網(wǎng)絡安全保險作為一個跨行業(yè)融合創(chuàng)新的新險種,,不僅需要保險機構提供專業(yè)支持,,也需要網(wǎng)絡安全企業(yè)提供相關技術,賦能網(wǎng)絡安全風險事前,、事中,、事后管理的全流程,,如風險評估,、風險監(jiān)測、攻防演練,、應急響應,、事后恢復等。
工信部,、國家金融監(jiān)管總局近日聯(lián)合印發(fā)《關于促進網(wǎng)絡安全保險規(guī)范健康發(fā)展的意見》(以下簡稱《意見》),。
網(wǎng)絡安全保險是為網(wǎng)絡安全風險提供保險保障的新興險種,日益成為轉移,、防范網(wǎng)絡安全風險的重要工具,,在推進網(wǎng)絡安全社會化服務體系建設中發(fā)揮著重要作用,。
《意見》相關解讀指出,隨著我國數(shù)字經(jīng)濟的快速發(fā)展,,網(wǎng)絡安全基礎性,、保障性作用增強。網(wǎng)絡安全保險作為承保網(wǎng)絡安全風險的新險種,、網(wǎng)絡安全服務的新模式,,有利于行業(yè)企業(yè)提升網(wǎng)絡安全風險應對能力,促進中小企業(yè)數(shù)字化轉型發(fā)展,,推進構建網(wǎng)絡安全社會化服務體系,,促進網(wǎng)絡安全產(chǎn)業(yè)高質量發(fā)展,助力制造強國,、網(wǎng)絡強國建設,。《意見》的出臺,,將有力指引網(wǎng)絡安全保險健康有序發(fā)展,。
當前,我國網(wǎng)絡安全保險發(fā)展現(xiàn)狀如何,?網(wǎng)絡安全險產(chǎn)品發(fā)展亟待解決哪些問題,?推動我國網(wǎng)絡安全險規(guī)范健康發(fā)展,還應在哪些方面重點完善,?7月下旬,,科技日報記者就這些問題采訪了相關專家。
網(wǎng)絡安全保險方興未艾
“截至目前,,我國有37家保險公司(含外資,、合資保險公司)提供89款在售網(wǎng)絡安全保險產(chǎn)品(含附加險9款),其中企財險達42款,、責任保險22款,,還有一些為其他類型,如網(wǎng)絡安全綜合險,、應急響應專項險等險種,。”國家工業(yè)信息安全發(fā)展研究中心總工程師黃鵬告訴科技日報記者,,據(jù)測算,,2022年我國網(wǎng)絡安全保險保費規(guī)模約1.4億元,較2021年翻一番,,保持高速增長,。
黃鵬介紹,我國網(wǎng)絡安全保險產(chǎn)品服務模式主要有兩種。一種是面向行業(yè)企業(yè)網(wǎng)絡安全風險管理需求的“保險服務+安全風控”模式,。該模式下,,保險公司發(fā)揮主導作用,借助網(wǎng)絡安全企業(yè),、專業(yè)網(wǎng)絡安全測評機構的網(wǎng)絡安全技術能力,、場景化評估分析能力和數(shù)據(jù)整合分析能力,開展產(chǎn)品開發(fā),、核保定價,、防災減損等保險服務,為行業(yè)企業(yè)提供網(wǎng)絡安全財產(chǎn)損失險,、責任險,、綜合險等保險產(chǎn)品。另一種模式為面向網(wǎng)絡安全產(chǎn)品殘余風險轉移需求的“安全防護+保險保障”模式,。該模式由網(wǎng)絡安全企業(yè)主導,,體現(xiàn)為網(wǎng)絡安全企業(yè)為行業(yè)企業(yè)用戶提供網(wǎng)絡安全防護類產(chǎn)品的同時,附加網(wǎng)絡安全專門保險,,如在招標文件中明確網(wǎng)絡安全服務中包含為服務責任兜底的網(wǎng)絡安全保險產(chǎn)品,。
如今,網(wǎng)絡安全企業(yè),、保險公司,、保險科技企業(yè)等多方主體正積極投身網(wǎng)絡安全保險產(chǎn)品形態(tài)和服務模式創(chuàng)新,助推我國網(wǎng)絡安全保險行業(yè)快速發(fā)展,。
作為我國網(wǎng)絡安全保險領域的首份政策文件,,《意見》圍繞完善政策標準、創(chuàng)新產(chǎn)品服務,、強化技術支持,、促進需求釋放、培育產(chǎn)業(yè)生態(tài)等提出5方面10條意見,,鼓勵保險機構面向不同行業(yè)場景的差異化網(wǎng)絡安全風險管理需求,,開發(fā)多元化網(wǎng)絡安全保險產(chǎn)品。
在奇安信董事長齊向東看來,,《意見》將促進網(wǎng)絡安全保險創(chuàng)新升級,,幫助企業(yè)有效規(guī)避安全風險?!安煌袠I(yè)面臨的網(wǎng)絡風險存在差異,,安全保障需求也不盡相同。多元化的網(wǎng)絡安全保險產(chǎn)品能使企業(yè)享受到有針對性的保險服務,,提升安全防護能力,最大程度實現(xiàn)風險可控,?!?/p>
持續(xù)開展技術和產(chǎn)品創(chuàng)新
在黃鵬看來,,我國網(wǎng)絡安全保險市場當前正處于發(fā)展初期。社會對網(wǎng)絡安全保險的認知尚顯不足,。從供給側看,,網(wǎng)絡安全保險是一個新興險種,并對銷售推廣人員提出了較高的專業(yè)性要求,,目前大部分保險公司的業(yè)務人員并不具備網(wǎng)絡安全專業(yè)知識,,因此對該險種的推廣力度有限,網(wǎng)絡安全保險尚未得到投保企業(yè)的廣泛關注,。從需求側看,,多數(shù)企業(yè)對投保網(wǎng)絡安全保險的認識僅僅停留在傳統(tǒng)意義上“在出險后獲得賠償”的層面,僅有部分企業(yè)片面了解到其對降低合規(guī)風險或實現(xiàn)增信的作用,,然而極少有企業(yè)了解網(wǎng)絡安全保險可提供風險管理服務,、監(jiān)控風險敞口的重要作用。
同時,,網(wǎng)絡安全保險服務規(guī)范也亟待完善,。作為典型的“舶來品”,網(wǎng)絡安全保險的承保內容尚未達成行業(yè)共識,,流程機制也還未建立,。
另外,賦能保險的安全技術有待加強,。在風險評估方面,,傳統(tǒng)意義上的網(wǎng)絡安全風險評估多為定性分析,缺乏針對風險發(fā)生概率,、損失類型以及損失規(guī)模的預測,,難以轉化為適用于核保評估的定量數(shù)據(jù)。在風險監(jiān)測方面,,以漏洞掃描,、Web應用防火墻等為代表的風險監(jiān)測方式可能并不完全適用于承保過程中,對新增的脆弱性及潛在威脅的持續(xù)監(jiān)測,,不同機構提供的服務類型與頻率,、監(jiān)測的對象和指標也存在較大差異,如何優(yōu)化并規(guī)范風險監(jiān)測技術仍有待研究,。
網(wǎng)絡安全保險是網(wǎng)絡安全技術和保險服務的有機結合,,網(wǎng)絡安全技術在網(wǎng)絡安全保險業(yè)務關鍵環(huán)節(jié)中發(fā)揮著重要作用。網(wǎng)絡安全保險作為一個跨行業(yè)融合創(chuàng)新的新險種,,不僅需要保險機構提供專業(yè)支持,,也需要網(wǎng)絡安全企業(yè)提供相關技術,賦能網(wǎng)絡安全風險事前、事中,、事后管理的全流程,,如風險評估、風險監(jiān)測,、攻防演練,、應急響應、事后恢復等,。
《意見》聚焦網(wǎng)絡安全風險量化評估和網(wǎng)絡安全風險監(jiān)測兩方面,,強化網(wǎng)絡安全技術賦能保險發(fā)展。
一方面,,應開展網(wǎng)絡安全風險量化評估,,探索建立網(wǎng)絡安全風險量化評估模型,開發(fā)輕量化網(wǎng)絡安全風險量化評估工具,。同時,,鼓勵建立網(wǎng)絡安全風險理賠數(shù)據(jù)庫,支撐網(wǎng)絡安全風險精準定價,。
另一方面,,加強網(wǎng)絡安全風險監(jiān)測能力,開展網(wǎng)絡安全保險全生命周期風險監(jiān)測,,覆蓋事前,、事中、事后等重要環(huán)節(jié),,充分利用網(wǎng)絡安全風險監(jiān)測技術手段,,針對網(wǎng)絡安全漏洞、惡意網(wǎng)絡資源,、網(wǎng)絡安全事件等開展網(wǎng)絡安全威脅實時監(jiān)測,,及時發(fā)現(xiàn)網(wǎng)絡安全風險隱患。
“網(wǎng)絡安全險的保費與網(wǎng)絡安全廠商的安全技術創(chuàng)新能力成負相關,,技術創(chuàng)新能力越高保費越低,,這對廠商的技術實力提出了重大考驗?!饼R向東強調,,“為了深度參與網(wǎng)絡安全保險產(chǎn)業(yè),網(wǎng)絡安全廠商必須根據(jù)不同行業(yè)的特點,,持續(xù)開展技術和產(chǎn)品創(chuàng)新,。”
加快構建網(wǎng)絡安全保險標準體系
目前,,我國還未有明確的網(wǎng)絡安全保險相關的國家標準和行業(yè)標準,,一些網(wǎng)絡安全專業(yè)機構和行業(yè)龍頭企業(yè)也在積極推進網(wǎng)絡安全保險基礎類,、應用類標準研制。
黃鵬建議,,下一步應加快構建系統(tǒng),、科學,、規(guī)范的網(wǎng)絡安全保險標準體系,,加強對網(wǎng)絡安全保險發(fā)展的指導和規(guī)范。面向基礎概念,,統(tǒng)一規(guī)范網(wǎng)絡安全保險相關專業(yè)定義,、術語表達,促進網(wǎng)絡安全保險產(chǎn)品條款標準化,。面向主要業(yè)務環(huán)節(jié),,制定網(wǎng)絡安全風險量化與核保評估、網(wǎng)絡安全風險管控與防災減損,、網(wǎng)絡安全事件處置與理賠鑒定等服務規(guī)范,。面向不同行業(yè)領域,結合電信和互聯(lián)網(wǎng),、工業(yè)互聯(lián)網(wǎng),、車聯(lián)網(wǎng)等具體行業(yè)領域的網(wǎng)絡安全風險特點,保障范圍,、業(yè)務模式的差異,,明確上述業(yè)務環(huán)節(jié)對應的網(wǎng)絡安全技術要求。
《意見》提出,,加快標準研制,,研究建立網(wǎng)絡安全保險標準框架,加快關鍵亟須標準制定,。具體來看,,要健全網(wǎng)絡安全保險標準規(guī)范。支持網(wǎng)絡安全產(chǎn)業(yè)和保險業(yè)加強合作,,建立覆蓋網(wǎng)絡安全保險服務全生命周期的標準體系,,統(tǒng)一行業(yè)術語規(guī)范,明確核保,、承保,、理賠等主要環(huán)節(jié)基本流程和通用要求。研究制定承保前重點行業(yè)領域網(wǎng)絡安全風險量化評估相關標準,,規(guī)范安全風險評估要求,;承保中網(wǎng)絡安全監(jiān)測管理服務相關標準,規(guī)范監(jiān)測預警方法,;承保后理賠服務實施要求相關標準,,規(guī)范網(wǎng)絡安全保險售后服務,。