近日,国家网信办会同公安部等六部门联合进驻滴滴出行科技有限公司,开展网络安全审查,网络安全话题再度受到公众广泛关注。

  记者注意到,工信部在日前印发的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(以下简称《征求意见稿》)中提出,探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力。

  我国网络安全仍面临诸多挑战。国家网信办发布的《2020年我国互联网网络安全态势综述》显示,2020年,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量共计20704个,继续呈上升趋势,同比增长27.9%,2016年以来年均增长率为17.6%。其中,高危漏洞数量为7420个,同比增长52.1%;“零日”漏洞数量为8902个,同比增长56.0%。

  以《征求意见稿》提及拟开展网络安全保险服务试点的工业互联网领域为例,监测数据显示,我国境内直接暴露在互联网上的工控设备和系统存在高危漏洞隐患占比仍然较高。在对能源、轨道交通等关键信息基础设施在线安全巡检中发现,20%的生产管理系统存在高危安全漏洞。与此同时,工业控制系统已成为黑客攻击利用的重要对象,境外黑客组织对我国工控视频监控设备进行了针对性攻击。去年2月,针对存在某特定漏洞工控设备的恶意代码攻击持续半个月之久,攻击次数达6700万次,攻击对象包含数十万个IP地址。

  与日益严峻的网络安全风险形势相比,我国网络安全保险发展显得有些滞后。一方面,我国市场上现有网络安全保险产品数量少,缺乏面向国内实际网络安全风险的保险产品;另一方面,中资财险公司对于网络安全保险产品的开发持保守态度,现有个人网络安全险产品趋同性严重。从产品形态来看,网络安全保险合同对于网络安全保险的保障范围以及责任定义标准不一,保障范围相对较窄,且多以各种财产险的附加险形式存在。

  安达保险金融责任险总监周一芳此前在接受《金融时报》记者采访时表示,虽然近5年来网络安全保险开始在国内逐步推行,询价量及签单量均呈现显著增长,但较之北美及欧洲市场,市场的认知度和综合解决方案的成熟度仍存在较大差距。

  缺乏定价数据支持与网络安全风险模型,是保险公司探索网络安全保险的重要制约因素。目前,我国网络安全保险发展历程尚不足5年,行业参与者较少,几乎没有可参考的历史保险损失经验,保险公司获取有效定价基础信息的渠道非常有限,数据的缺失严重制约着网络安全保险的发展进程。对于风险缺乏准确的评估能力也是保险公司风控能力的一大掣肘。网络风险影响因素复杂、数据搜集困难,网络风险的传导性也加大了对潜在经济损失的预测难度,这些都使得保险公司即使看到了网络安全保险市场的机遇,也只能谨慎地开展业务尝试。

  在周一芳看来,随着越来越多有国际背景的保险公司及国内大型保险公司将网络安全产品引入国内并进行改良升级,使之更贴近国内企业的现实需求,网络安全保险产品的市场接纳度在逐步提升。同时,越来越多的企业开始意识到传统责任险和财产险因网络攻击事件造成损失的明示除外或不充分确定的保障设置,对企业的稳定经营和隐私保护风险转移是一重大缺陷,进而考虑通过独立特定的网络安全保险产品完善企业风险管理。

  对于网络安全保险的发展,相关报告建议,一是要避免产品同质化,要针对不同客户群体实现差异化精准定位;二是网络安全保险应根据客户群的网络安全需求进行定制化,避免产品出现安全风险覆盖不足的问题;三是加强与科技部门合作,保持对网络安全风险的持续跟踪,针对相关网络安全风险的变化适时进行调整,不断提高保险产品附加值的服务;四是细化险种控制风险,设计合理的网络安全保单,同时尽快培育网络安全保险精算师,拟定合理的网络安全保单,选定合理的保险费率。