勒索病毒蔓延 谁能成为网络攻击最后的“堡垒”？

勒索病毒“Wannacry”已经在全球蔓延月余，上周，日本汽车工厂又受到了勒索病毒的攻击，致使工厂停工1天；同期，黑客组织“无敌舰队”向韩国7家银行勒索约30万美元等额比特币赎金，否则就将发起分布式拒绝服务攻击。

事实上，全球保险巨头怡安集团调查数据显示，过去两年间，37%的企业至少遭受了一次“重大破坏性的安全漏洞或数据泄漏事件”，平均经济损失高达210万美元。

谁能成为网络攻击的最后“堡垒”，为企业的损失“买单”?网络安全保险似乎是个不错的答案。

网络风险催生保险需求

根据怡安集团发布的《2017全球风险管理报告》，网络安全风险已经成为全球企业和组织共同关注的五大主要风险之一，而在几年前，这项风险还被排在十名之外。

据了解，网络安全风险是一种由于企业或组织的计算机系统被攻击或故障引发的风险事件。这类风险可能因为人为的失误或系统故障引起，但最常见的是因为外部的病毒感染或者恶意网络攻击而导致。

怡安集团数据显示，2017年5月爆发的“Wannacry”勒索病毒，导致了150个国家地区的超过25万台电脑感染。去年3月，网络攻击导致孟加拉国央行8100万美元被窃，这是有史以来最大的网络风险导致的金融业损失案。

怡安集团旗下专攻网络安全的子公司盛方实证管理总监Paul Jackson表示，网络攻击的本质并不是静态的。网络威胁的进化速度要远远快于电脑系统防御手段的进展速度，这通常是因为安全防护手段都是在威胁产生之后才随之研发出来的。因此，强烈建议企业应该不仅做好有效的网络安全防护的技术手段，也应该考虑安排网络安全保险作为有效的风险补充策略，这样才能得到最全面的防护，最大可能地减少企业由于网络攻击而遭受到的财务和名誉损失。

怡安集团风险解决方案亚洲区总监Andrew Mahony表示，和一般的企业财产险或商业犯罪防护保险不同，网络安全保险能够针对所有网络攻击类型造成的企业自身损失和第三方索赔进行赔付。目前，这一险种的90%市场份额在美国，在亚洲也已经有越来越多的相关客户来投保网络安全保险。

“由于美国是一个诉讼经常发生的地区，因此主要容易发生来自第三方的索赔，而亚洲则面临更多的是第一方损失，例如网络勒索病毒的赎金、公关费、营业中断导致的利润损失等等。”Andrew Mahony说。

中怡保险经纪总经理吴青表示，目前大部分网络安全保险的赔付率大约在55%到65%之间，再算上费用率，估计保险公司在网络安全险上有接近15%的净利润。“相比2015年的承保利润率已有所降低，说明目前网络风险的环境可能更为恶劣了。”吴青称。

中国目前定价为美国50%

得益于互联互通的新兴信息化技术，中国的商业环境已经发生了彻底的变革。在受益于众多机遇的同时，网络安全风险的挑战也随之而来。

怡安集团数据显示，中国在网络攻击流量数据上排名世界第一，表明中国是网络攻击最多的发起地，同时也是遭受攻击最多的目的地。

不过，网络安全保险前几年在中国的发展较为缓慢。中怡保险经纪金融及专业责任部总监申迪中介绍称:“2012年至2013年开始有部分外资保险公司将美国、英国、欧洲等较成熟化的网络安全保险引入到中国国内。同时，大概有7-8家保险公司在保监会报备了相关的国际性网络安全保险保单。我们已经跟这些保险公司有二三十张相关保单的合作。”

但申迪中认为，现在为止中国在该险种上总体的市场接受度跟国外比还是相对偏低一点，“这跟很多因素相关，包括法律没有那么健全，由于缺乏数据来进行核保和定价，保险公司在前两年也不是那么积极。目前我们看到一些跨国企业在中国的分支机构对网络安全保险的兴趣更明显，因为他们的总部已经有非常强的网络安全事故保险意愿。”

事实上，缺乏数据来进行准确核保是国内保险公司在网络安全保险这类的特殊风险保险上的一大“痛点”。Andrew Mahony表示，由于网络安全风险非常多变，对于很多保险公司来说，准确判断客户面对的风险敞口确实比较困难，目前保险公司正在努力积累尽量多的数据。不过，据Andrew Mahony介绍称，目前在中国的保险市场上网络安全保险的定价只有美国的50%，在全球范围内明显处于偏低的水平。“目前中国的网络安全保险市场不仅费率较低，条款设计也较灵活，是投保的有利时期。如果再发生几次大的黑客攻击事件影响到中国企业，估计该险种的费率会有明显的变化。”

同时，随着《中华人民共和国网络安全法》于6月1日起正式实施，我国的网络安全监管和网络运营环境也步入了新时代。众多中国企业需要重新认识自身义务和法律责任，并迅速开展网络风险评估、制定预案等，以便得到新法提供的安全保障。

而Paul Jackson表示，如果中国企业要“走出去”，除了遵守中国相关法律之外，也要符合当地的法律规定，而欧盟、美国都有严格的关于网络安全的法律。