2021年3月，谷歌云、安聯(lián)全球與慕尼黑再保集團(tuán)共同發(fā)起了一個(gè)“風(fēng)險(xiǎn)保護(hù)計(jì)劃”的項(xiàng)目。該項(xiàng)目包括一個(gè)稱為“風(fēng)險(xiǎn)管理器”的診斷工具，使谷歌云的客戶能夠管理和衡量平臺(tái)上的風(fēng)險(xiǎn)并得到報(bào)告，以及安聯(lián)全球和慕尼黑再保提供的網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品，專門為谷歌云客戶設(shè)計(jì)。客戶將風(fēng)險(xiǎn)管理器運(yùn)行的結(jié)果送給安聯(lián)全球和慕尼黑再保，以獲取網(wǎng)絡(luò)保險(xiǎn)的報(bào)價(jià)。這意味著如果與谷歌云整合，網(wǎng)絡(luò)保險(xiǎn)采購將更加容易。

市場(chǎng)研究機(jī)構(gòu)Markets and Markets發(fā)布的統(tǒng)計(jì)報(bào)告顯示，網(wǎng)絡(luò)保險(xiǎn)費(fèi)用將從2020年的78億美元，增長(zhǎng)到2025年的204億美元，年復(fù)合增長(zhǎng)率達(dá)到21%。

各種類型的網(wǎng)絡(luò)攻擊正在成為所有機(jī)構(gòu)組織的大麻煩，并且，由于不存在一勞永逸的防護(hù)方案和百分之百的安全措施，許多企業(yè)開始尋求網(wǎng)絡(luò)保險(xiǎn)的幫助，以降低網(wǎng)絡(luò)攻擊帶來的重大損失。但網(wǎng)絡(luò)保險(xiǎn)到底覆蓋哪些范圍?哪些情況又不在保險(xiǎn)范圍內(nèi)?又有哪些適合自己的保險(xiǎn)決策?

▶ 什么是網(wǎng)絡(luò)保險(xiǎn)?

網(wǎng)絡(luò)保險(xiǎn)(CYBER INSURANCE)，也稱之為網(wǎng)絡(luò)責(zé)任保險(xiǎn)，是一種幫助組織減輕因網(wǎng)絡(luò)攻擊或黑客入侵而帶來重大損失或后果的保險(xiǎn)策略。Gartner的全球金融服務(wù)研究與咨詢部的負(fù)責(zé)人尤爾根·韋斯認(rèn)為網(wǎng)絡(luò)保險(xiǎn)正規(guī)的定義是，“本質(zhì)上是保險(xiǎn)公司與投保人之間的一份合約，目的是防范計(jì)算機(jī)或網(wǎng)絡(luò)事件引起的損失。”

然而，網(wǎng)絡(luò)保險(xiǎn)并非無所不包。作為投保方的企業(yè)也需要清楚網(wǎng)絡(luò)保險(xiǎn)的覆蓋范圍，也許更重要的，要清楚哪些不是網(wǎng)絡(luò)保險(xiǎn)的范圍。而且，雖然保險(xiǎn)的確能夠有助于減少損失，加強(qiáng)自身的網(wǎng)絡(luò)安全措施也是企業(yè)的責(zé)任，這種責(zé)任不可能轉(zhuǎn)嫁到承保方。

網(wǎng)絡(luò)保險(xiǎn)無法解決所有的網(wǎng)絡(luò)安全問題，也不可能防止網(wǎng)絡(luò)入侵或網(wǎng)絡(luò)攻擊。

▶ 誰需要網(wǎng)絡(luò)保險(xiǎn)?

任何有線上業(yè)務(wù)或是擁有網(wǎng)絡(luò)與信息系統(tǒng)的機(jī)構(gòu)，都可能會(huì)從網(wǎng)絡(luò)保險(xiǎn)中受益，考慮到現(xiàn)在幾乎所有的組織都會(huì)使用網(wǎng)絡(luò)或計(jì)算機(jī)，因此這個(gè)問題的答案可以說是任何機(jī)構(gòu)。有兩個(gè)典型的場(chǎng)景：一是數(shù)據(jù)泄露。如客戶或員工的個(gè)人信息、知識(shí)產(chǎn)權(quán)，以及敏感的財(cái)務(wù)數(shù)據(jù)等，都是網(wǎng)絡(luò)犯罪分子覬覦的盜竊目標(biāo)。另一個(gè)典型的案例就是勒索軟件，小到鎖死你的計(jì)算機(jī)，大到癱瘓機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)。

這兩種情況都會(huì)導(dǎo)致機(jī)構(gòu)承受巨大的經(jīng)濟(jì)損失，而這時(shí)，網(wǎng)絡(luò)保險(xiǎn)就能有效的減少這些損失。

▶ 什么樣的攻擊才可以申請(qǐng)保險(xiǎn)理賠?

理論上許多網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)事故都可以觸發(fā)保險(xiǎn)理賠，但實(shí)際上目前最普遍的三種情況是，勒索軟件、電子匯款欺詐和商業(yè)郵件攻擊(BEC)。

▶ 網(wǎng)絡(luò)保險(xiǎn)的成本幾何?

網(wǎng)絡(luò)保險(xiǎn)的成本由幾種因素構(gòu)成，包括業(yè)務(wù)規(guī)模和年?duì)I收等。其他的還會(huì)有行業(yè)屬性、業(yè)務(wù)數(shù)據(jù)類型，甚至是整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。此外，如果某機(jī)構(gòu)的網(wǎng)絡(luò)安全保障工作做的較差，或是曾經(jīng)發(fā)生過黑客入侵、數(shù)據(jù)泄露等事件，就會(huì)比安全聲譽(yù)好的公司付出更多的保險(xiǎn)成本。(注：行業(yè)屬性是指類似于金融、醫(yī)療這種業(yè)務(wù)敏感性較強(qiáng)的行業(yè)，保險(xiǎn)費(fèi)一定會(huì)高)

▶ 網(wǎng)絡(luò)保險(xiǎn)都覆蓋哪些內(nèi)容?

不同的保險(xiǎn)公司提供的保險(xiǎn)范圍也不盡相同，但一般來說都會(huì)承保網(wǎng)絡(luò)攻擊造成的直接成本。

以數(shù)據(jù)恢復(fù)和系統(tǒng)取證為例，這兩種工作都是勒索軟件攻擊后的標(biāo)準(zhǔn)程序，也是大多數(shù)機(jī)構(gòu)目前面臨的最大的威脅之一。為此有些保險(xiǎn)業(yè)務(wù)會(huì)承保贖金，盡管執(zhí)法部門和安全從業(yè)者并不推薦這種做法，因?yàn)槭窃谧兿喙膭?lì)網(wǎng)絡(luò)罪犯。

商業(yè)郵件攻擊(BEC)是另一種能導(dǎo)致巨大商業(yè)損失的網(wǎng)絡(luò)攻擊手段，攻擊者通過假扮企業(yè)高管，供應(yīng)商，或是其他可信的聯(lián)系人，誘騙財(cái)務(wù)人員轉(zhuǎn)款。

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心在2020年發(fā)布的網(wǎng)絡(luò)保險(xiǎn)指南中指出，保險(xiǎn)政策的確會(huì)承擔(dān)BEC造成的損失，但這都是直接以BEC的名目單獨(dú)的承保業(yè)務(wù)，并非標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全保險(xiǎn)政策，如果機(jī)構(gòu)只投保了網(wǎng)絡(luò)保險(xiǎn)，很可能得不到賠償。因此企業(yè)在選擇網(wǎng)絡(luò)安全保險(xiǎn)的時(shí)候，一定要清楚保險(xiǎn)的范圍。同時(shí)，如果已經(jīng)有了其他涵蓋了網(wǎng)絡(luò)保險(xiǎn)的保險(xiǎn)項(xiàng)目，如業(yè)務(wù)中斷或是財(cái)產(chǎn)保險(xiǎn)，也要檢查一下具體的保險(xiǎn)條款，以免重復(fù)或遺漏。

▶ 網(wǎng)絡(luò)保險(xiǎn)不承保哪些損失?

有一些對(duì)于機(jī)構(gòu)很重要的資產(chǎn)，網(wǎng)絡(luò)保險(xiǎn)并未覆蓋。因此需要弄清哪些資產(chǎn)未被覆蓋，才能對(duì)之采取正確的保護(hù)措施。

如果是知識(shí)產(chǎn)權(quán)被竊造成的財(cái)務(wù)損失，以及網(wǎng)絡(luò)攻擊導(dǎo)致的名譽(yù)損失，網(wǎng)絡(luò)保險(xiǎn)并不涵蓋。例如，當(dāng)發(fā)生網(wǎng)絡(luò)攻擊后保險(xiǎn)可以賠償直接損失，但如果由于企業(yè)給公眾留下了安全能力不足的印象，進(jìn)一步導(dǎo)致客戶流失的業(yè)務(wù)損失，網(wǎng)絡(luò)保險(xiǎn)并不承擔(dān)。

▶ 網(wǎng)絡(luò)保險(xiǎn)能承保重大網(wǎng)絡(luò)安全事件嗎?

2017年兩起網(wǎng)絡(luò)攻擊給全球帶來了巨大損失，Wannacry與NotPetya勒索軟件。后者導(dǎo)致一些大型企業(yè)在全球的業(yè)務(wù)下線，有些企業(yè)不得不從零開始重建網(wǎng)絡(luò)，全球損失據(jù)估計(jì)可達(dá)數(shù)十億美元。

一般而言，人們普遍會(huì)認(rèn)為，這應(yīng)該屬于典型的理賠范圍。但一些保險(xiǎn)機(jī)構(gòu)卻表示不予賠償，因?yàn)镹otPetya與俄羅斯軍方有關(guān)，這種攻擊屬于“戰(zhàn)爭(zhēng)行為”，而戰(zhàn)爭(zhēng)行為不在超出了理賠條款。但也確實(shí)也有一些保險(xiǎn)公司賠付了遭受NotPetya攻擊企業(yè)的損失。

由于物理世界與網(wǎng)絡(luò)世界的融合，兩者的界限越來越模糊，不管是保險(xiǎn)業(yè)還是投保人，越來越難以在保險(xiǎn)承包界限上達(dá)成一致。

▶ 如何申請(qǐng)網(wǎng)絡(luò)保險(xiǎn)?

網(wǎng)絡(luò)保險(xiǎn)不可能是解決網(wǎng)絡(luò)安全問題的“銀彈”，而整個(gè)網(wǎng)絡(luò)安全行業(yè)也不存在“銀彈”。實(shí)際上，為了更加合理的規(guī)劃網(wǎng)絡(luò)保險(xiǎn)，機(jī)構(gòu)自身還需要證明自身對(duì)網(wǎng)絡(luò)安全的負(fù)責(zé)，因?yàn)槿魏伪ｋU(xiǎn)機(jī)構(gòu)都不愿意接受很容易遭受黑客入侵的客戶。而且，網(wǎng)絡(luò)安全是一個(gè)持續(xù)性的工作，機(jī)構(gòu)不僅要在簽署保險(xiǎn)協(xié)議之前做好網(wǎng)絡(luò)安全保障，還要不斷的保持適當(dāng)?shù)陌踩胧?，以跟上不斷變化的威脅環(huán)境，否則就有失去承保的風(fēng)險(xiǎn)。千萬不能因?yàn)橐呀?jīng)投入了網(wǎng)絡(luò)保險(xiǎn)，就放松對(duì)自身網(wǎng)絡(luò)安全保障的持續(xù)投入。

機(jī)構(gòu)對(duì)自身的關(guān)鍵系統(tǒng)和關(guān)鍵數(shù)據(jù)的理解也非常重要，以及投保的覆蓋范圍是否足夠。這意味著，決定一份網(wǎng)絡(luò)保險(xiǎn)單不僅僅是IT部門的問題，更是一個(gè)涉及高管管理層的問題。

▶ 網(wǎng)絡(luò)保險(xiǎn)的未來?

隨著網(wǎng)絡(luò)攻擊數(shù)量的持續(xù)增長(zhǎng)和網(wǎng)絡(luò)犯罪活動(dòng)的日益猖狂，網(wǎng)絡(luò)保險(xiǎn)的運(yùn)作方式也隨之變化。如上文中所述，保險(xiǎn)機(jī)構(gòu)很難去承保那些不關(guān)心網(wǎng)絡(luò)安全措施的機(jī)構(gòu)。支付保險(xiǎn)索賠對(duì)于保險(xiǎn)供應(yīng)商來說，是一個(gè)純成本的行為。因此，保險(xiǎn)機(jī)構(gòu)已經(jīng)開始在主動(dòng)幫助機(jī)構(gòu)做好網(wǎng)絡(luò)安全體系，而不是僅僅被動(dòng)的規(guī)范好保險(xiǎn)條款。