专题·网络安全保险 | 以保险保障与网络安全一体化发展驱动网络安全新业态及其技术范式融合创新 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 太平洋产险总部网络安全保险负责人刘愉

近年来，随着互联网的普及和公众对网络的依赖程度不断增加，网络安全事件也随之愈加频发，网络攻击、勒索软件、数据泄露等安全风险不断加剧。一次网络安全事件可能导致企业业务运行停滞，商业机密和敏感信息泄露，甚至面临法律索赔，同时也给企业的商誉造成负面的社会影响。

近日，工业和信息化部与国家金融监督管理总局联合发布《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》），该意见为贯彻落实中共中央、国务院关于网络强国、数字中国的战略决策部署，深入发挥《网络安全法》《数据安全法》等相关法律法规重要作用提供指引，进一步推动保险机制与安全技术的深度融合，助力双产业高质量和创新型发展。作为我国首个网络安全保险领域发展指导性文件，《意见》的发布标志着我国网络安全保险产业发展推进工作迈出了重要一步，将按照夯实全局、赋能全局、优化环境、强化能力的方针，有效释放保险损失补偿与风险管理职能，为建设数字中国注入强大力量。

一、充分认识《意见》发布的意义

一是《意见》为后续网络安全保险推广注入活力。在网络化、智能化和数字化快速发展的社会环境下，网络安全保险的价值需要得到充分发挥。根据《意见》，各地主管部门应积极发挥引导作用，构建积极的政策支撑体系。例如，倡导能源、金融、交通、水利、卫生医疗等关键信息基础设施单位建立主动型网络安全风险管理体系，通过保险保障企业网络安全和数据安全方面的残余风险和潜在风险。针对供应链、云计算等新场景，开展网络安全专项保险试点，并建立政府有效激励机制等。在试点中，形成“安全+保险”的新模式，提升行业整体网络安全风险的应对能力。

二是《意见》为后续网络安全保险服务创新提供指引。网络安全产品形态与服务模式日益多元化，保险公司作为深度产业发展主体，应承担统筹规划产业布局，引导各类产业主体明确分工和职责，建立跨行业协同联动机制。坚持发展网络安全产品创新开发、网络安全保险核保定价技术研发、网络安全保险全流程保障标准的制定，助力国家网络安全从“被动防御”稳健步入“主动防御”时代，全面赋能经济社会发展。

三是《意见》为后续保险及安全双产业融通夯实基础。首先，构筑了网络安全量化技术创新体系，强化保险公司融合创新主体地位，促使保险公司发挥引领支撑作用，以推进保险公司网络安全承保风险精细化管理，充分释放保险公司承保能力，支持数据企业发展壮大。其次，通过开展网络安全保险全生命周期的风险减量服务，助力数字企业筑牢可信可控的数字安全屏障。保险主体与安全主体在事前、事中、事后等重要环节的合作高度实现优势互补，进一步健全网络数据监测预警和应急处置工作体系，切实支撑多场景网络安全保险业务拓展，为构建公平规范的业务生态提供契机。

四是《意见》为重点行业企业保险需求释放传送积极信号。坚持以重点行业保险需求破冰引领网络安全保险产业创新发展方向，保障产品需求供给更加协调充分。围绕电信和互联网、能源、金融、医疗卫生等重点行业，以及工业互联网、车联网等新兴融合领域积极发力，形成可复制、可推广的网络安全保险服务模式，充分满足重点行业、企业数字安全与信息安全发展需求。

二、把握《意见》精神，布局未来工作方向和创新思路

《意见》整体从建立健全政策标准体系、加强产品创新、赋能保险发展、释放需求和培育生态方面进行规范，重点工作方向可确定为以下四点：

一是持续完善网络安全保险标准规范。《意见》明确了保险产业与网络安全产业在承保、核保、理赔等主要环节的合作场景，并提出主要环节中以网络安全风险量化、网络安全风险评估、网络安全风险监测、网络安全保险定价、网络安全理赔流程及赔付标准等为主体研究方向。

二是面向不同场景不同行业实现差异化保险产品的研发。围绕电信和互联网行业典型事件，以及工业互联网、车联网、物联网等新兴场景进行产品设计，面向电信和互联网、能源、金融、医疗卫生等重点行业提供网络安全保险服务，形成可复制、可推广的网络安全保险服务模式，促进网络安全保险推广应用。

三是加强保险公司在风险减量方面的技术能力。包括风险量化和风险监测两大部分。针对风险量化层面，应充分考虑企业规模、行业风险等建立适应性评估工具及定价工具，在保险公司、再保险公司层面建立风险数据资源池，推动风险数据汇聚利用，释放风险数据价值潜能，为网络安全保险核保、定价、风险控制提供技术支撑和客观依据。针对风险监测层面，推进保险产业与安全产业的双向融合，建立适用于保险语境下的风险监测平台，为网络安全管理者提供精细化风险管理、处置决策和安全投入建议的风险监测工具。

四是借助平台优势整合资源，推动网络安全保险发展生态。打造健康稳健向上发展的网络安全保险服务生态，通过产业高峰论坛、网络安全技术应用试点示范等活动，广泛宣传网络安全保险服务，引导重点行业企业建立更加灵活机动的网络安全风险保障机制，助力数字企业高质量发展，提升数字企业风险应对能力。

三、太保产险网络安全保险发展经验与布局

自 2015 年起，中国太保产险就领先于其他同业开始专注网络安全保险的探索和布局，为解决当今企业投保网络安全保险的痛点。经过两年探索，我们研发了一套针对中小企业不同投保场景的远程电子商务平台，各类投保企业均可享受太保产险打造的网络安全保险一体化保障服务，覆盖保险全流程的保前、保中和保后的远程服务。

太保产险在网络安全保险领域实施创新布局已近十余年，目前已经搭建了完整的产品体系、定价体系、风险减量服务规范、理赔流程及其标准等产品形态的完整体系。同时积累了涵盖网络安全保险全生命周期保障模式。拥有国内外大型及特大型行业的保险服务案例，以及为中小企业提供的远程一体化便捷性服务工具。

（一）中小企业网络安全保险 SaaS 化保障服务模式

为中小企业、服务商定制研发 SaaS 化保障服务工具。解决“安全+服务”保险、DDoS 攻击险、智能软件保险等一系列网络安全系列保险产品的线上化保险服务。包括 PC 端和移动端两大模块，有效破解中小企业在网络安全建设中的痛点。

1. 数据合规要求严苛，数据泄露形势严峻

2021 年 9 月实施的《数据安全法》明确了企业数据安全保护责任和义务，并提出相关罚则。但同时，中小企业也经历着更加严峻的数据泄露态势。据 2020 年 Verizon 数据泄露调查报告（DBIR）显示，中小企业与大型企业面临着近乎相同的安全风险，在调研的 407 件中小企业网络安全事件中，近 55%的安全事件伴随着数据泄露。越来越严格的合规要求和日渐严峻的数据泄露风险，给中小企业信息安全建设带来巨大挑战。

2.网络勒索事件频发，难以防范

在经济利益的驱动下，勒索病毒已成为近年来主流的网络安全威胁之一。每年的勒索病毒事件数量频频占据热门网络安全事件前列，并呈现出家族化和高速更新迭代的特征。同时，勒索金额的持续走高。此外，随着勒索软件产业链的形成，勒索软件即服务（RaaS）成为热门黑产盈利模式，黑产从业者无需恶意软件开发的专业知识，就能发起勒索活动。这种低门槛、高收益、传播方式多元化的特性，使得勒索病毒更加难以防范。由于中小企业的 IT 架构基础简单且信息资产大多为核心资产，因此它们成为网络勒索攻击的主要目标，一旦遭受勒索攻击，必将严重影响日常业务的运营。

3.缺乏安全事件应急响应和应对能力

中小企业更倾向于将更多资源投入客户拓展、技术发展和业务运营之中，并且诸多中小企业认为自身体量小、不易攻击而普遍会忽视网络威胁。同时，因其缺乏专职安全团队，应对安全事件的应急响应能力弱，容易导致在事件发生后错过最佳处置时间而无法根除隐患，加重了对业务的不利影响。中小企业需要高效便捷的网络安全保险，面对监管合规要求提高、安全风险激增、安全人才匮乏等问题，网络安全保险成为中小企业增强网络安全保障能力的关键手段之一。

同时，目前国内中小企业投保网络安全保险存在以下痛点：一是大型企业与中小企业投保网络安全保险出现分化。大企业往往在网络安全领域深耕多年，无论是企业的数字化转型的步伐还是网络安全投入都在持续加快。相比之下，中小企业不仅投保意愿不强，在网络安全领域的投入有限。加上中小企业的需求多样而分散，传统的网络安全保险难以推出便捷且个性化的产品和服务，客观上造成了承保的空白区域。这些因素综合作用的结果是大企业和小企业在网络安全保险领域呈现出“马太效应”。因此，大企业虽然是保险公司的业务拓展必争之地，但研制适合中小企业特定保障需求并能降本增效的便捷解决办法更显重要。

二是国内网络安全保险产品种类有限，保障责任同质化严重。不同领域的中小企业在网络安全保障需求和保障水平上存在巨大差异，这就要求保险人在满足不同场景、不同类型企业的差异化风险管理需求的基础上，提供多元化、高效率和便捷性的解决方案。

三是国内外保险企业普遍对网络安全保险的投保手续繁琐，流程冗长。投保企业需要填写调查问卷、进行系统扫描等安全性和合规性细节的审查，同时还需要提供企业信息和系统资产规模等诸多投保要素的资料。这个流程和信息搜集过程需耗费企业较多的时间和人力成本。此外，对企业系统的安全扫描必依法获取授权，这些要求在一定程度上阻碍了原本有投保意愿的企业，甚至导致他们放弃了投保。

四是国内保险人普遍缺乏定价经验和历史数据的支持，仅依赖海外的定价基础以及目前有限的业务规模、承保能力和不充分的历史数据。这种现状再次动摇了投保企业对保费在其安全总成本中所占比重的预判。

五是市场认知度匮乏。险企销售人员普遍缺乏对网络安全保险的认知度，更缺乏信息系统安全领域的知识，这增加了销售的难度。同时，中小企业普遍不了解他们可以通过购买保险来解决网络安全事故带来的后顾之忧。这导致目前国内网络安全保险的规模和增长速度与安全行业的增长速度不匹配。

六是个别传统保险产品并未完全排除网络风险，甚至存在模糊地带，可能引发网络事故索赔责任纠纷的风险。

综合上述情况，太保产险研发了“小微网安保”销售工具，该工具适用于多场景的市场销售模式。包括云服务商的安全托管服务模式的保单追加；供应链企业对其上游核心企业的网络风险兜底；安全厂商的“安全产品+保险保障”的增信模式；产业园区针对工业互联网或者科技公司的保单保障。该销售工具适用上述场景下的各类中小企业投保网络安全保险，保险方案在定制模式下相对固定，便于客户试算保费和明确保障范围。

（二）针对全球大型集团企业，定制全流程深层次的承保、理赔服务规范

1. 提供全方位深层次延伸服务

一是提供保前评估。引入保前风险评估模块和定价模型。针对客户系统安全画像，以科技手段结合各类客户的合规性评估，定出综合险的风险评估结果，以确定业务报价和确定保险方案，为网络安全保险承保把好第一关。二是提供保中监测。对已有客户和潜在客户进行安全画像和需求梳理，对其内外网安全风险态势进行风险测绘和持续监测，旨在进行安全监控、风险预警和危机跟踪。

2. 直保和再保打通，释放最大承保能力

目前，国内财险市场缺乏网络安全保险的承保能力，大部分再保公司认为该风险具有未知性而不愿全面释放承保能力。所以，需要直保市场通过信息共享，将客户诉求、市场经验数据以及再保市场的顾虑进行沟通，达到三方共同认可的标准，从而获得有限的再保和共保支持。

3. 定制应急响应、理赔标准

确立理赔流程和赔偿标准，即定责和定损。定责即通过溯源和取证确定安全事件的责任，回顾整个出险的网络安全事件的过程，提取出对应的核心要素，例如威胁源、攻击面、攻击者和攻击方法、负面影响等，以确定出险事件是否在保单承保事件的范围内。

定损即需要定义不同场景下不同损失的理算方法。一是第一方应急响应损失、数据恢复和系统恢复。这三大成本项采用实报实销制的赔付方式。这类场景几乎会产生所有的安全事件，需要关注费用的经济适用性和合理性。二是网上营业中断导致的利润损失的核损比较复杂。不仅需要考虑一些间接固定成本，还需要确定毛利润损失。首先判断系统是否完全停摆，停摆后是否有优化方案和替代措施；其次确定损失的营业额、预期收入、预期利润的减少，再计算可赔付的恢复成本。最后还需要确定时间的起算点和终止点（事件发生的时间、系统修复重启的时间，以及系统完全恢复到正常状态的时间等）。三是勒索事件。超过 80% 的勒索赔案不鼓励支付赎金，因为即使支付赎金也无法获得解密的密钥。这意味着勒索赔案只能通过处置和恢复来解决。处置方法通常是试图通过网安厂商以较低的成本方式获得解密的密钥，这就产生了勒索事件的处置成本赔付。如确定找不到密钥，就只能支付恢复成本，用于系统和数据的恢复费用。

四、思考与展望

太保产险将进一步以国家政策为引领，树立坚定的网络安全观，充分发挥保险的补偿功能，积极探索和创新，为各行各业的网络和信息科技安全提供有力的保障。

（一）各界融合

目前，国内的网络安全保险市场还处于起步阶段。根据中国网络安全产业联盟发布的《2023 年中国网络安全市场与企业竞争力分析报告》，2022 年我国网络安全市场规模约为 633 亿元，位列全球网络安全市场排名第二。然而，保险规模2023 年才有望突破 2 亿元的规模，渗透比约为 0.3%。而在海外成熟的网络安全保险市场，该比例接近 10%。这两者之间的差距非常悬殊。对我们而言，这既是机遇也是挑战，需要社会各界共同研究和探讨此类风险保障模式大发展的突破口，从源头寻找各行各业的投保和保障需求，包括执法条例法规和实施细则等方面。

(二）保险业自身的强体训练

一是市场培育。国内险企联合共建良性的市场氛围，通过市场引领和多方引导，共同推动客户对保险消费需求的爆发。二是队伍建设。国内从事网络安全保险业务的专家们应加强交流与合作，同时加强自身的基础架构建设和保险从业队伍的能力建设。三是能力建设。充分整合风险数据，确定定价依据；融合保险市场的直保和再保，提升国内保险业的承保能力，确保客户在保险池内的充分安全和得到充分保障的能力。

（本文刊登于《中国信息安全》杂志2023年第10期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情