随着我国数字经济快速发展、数字化转型加快推进,网络安全保险作为一个“热词”进入公众视野,成为新经济、新业态发展中的焦点。网络安全如何与保险行业深度融合?网络安全保险保什么、如何保,如何为老百姓的数字资产、网络活动提供风险保障?如何快速推动网络安全保险落地、服务经济社会发展?带着这一系列问题,记者线上参加了复旦大学“网络与数据安全保险研讨会”。
网络安全保险是什么
复旦大学中国保险与社会安全研究中心主任许闲教授说道,网络安全保险在金融保险领域并不是一个新概念,国外设立相关险种已经有20多年的历史。近年来,受互联网的迅速普及、信息安全相关法律制度不断完善和日益严峻的网络攻击态势驱动,全球网络安全保险市场迅速发展。据测算,2020年全球网络安全保险市场规模高达78亿美元,预计未来五年将维持20%以上的增速。
许闲教授介绍,网络安全保险是针对网络安全事件相关经济损失的风险转移工具,它所承保的风险面向恶意攻击、病毒勒索、网络欺诈、系统或技术性故障等导致信息技术资产的保密性、可用性、完整性受损的事故。通俗地讲,老百姓的网络资产、数字权益受到的侵犯,企事业单位遭受网络安全攻击造成的损失,都可通过购买网络安全保险这种保险产品,来保障自身的权益,获得相应的赔偿。
我国网络安全保险尽管起步较晚,但在发展数字经济的新时代重大战略选择背景下更具重要意义。目前,我国网络安全保险市场先后出现了保障网络金融账户安全、虚拟财产安全、移动支付安全、云服务安全等侧重特定风险类型或保险标的的产品,但存在责任覆盖狭隘、产品种类缺乏、条款表述冗杂、风险控制不足等问题。中国人保财险上海分公司总经理龙保勇指出,有风险就有保险,有需求保险行业就有责任,网络安全保险不能单纯从行业发展的角度来考虑,必须把行业发展融入国家治理的大格局中,承担行业的企业责任、社会责任,在“先思、先行、先试”的过程中,推动网络安全保险创新发展。
网络安全保险发展的痛点在哪里
虽然各方均看好网络安全保险的发展前景,认为网络安全保险是数字经济发展的一片蓝海,但当下还是处于“叫好不叫座”的尴尬局面。对此,永诚保险车险事业部总经理丁澎认为,网络安全保险特别是聚焦智能网联汽车安全保险,行业的痛点就是“看不清、算不准、担不住”。“看不清”,是指保险责任和除外责任的界限是什么还不清晰;“算不准”,是指风险的频度和强度很难测算;“担不住”,既包括保险责任、保险金额,也有复杂法律责任和关系。
面对网络安全保险的痛点问题,复旦大学大数据研究院陈平研究员指出,网络安全保险有一个充要条件,即网络安全功能可以度量、网络风险概率可以测量、网络安全损失可以估算,这也是精算定价的重要基础。但是,目前网络安全技术难以满足这样的要求。网络空间仍存在内生安全共性问题,“漏洞”不可避免、“后门”不可彻查,由“漏洞”“后门”造成的网络安全风险防不胜防。
目前,网络安全技术,一方面难以防范未知的风险,难以回答“网络到底安全不安全”“网络安全能不能量化”这些关键问题;另一方面,现有的网络安全产品也不能保证自身是否安全,是否因为叠加了安全设施后造成新的安全风险。一个安全性能不可保证、安全质量说不清楚的安全产品,保险业如何跟进?
事实上,网络安全技术和网络安全保险是一个相辅相成、相互促进的关系。中国工程院院士方滨兴指出,一方面,网络安全保险需要更注重体现社会责任,网络安全的残余风险要靠保险来吸收,保险促进了社会面的风险防范;另一方面,网络安全企业也可以用网络安全保险来赋能,如果一个企业能够附赠网络安全保险,实际上就是为网络安全产品做了性能上的“背书”。保险越高,表明安全能力就越强,也相当于让有更高性能的产品去引领市场、服务社会。
网络安全保险如何破局
推进网络安全保险创新,使其成为数字经济发展的“压舱石”“阻尼器”,已经成为业界共识。达成这一目的,需要保险业、网络安全行业、政府和监管部门共同努力、协同创新。但要真正破局,根子上还要网络安全技术实现范式创新。
上海大学李玉峰教授认为,网络安全技术要达到保险业所需要的“可保性”的基本要求,必须做到“五个可”:安全性能可量化设计,对安全性不能“模棱两可”,要精准度量;安全成本可按需调节,按照用户需求进行多样化配置,实现性能和成本有机结合;安全保障可精准实施,能够实时监测威胁,快速启动安全预案,瞬时恢复受控状态;安全态势可实时呈现,对安全场景、内控机制、安全效果达到全域可视;安全链条可追溯取证,在“事后”进行成因分析和取证。
复旦大学大数据研究院院长、中国工程院院士邬江兴谈到,达成保险业所期望的“可保性”需求,靠传统的网络安全技术很难实现,“封门堵漏”“杀马杀毒”等依赖先验知识的技术路线,无法达成网络安全保险的核心需求。为此,必须要探索网络安全新的技术发展范式。近十年来,我国科技工作者独有独创的内生安全理论和技术体系,一方面可以抵御网络空间未知风险,让基于“漏洞”“后门”的网络攻击化于无形;另一方面,通过动态、异构、冗余的架构技术,能够实现安全功能可定制、安全性能可度量可检验,为网络安全保险产品创新、业态发展提供坚实的技术支撑。
(本报记者 蔡侗辰)