前段時間一直占據(jù)網(wǎng)絡安全頭條的SolarWinds供應鏈攻擊事件，波及范圍極廣，影響了大量科技企業(yè)，黑客還獲取了微軟Azure等產(chǎn)品的部分源代碼。有報道稱，甚至連美國宇航局(NASA)和聯(lián)邦航空管理局(FAA)的網(wǎng)絡也被入侵。2月4日，美國紐約州率先給保險劃了一個框架，發(fā)布了美國第一個網(wǎng)絡安全保險風險框架。

這類大規(guī)模攻擊造成的損失難以估算，企業(yè)們復盤時看著一長串的損失數(shù)字，默默在網(wǎng)絡安全保險預算后加了個0。

遭遇大范圍黑客攻擊，企業(yè)是否只能自認倒霉?除了技術補救，還有什么方法可以將經(jīng)濟損失降到最低?

保險也許是解決方法之一，給企業(yè)安全和數(shù)據(jù)財產(chǎn)上一重保險。

[[384579]]

惡意勒索、釣魚攻擊成2020年企業(yè)主要安全事件

將視線轉回國內(nèi)，2020年我國也發(fā)生了不少網(wǎng)絡安全事件。釣魚郵件攻擊、惡意勒索軟件、供應鏈攻擊等層出不窮。

據(jù)安全服務商瑞星發(fā)布的《2020年中國網(wǎng)絡安全報告》顯示，其系統(tǒng)在2020年共截獲勒索軟件樣本156萬個，感染次數(shù)為86萬次;挖礦病毒樣本總體數(shù)量為922萬個，感染次數(shù)為578萬次。

同時，2020年截獲的病毒數(shù)量也比2019年同期上升43.71%，達到1.48億個，病毒感染次數(shù)高達3.52億次。

2020年病毒類型統(tǒng)計，來源：瑞星2020年中國網(wǎng)絡安全報告

除此之外，企業(yè)安全事件也頻頻發(fā)生。新型冠狀病毒疫情期間，多個APT組織利用疫情相關信息作為誘餌進行網(wǎng)絡攻擊，中國是頻繁攻擊目標之一。這些APT組織主要利用疫情相關話題的釣魚郵件，通過宏、0day或Nday等漏洞進行攻擊。尼日利亞網(wǎng)絡釣魚組織也通過郵件釣魚等方式對我國進出口貿(mào)易、貨運代理、船運物流等企業(yè)實施攻擊。

2020年上半年，7000多名武漢返鄉(xiāng)人員信息泄露，將公民個人信息安全問題再次暴露在大眾視線中。中國電信超2億條信息以每條0.01元至0.02元的價格被賣出、非法牟利2000余萬元。

網(wǎng)絡安全公司Deep Instinct最新研究報告顯示，2020年，全球惡意軟件總體增加了358%，勒索軟件增加了435%。

“特別是新型冠狀病毒疫情期間，許多公司加速了數(shù)字化轉型，在線業(yè)務體量變大，居家遠程辦公更易暴露安全問題，安全團隊難以及時響應各種攻擊。”Deep Instinct首席執(zhí)行官Guy Caspi做出上述分析，他表示，除了攻擊量龐大，攻擊變得更加復雜也使檢測困難。

網(wǎng)絡攻擊體量之大令許多企業(yè)深受其害，除了從自身技術和安全團隊方面下功夫，一定程度上也催生了網(wǎng)絡安全保險需求，行業(yè)規(guī)模日益擴大。

我國的網(wǎng)安險：起步晚、險種少、歷史數(shù)據(jù)不足

自上世紀90年代中期首批互聯(lián)網(wǎng)網(wǎng)絡安全保險產(chǎn)品面世以來，行業(yè)發(fā)展緩慢，直到2010年后行業(yè)規(guī)模才開始有大幅度提升。

2012年，全球網(wǎng)絡安全保險規(guī)模達到5億美元，其中美國占據(jù)絕大比例的市場份額。相關市場調(diào)查統(tǒng)計，美國企業(yè)投保網(wǎng)絡安全保險比例高達70%。

歐洲網(wǎng)絡安全保險市場也在2018年5月歐盟《通用數(shù)據(jù)保護法案》(GDPR)實施以后迅速壯大。法案對數(shù)據(jù)保護要求嚴格、涉及企業(yè)多、罰款金額高，例如英國航空公司因泄露50萬客戶的個人及信用卡信息被罰款2億歐元。于是，很多企業(yè)開始借助保險工具來轉移風險。

亞洲等其他新興市場的網(wǎng)絡安全保險行業(yè)由于起步晚、法規(guī)不完善等原因，該行業(yè)依然處于緩步發(fā)展階段。

起步晚、險種少、歷史數(shù)據(jù)不足、主要面向企業(yè)端，是我國網(wǎng)絡安全保險行業(yè)的現(xiàn)狀。

2013年，蘇黎世保險在中國首次推出網(wǎng)絡安全保險，但反響平平。這種情況直到2016年11月《中華人民共和國網(wǎng)絡安全法》通過才有所改善，企業(yè)的安全保險意識開始提升，保險公司也開始推出相關險種。

某再保險公司調(diào)研顯示，目前中國市場上購買網(wǎng)絡安全保險的企業(yè)以國際性企業(yè)和世界500強企業(yè)為主。它們通常持有全球性的網(wǎng)絡安全保單，某些獨立保單的保障限額在人民幣3億元至10億元之間，有些甚至達到10億元以上。

中國本土企業(yè)中，電子商務行業(yè)由于業(yè)務對線上依賴程度高，所以對網(wǎng)絡安全保險的需求也更高。

有機構觀察到，在中國，中小型企業(yè)對網(wǎng)絡安全保險的投保積極性更高。據(jù)統(tǒng)計，2019年中小企業(yè)遭遇的網(wǎng)絡安全事件中，26%為勒索軟件、26%為虛擬挖礦、17%為蠕蟲病毒、14%為入侵事件。由于自身人力和應急響應機制不健全等原因，中小企業(yè)更傾向于借助保險工具轉移部分網(wǎng)絡安全風險。

中小企業(yè)網(wǎng)絡安全事件類型分布，來源：綠盟科技

網(wǎng)安險該如何突破現(xiàn)狀

2019年，工信部曾發(fā)布《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見》，提出要探索開展網(wǎng)絡安全保險服務。原中國保監(jiān)會副主席周延禮也曾表示，解決中國的網(wǎng)絡安全問題，需借鑒成熟市場的有效做法，大力推動網(wǎng)絡安全保險市場發(fā)展。

雖然中國網(wǎng)絡安全保險行業(yè)正在逐步升溫，但其中還面臨不少困難。對于保險公司而言，難點在無法準確衡量網(wǎng)絡風險、系統(tǒng)性風險考慮不足、網(wǎng)絡攻擊事件的權責劃分和除外條款。對于企業(yè)而言，難點在于險種選擇少、保費高、賠付額度有限。

以2017年現(xiàn)象級的NotPetya網(wǎng)絡攻擊事件為例，美國制藥巨頭默克公司稱該網(wǎng)絡攻擊已致公司損失5.8億美元，且隨著時間的推移損失還將增加2億美元。但保險專家給出的理賠額度僅為2.75億美元，不到實際已產(chǎn)生損失的一半。

[[384580]]

NotPetya網(wǎng)絡攻擊，來源：網(wǎng)絡

如果說默克公司已算幸運，那同樣遭受NotPetya攻擊的食品巨頭億滋國際提出的賠償要求則被拒絕。蘇黎世美國保險公司以“任何政府或主權力量的敵對或戰(zhàn)爭行為免于賠付”為由拒絕賠付，因為在美國情報官員將NotPetya惡意軟件的來源認定為俄羅斯軍隊針對烏克蘭的攻擊。

相比于國外有公開的賠付案例，國內(nèi)公開的案例則比較少，企業(yè)也會出于品牌形象考慮避免宣傳此類信息。

對于網(wǎng)絡安全保險來說，網(wǎng)絡風險很難理解，規(guī)避起來也很麻煩。威脅環(huán)境不斷變化也導致保險公司需要不斷調(diào)整整體保險計劃。網(wǎng)絡安全保險不像財產(chǎn)險等成熟的保險業(yè)務，市場上有豐富的歷史數(shù)據(jù)，在設計和購買產(chǎn)品時市場上有可參考的目標額度和實際情況。

例如，與2015年至2017年的安全事件相比，2020年勒索軟件大行其道。想要應對勒索軟件攻擊，保險公司就必須跟上行業(yè)發(fā)展或者選擇和網(wǎng)絡安全公司合作，開發(fā)出合適的產(chǎn)品。

對于企業(yè)來說，保費較高是面臨的問題之一。這也是全球所有企業(yè)面臨的網(wǎng)絡安全保險現(xiàn)狀之一，因為保險公司對網(wǎng)絡安全風險的認知不深，出于保守定價考慮，將保費定的比較高。

美國紐約州前不久發(fā)布了美國第一個網(wǎng)絡安全保險風險框架，給所有財產(chǎn)和意外保險公司提供指引。該風險框架主要有七個方面：

• 建立正式的網(wǎng)絡保險風險策略;
• 管理并消除沉默網(wǎng)絡保險風險敞口;
• 評估系統(tǒng)性風險;
• 嚴格衡量保險風險;
• 為被保險人及保險提供方提供教育引導;
• 獲取網(wǎng)絡安全專業(yè)知識;
• 向執(zhí)法部門發(fā)布通報。

該風險框架對我國網(wǎng)絡安全保險行業(yè)同樣具有借鑒意義。一方面，我國應該制定關于網(wǎng)絡安全保險的法律法規(guī)，為網(wǎng)絡安全風險的評估和等級界定提供確切標準。另一方面，保險公司要提高風險衡量能力，可以選擇與安全廠商聯(lián)手設計保險產(chǎn)品，并且提高網(wǎng)絡安全保險的精算能力。

作為企業(yè)方，則應該加強網(wǎng)絡安全意識，提升自身技術能力或調(diào)整單一性業(yè)務架構，提高應對網(wǎng)絡攻擊能力。同時，企業(yè)還應該選擇一份合適的網(wǎng)絡安全保險，轉移部分風險。