险的目标客户。每个行业的风险值也不一样，通过网络安全威胁情报和各种途径收集的数据，分析出行业的风险值，但如何量化到保险定价，这需要建立合适的风险量化模型，这可能需要高校的相关专业参与。通过行业偏好设计出保险产品，再根据企业规模，乘以一个倍数，就得到了推荐产品和保费保额，这可能是现阶段比较可行的实现方式。

2.核保模块

核保其实是一个风险鉴定评估的过程，包含了网络安全管理评估和技术评估两个方面，在评估的过程中，如果发现高危风险，是需要被保险企业整改后才能投保(国内通常不允许带病投保)。

风险评估方法有很多种，国外通常是采用ISO27001，国内采用等级保护测评。2022年5月1日CCIA网安产业联盟批准编号为T/CCIA 001-2022的《面向网络安全保险的风险评估指引》为联盟标准，基本上专业的网络安全公司都具备这个评估能力，但是这个指引有一个很大的问题，就是评估过程过于复杂，评估费用可能超过保费，这样的TPA服务费根本无法结算，只能在保前先签署一个风险评估合同，无论是否投保，先把风险评估的钱交一下，客户体验很差。

所以我们认为适合保司的风险评估方法，还是要建立在采信已有的风险评估结果上，以降低评估的费用和周期。根据我国网络安全法的规定，重要的信息系统都必须经过等级保护测评，测评结果是需要去当地公安备案的。我们认为等保的结果，加上管理技术评估，再更新等保的技术扫描结果(因为等保是按年测评，技术扫描应当按季度)，以及暴露面的渗透，就可以形成一个快速的评估结果，技术核心能力在于如何把这四个方面的结果综合加权，得到企业的健康度，同时还需要确定投保基准分数阈值。

通常来说网络安全公司都可以胜任核保工作，但网络安全公司往往是没有专门的系统去处理这些结果，人工处理效率比较低，人工打分会有波动。而专业网络安全险网安险科技公司具备专门的风险管理平台来处理，可以得到一致性比较好的结果，可以用于后期的统计分析和横向比较。

有人提出按照核保评分做动态费率调整，我是反对这种做法的。如上所述，核保评估由于费用的限制，实际上是比较粗糙的，一把精度不高的尺子量出来的结果，怎么能用于指导对精准度要求很高的动态保费定价呢？除非以后有人发明了一种黑科技，能够非常廉价快速的开展精准风险评估，但其实如果真的有人掌握这个黑科技，他一定首先去撼动等保测评市场，那个市场在很长一段时间都会比网安险市场大。

3.保中监测模块

保中风险监测的目的是什么？我认为网安险科技公司和安全厂商都会走入了一个误区。有些网安险科技公司把自己定位成一家安全公司，提出用SOC这种非常重的手段做保中监测，或者和WAF、MSS服务联动，我认为这些都是违背了保中监测的初衷。

保中监测的目的是避免发生系统性风险，保险公司不怕个别企业的赔偿，保司在乎的是出险了某个风险，导致大片的投保企业都出险，这种共性问题是致命的。

说实话我在实践中还没有找到特别好的思路来解决这个问题，但是我认为以下两点可以供参考：

(1)威胁情报的研判

对于一些普遍性的高危漏洞，以及有行业针对性的漏洞，网安险科技公司应当及时将这类风险提示给投保企业，要求其尽快关注并修复可能存在的漏洞。基于对网络安全威胁情报的精准分析，以企业行业为基准，及时预判各行业的网络安全态势，更好地管理风险集中度，及时给出风险整改和风险转移建议，将所有覆盖类型的网络灾难损失降至最低。

(2)类似“天翼安全猫”的DNS请求监测的方法

这种方法虽然有点“粗糙”，但具有覆盖面广且成本低的优点，符合保中监测的需求。

4.出险理赔模块

出险后我认为有3件事情要做，首先是应急处置，要及时止损，这是传统安全厂商的工作；其次是救援，包括数据解密、恢复，法律服务，舆情和公关服务，这是个新领域，需要做资源整合，建立生态来做；最后才是定损理赔，那这个是保司的专业。

保险科技公司要做的，就是把这些事情串起来，从技术上来说，这个模块其实只是一个流程化的，类似工单派单那么简单的系统，但背后整合的生态和经验，才是核心能力。

(1)应急处置

应急处置最重要的是及时止损，搞清楚并切断入侵的路线，堵上漏洞等工作。快速反应方面，传统的大型安全厂商在全国都有分支机构，优势比较明显，专门的网络安全网安险科技公司则必须和当地的安服企业合作来补足本地化服务的短板。

(2)救援服务

救援服务主要包括一些专业服务，比如被删除数据的修复，勒索的谈判；公关费用，在媒体进行一些正向的宣传；法律诉讼服务，应对可能的索赔等。这些服务都不是传统网络安全厂商所能提供的，需要提前找好对应的合作伙伴。

(3)配套服务

定损除了经济上的损失核定，还包含了事件性质的鉴定，是否真的是由于黑客和病毒引起的，还是人为的(蓄意或误操作)；如果这个黑客是可以被定位到的，那么保险公司还可以找他追偿损失。

网络安全主管部门和网络安全企业对定损都觉得是一个复杂的过程，并认为现阶段很不成熟，实际上这个担忧是没有必要的。以车险为例，出险后由保司指定的定损员处理，定损员会参考修理厂的意见给予一个合理的损失，如果被保险人不满意，那么可以通过诉讼来解决；对于责任不明确的，可以报案，请警察来裁定。对比到网络安全保险，网安险科技公司也可以申请公估牌照，作为定损员和安全服务厂商及配套服务商协商，给出一个合理的损失评估，如果被保险人不满意，可以通过诉讼来解决；对于责任不明确的，也是通过报案，请警察来裁定，只不过车险是交警，网络安全险是网警。现阶段由于经验积累有限，可能都是通过人工计算，后续可能会有网安险科技公司结合机器学习，基于数据分析引擎，深入挖掘并识别损失驱动因素和累积风险领域，对互联网范围内以及平台客户的过往攻击事件进行分析，训练高效准确的预测模型，给出专业和精准的损失评估参考。

保险业是迷信大数法则(law of large numbers)的，通过概率计算出赔付率，通过大量用户来共担风险。但是目前网安险市场这么小，怎么合理定价，怎么做保前风控，一直在争论，第二章我们提到了核保模块和保中监测模块，会对客户进行一个体检，并持续监测，网络安全公司和网安险科技公司争相表示自己的方法更精准，在我看来，这个工作毫无意义。

类比两个险种，一个是人身意外险，你去给这个人做个全面的体检，证明这个人很健康，有什么意义呢？健康的人跑动更多，相对羸弱的人，意外出事的概率反而是增高的。第二个是车险，买车险也很简单，几乎没有前置条件，是通过条款来约束的，例如酒驾不赔。如果买车险要先对车辆进行严格的检测，对驾驶员进行健康检查，并加装一个行车模块来监测车辆运行状态，这么做可能确实可以略微降低出险的概率，但是经济上划算吗？保险业说到底是个市场经济的金融企业，保司不这么做，结论是显而易见的。

我们也可以从成本的角度来分析这个问题，保险的客单价相比网络安全产品低很多，一般的公司愿意出10万块钱保费已经很了不起了，给到TPA服务的费用一般就是2万元，2万元既要做风险评估又要做保中监测，做个等保测评3-5万元，尚且被人诟病太粗糙，2万元做的风评，能有多精准？目前有个网安险科技公司，卖保险的时候要求客户单独做10-20万元的风险评估，那相当于把客户的保费上涨了一倍，或者说费率增加了，你作为客户，你买车险，要掏一个和保费一样贵的汽车全面检测费，你会乐意吗？不考虑客户心理的商业模式，注定会失败的。

那么网安险科技公司，现阶段能做什么？我认为应该把重点放在获客上，能力建设放在出险后的理赔处置上。首先是积极获客，如果能率先跨过10000家投保企业这个门槛的话，就可以采用大数法则 (law of large numbers)，反馈完善前面提到的保前、保中、出险理赔各个环节的模型和方法，得到保司精算师认可，形成一个行业壁垒。至于如何获客，我将在第四章展开来讲一下我的思路。

出险定损理赔的能力，我在第二章有介绍，我认为后续这个能力是除了大量客户数据之外，网安险科技公司的另一个核心竞争力，是敏锐的判定安全责任，精准的定损理赔，毕竟网安险普及后，大量原先被掩盖的网络安全事件会浮现出来，甚至出险骗保热潮。所以我认为网安险科技公司如果能树立好出险救援的品牌，这个业务起来后会有一席之地。

网络安全是国家安全的重要组成部分，是数字政府建设的基石，是数字经济和社会治理的支撑力量，也是个人信息权益的守护者。各地政府都把提升当地网络安全水平作为重要任务，处理好安全和发展的关系，以安全保发展、以发展促安全，将网络安全纳入平安城市考核，努力建久安之势、成长治之业。

根据《网络安全法》和《网络安全等级保护条例》，在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理。浙江省是全国网络安全等级保护工作的先行者之一，已经建立了较为完善的网络安全等级保护制度和工作机制，但是对于很多企业，从面上看，我们认为还是存在以下不足：

1、企业已经过了等保，但依然面临诸多安全威胁。等保是合规的门槛，但是三级等保测评一年一次，二级等保2-3年一次，在此期间疏于防范，不及时修补漏洞，没有安全运营和安全服务，网络安全事件依然频发。

2、企业出了网络安全事件导致停工停产。目前的做法主要是处罚，缺乏关怀，对企业复工复产没有帮助，进而造成企业选择瞒报。

3、如何低成本且广泛的感知企业安全水平成为难题。对辖区内企业开展普遍检查需要大量人力，建设态势感知又成本过高。

4、网络安全负责人普遍没有相关从业经验。由于全社会都缺乏网络安全人才，无论体制内还是私营企业，都存在该问题。通过培训提升程度有限，购买乙方安全服务，出工不出力。

我发现网络安全保险是以上问题的有效解决手段。网络安全保险是一种针对网络风险事件造成的损失提供赔偿和服务的保险产品，随着数字化转型的加速，网络风险已经成为企业面临的重大商业风险之一。

工信部在2022年11月《关于促进网络安全保险规范健康发展的意见》征求意见稿中指出，网络安全保险是为网络安全风险提供保险保障的新兴险种，已日益成为转移、防范网络安全风险的重要工具，在推进网络安全社会化服务体系建设中发挥着重要作用：

1、网络安全保险可以分散网络风险，提供赔偿责任和法律支持等服务。当企业遭受网络攻击或数据泄露等事件时，可能会面临巨额的恢复费用、第三方索赔、罚款、诉讼等损失。这些损失可能超出企业的承受能力，甚至导致企业破产。而如果企业购买了网络安全保险，就可以通过保险公司获得相应的赔偿和服务，减轻财务压力和法律风险。

2、网络安全保险可以提升企业的风险管理水平，培养企业的风险意识和防范能力。在购买网络安全保险之前，保险公司(委托第三方风险管理公司)会对企业进行风险评估和建议，帮助企业发现自身在网络安全方面存在的问题和漏洞，并提供改进措施。在购买网络安全保险之后，保险公司还会提供网络安全咨询、培训、监测等服务，帮助企业提高网络安全水平，防患于未然。

3、网络安全保险可以促进网络安全产业的发展，推动网络安全标准和规范的制定和完善。通过网络安全保险的市场化运作，可以激励企业加强自身的风险管理和防护措施，从而提高整个行业的网络安全水平。同时，保险公司也可以通过数据分析和风险评估，为政府和社会提供有价值的信息和建议，参与网络安全法律法规和标准的制定和完善。

综上所述，网络安全保险是一种有效应对网络风险事件的手段，对于企业、政府和社会都有重要意义，在分散风险、提升风控、促进产业发展等方面具有突出优势。

结合我国实际情况，我认为合理运用网安险这个方案，作为等级保护的补充手段，可以有效提升区域的网络安全水平，具体建议和实施措施如下，供参考：

1、针对区域内，其生产对信息系统具有依赖性，或有等保系统的企业，出具有效的激励政策，要求这些企业购物网络安全保险；

2、企业在投保，网安险科技公司负责对这些企业开展快速的风险评估，整改合格后保单生效，分配给合作的保险公司承保；

3、期间网安险科技公司的平台持续开展保中监测和监督工作，督促和保障企业提升网络安全水平；

4、一旦出险，网安险科技公司负责快速响应，提供救援和理赔，让企业尽快复工复产，将损失降到最低。

5、地方政府可以看到准实时辖区内企业信息系统的健康状况、网络安全事件，还能提供报表和报告。

网安险的本质也是一种网络安全产品，有专家把网络安全划成三道防线，第一道防线是网络安全软件和硬件产品，这是网络安全的基础；第二道防线是网络安全运营和服务，有效利用网安的软硬件，才能有效防御入侵；第三道防线就是网络安全保险，这道防线是真正可以对网络风险进行兜底的，我们经常说不怕一万就怕万一，有了保险，才能真正提供完善的保障。并且保险其实不仅仅是理赔，保司也不想出险，网安险科技公司提高自身竞争能力的主要指标就是降低出现率，所以从逻辑上来说，网安险科技公司会有很强意愿积极提供保险期间的风控措施，有效降低企业网络安全事件发生的概率，也就能切实提高当地当地整体的网络安全水平。

接下来网络安全保险(以下简称网安险)在中国会如何发展？我认为这个必须是政策推动的。既然网络安全产品和服务，都是通过《网络安全法》、《数据安全法》，《个保法》，《等保条例》和《关基条例》来推动的，你凭什么认为网安险能够通过市场经济发展？我很认同一位保险业老大哥的说法，网安险和农业险是类似的，都是用户起初没有意愿，但是国家认为重要的险种，国家一定会出手推动，最终会和交强险一样普及。