隨著網(wǎng)絡(luò)犯罪變得越來越普遍，所有組織的網(wǎng)絡(luò)風險持續(xù)增加，網(wǎng)絡(luò)保險也日益流行起來。

　　網(wǎng)絡(luò)保險在管理和降低網(wǎng)絡(luò)風險方面發(fā)揮著關(guān)鍵作用，但目前大部分保險公司在制定網(wǎng)絡(luò)保險過程中風險意識不強，可能對保險業(yè)形成巨大的風險敞口。為此，美國紐約州金融服務(wù)部發(fā)布《網(wǎng)絡(luò)保險風險框架》，面向所有財產(chǎn)和意外保險公司提供指引。

　　經(jīng)過長期研究，美國紐約州金融服務(wù)部認為網(wǎng)絡(luò)保險風險主要體現(xiàn)在三個方面：

　　首先，目前大部分保險公司可能無法準確衡量網(wǎng)絡(luò)風險。為某個組織提供網(wǎng)絡(luò)保險并進行定價取決于對其風險的仔細評估，而網(wǎng)絡(luò)風險通常由該組織網(wǎng)絡(luò)安全項目的水準所驅(qū)動。不同組織之間差異可能很大，如果缺乏有效的風險衡量能力，網(wǎng)絡(luò)事故成本將轉(zhuǎn)嫁到保險公司身上。

　　其次是系統(tǒng)性風險考慮不足，面對網(wǎng)絡(luò)黑天鵝比如NotPetya、SolarWinds等大規(guī)模網(wǎng)絡(luò)事件時，受害組織規(guī)模巨大，保險公司要承擔驚人的保險成本。

　　再次是警惕沉默風險敞口，即網(wǎng)絡(luò)保險中并未明確提及應(yīng)由保險公司承擔、但確由網(wǎng)絡(luò)事件所造成的損失風險。

　　以2017年的NotPetya事件為例，NotPetya惡意軟件在全球范圍內(nèi)肆掠，破壞了大量組織的網(wǎng)絡(luò)，造成30億美元的保險理賠，其中27億美元是基于網(wǎng)絡(luò)沉默風險產(chǎn)生的。

　　《風險框架》為保險公司提供了7步的網(wǎng)絡(luò)保險制定流程，以保證各保險公司都能符合行業(yè)最佳實踐。

　　《風險框架》還建議，不要向勒索軟件方支付贖金。

　　《網(wǎng)絡(luò)保險風險框架》

　　一切提供網(wǎng)絡(luò)保險服務(wù)的授權(quán)財產(chǎn)/意外保險公司均應(yīng)采取以下特定實踐，借以持續(xù)有效管理其網(wǎng)絡(luò)保險風險。各項最佳實踐整理自我們與業(yè)界及多位專家的交流意見。

　　各保險公司的網(wǎng)絡(luò)保險風險將受到多種因素的直接影響，包括保險公司自身規(guī)模、資源儲備、地理布局、市場份額以及被保險行業(yè)等。各家保險公司應(yīng)采取與風險相稱的實施方法。

　　ONE

　　1、建立正式的網(wǎng)絡(luò)保險風險策略

　　提供網(wǎng)絡(luò)保險的保險企業(yè)，應(yīng)制定一項由高層管理團隊、董事會或理事機構(gòu)（若無董事會）指導(dǎo)并批準的，用于衡量網(wǎng)絡(luò)保險風險的正式策略。此項策略應(yīng)包含明確的風險定性與定量目標，并應(yīng)定期將與各項目標相關(guān)的進展報告交付至高層管理團隊與董事會。若未設(shè)有董事會，則應(yīng)上報至理事機構(gòu)。此項策略應(yīng)包含以下六項經(jīng)過明確指定的關(guān)鍵實踐。

　　TWO

　　2、管理并消除沉默網(wǎng)絡(luò)保險風險敞口

　　提供網(wǎng)絡(luò)保險服務(wù)的保險公司，應(yīng)確定自身是否正面臨沉默或非肯定性的網(wǎng)絡(luò)保險風險，即網(wǎng)絡(luò)政策中并未明確提及應(yīng)由保險公司承擔、但確由網(wǎng)絡(luò)事件所造成的損失風險。即使是并未明確提供網(wǎng)絡(luò)保險的財產(chǎn)/意外保險公司，也應(yīng)著力評估其沉默風險敞口，并采取適當措施以減少此類敞口。在各類合并性承保政策與獨立的非網(wǎng)絡(luò)政策中可能存在多種沉默風險，包括錯誤與遺漏、盜竊與竊取、一般責任與產(chǎn)品責任保險等。網(wǎng)絡(luò)風險可能尚未在保單定價中得到明確量化或歸納，因此可能給保險公司帶來意外損失。

　　總而言之，保險公司應(yīng)在一切可能引發(fā)網(wǎng)絡(luò)安全事件索賠的保單中，明確描述此保單是否覆蓋與網(wǎng)絡(luò)事件相關(guān)的損失，借此消除隱性風險。鑒于多數(shù)現(xiàn)有保險政策可能覆蓋沉默網(wǎng)絡(luò)風險，徹底消除這類風險往往還需要一段時間。因此，保險公司應(yīng)采取措施緩解現(xiàn)有沉默風險，例如選擇購買再保險產(chǎn)品。

　　THREE

　　3、評估系統(tǒng)性風險

　　作為網(wǎng)絡(luò)保險風險策略的組成部分，提供網(wǎng)絡(luò)保險的保險公司應(yīng)定期評估系統(tǒng)性風險并規(guī)劃潛在損失。如今，隨著各類機構(gòu)越來越多地依賴于第三方供應(yīng)商，系統(tǒng)性風險也隨之一路飆升。這些供應(yīng)商高度集中于特定關(guān)鍵領(lǐng)域，特別是云服務(wù)與托管服務(wù)供應(yīng)商。保險公司應(yīng)了解被保險人所使用的關(guān)鍵第三方機構(gòu)，并模擬災(zāi)難性網(wǎng)絡(luò)事件經(jīng)由此類關(guān)鍵第三方可能給多位被保險人造成的同時損失。此類事件包括以NotPetya為代表的自傳播惡意軟件，以SolarWinds木馬事件為代表、同時感染眾多客戶組織的供應(yīng)鏈攻擊，以及可能導(dǎo)致大型云服務(wù)商陷入癱瘓的重大網(wǎng)絡(luò)事件。這類災(zāi)難性的網(wǎng)絡(luò)事件可能給保險公司造成巨大損失，甚至一次性超出其賠付能力上限。

　　保險公司還應(yīng)根據(jù)發(fā)生幾率極低、但仍有可能出現(xiàn)的災(zāi)難性網(wǎng)絡(luò)事件，立足內(nèi)部場景執(zhí)行網(wǎng)絡(luò)安全壓力測試。理想的壓力測試應(yīng)兼顧到沉默風險與肯定性風險。此外，由于災(zāi)難性網(wǎng)絡(luò)事件敞口在不同行業(yè)中表現(xiàn)不同，同時受被保險人業(yè)務(wù)類型與實際規(guī)模影響，因此保險公司應(yīng)持續(xù)跟蹤壓力測試方案對當前不同保單各隊以及被保險人所在行業(yè)的實際影響。網(wǎng)絡(luò)保險風險策略應(yīng)明確考慮到壓力測試所提供的明確潛在損失。

　　FOUR

　　4、嚴格衡量保險風險

　　提供網(wǎng)絡(luò)保險的保險公司應(yīng)制定一項全面的數(shù)據(jù)驅(qū)動計劃，用以評估各被保險人以及潛在被保險人面臨的網(wǎng)絡(luò)風險。制定計劃的第一步，在于通過以下各主題的調(diào)查與訪談收集相關(guān)機構(gòu)的網(wǎng)絡(luò)安全計劃信息，具體包括公司治理與控制、漏洞管理、訪問控制、加密、端點監(jiān)控、邊界防御、事件響應(yīng)計劃以及第三方安全策略等。這類信息應(yīng)足夠詳盡，確保保險公司能夠?qū)Ρ槐ｋU人網(wǎng)絡(luò)安全體系內(nèi)的潛在漏洞與既有漏洞做出嚴格評估。此外，外部網(wǎng)絡(luò)風險評估等第三方資源也屬于極具價值的信息源。保險公司應(yīng)將這些信息與過往索賠數(shù)據(jù)分析結(jié)果進行比較，借此發(fā)現(xiàn)與網(wǎng)絡(luò)安全控制體系中特定漏洞相關(guān)的具體風險。

　　FIVE

　　5、為被保險人及保險提供方提供教育引導(dǎo)

　　提供網(wǎng)絡(luò)保險的保險公司，應(yīng)在為被保險人提供網(wǎng)絡(luò)安全教育、著力降低網(wǎng)絡(luò)事件風險方面發(fā)揮重要作用。保險公司應(yīng)努力提供關(guān)于網(wǎng)絡(luò)安全舉措及其相關(guān)價值方面的完備信息，并敦促被保險人實際采取相關(guān)措施。保險公司還應(yīng)根據(jù)各被保險人現(xiàn)有網(wǎng)絡(luò)安全計劃的有效性調(diào)整保費政策，借此激勵客戶采取更好的網(wǎng)絡(luò)安全措施。

　　目前，已經(jīng)有多家行業(yè)領(lǐng)先的保險公司為被保險人提供指導(dǎo)服務(wù)、網(wǎng)絡(luò)安全服務(wù)優(yōu)惠折扣、甚至網(wǎng)絡(luò)安全評估與改進建議。我們高度贊賞這方面舉措，并支持保險公司不斷擴大此類方案的類型、范圍與覆蓋面。

　　保險公司還應(yīng)鼓勵并協(xié)助保險產(chǎn)品設(shè)計師理解潛在網(wǎng)絡(luò)風險，引導(dǎo)其妥善設(shè)置產(chǎn)品中的網(wǎng)絡(luò)覆蓋類型與范圍、以及網(wǎng)絡(luò)保險政策中給出的賠付限額。應(yīng)保證設(shè)計師們充分理解網(wǎng)絡(luò)保險的需求、收益與限制，并將這部分信息準確傳遞給被保險人與潛在被保險人，由此推動網(wǎng)絡(luò)保險市場的不斷發(fā)展壯大。

　　SIX

　　6、獲取網(wǎng)絡(luò)安全專業(yè)知識

　　提供網(wǎng)絡(luò)保險的保險公司應(yīng)具備適當?shù)膶I(yè)知識，借以正確理解并評估網(wǎng)絡(luò)風險。保險公司應(yīng)招聘具有網(wǎng)絡(luò)安全經(jīng)驗與技能的員工，著力制定培訓(xùn)與發(fā)展計劃，并在必要時招聘外部顧問或供應(yīng)商。

　　SEVEN

　　7、向執(zhí)法部門發(fā)布通報

　　網(wǎng)絡(luò)保險政策應(yīng)要求受害者向執(zhí)法部門發(fā)布通報。部分提供網(wǎng)絡(luò)保險服務(wù)的保險公司目前已經(jīng)開始采取這方面最佳實踐。向執(zhí)法部門發(fā)布通報可能給受害者本身乃至公眾群體帶來助益。執(zhí)法部門往往掌握著大量私營部門無法獲取的寶貴信息，可在收到通報后及時分享以指導(dǎo)受害者快速采取應(yīng)對措施。此外，執(zhí)法部門還可協(xié)助恢復(fù)丟失的數(shù)據(jù)及資金。例如，若企業(yè)因電子郵件泄露而導(dǎo)致資金失竊時，執(zhí)法部門往往可以及時通報事件并阻止或撤銷電匯操作。在受害者、股東、監(jiān)管機構(gòu)乃至公眾對于受害者的網(wǎng)絡(luò)事件應(yīng)急反應(yīng)做出評估時，及時向執(zhí)法部門發(fā)布通報的行為將顯著提高受害者的商業(yè)聲譽。最后，執(zhí)法部門收集到的這方面信息可用于起訴攻擊者、提醒其他各方關(guān)注現(xiàn)有網(wǎng)絡(luò)安全威脅，進而阻止未來可能發(fā)生的網(wǎng)絡(luò)犯罪活動。