網絡安全保險作為一個跨行業融合創新的新險種,不僅需要保險機構提供專業支援,也需要網絡安全企業提供相關技術,賦能網絡安全風險事前、事中、事後管理的全流程,如風險評估、風險監測、攻防演練、應急響應、事後恢複等。
工信部、國家金融監管總局近日聯合印發《關于促進網絡安全保險規範健康發展的意見》(以下簡稱《意見》)。
網絡安全保險是為網絡安全風險提供保險保障的新興險種,日益成為轉移、防範網絡安全風險的重要工具,在推進網絡安全社會化服務體系建設中發揮着重要作用。
《意見》相關解讀指出,随着大陸數字經濟的快速發展,網絡安全基礎性、保障性作用增強。網絡安全保險作為承保網絡安全風險的新險種、網絡安全服務的新模式,有利于行業企業提升網絡安全風險應對能力,促進中小企業數字化轉型發展,推進建構網絡安全社會化服務體系,促進網絡安全産業高品質發展,助力制造強國、網絡強國建設。《意見》的出台,将有力指引網絡安全保險健康有序發展。
目前,大陸網絡安全保險發展現狀如何?網絡安全險産品發展亟待解決哪些問題?推動大陸網絡安全險規範健康發展,還應在哪些方面重點完善?7月下旬,科技日報記者就這些問題采訪了相關專家。
網絡安全保險方興未艾
“截至目前,大陸有37家保險公司(含外資、合資保險公司)提供89款在售網絡安全保險産品(含附加險9款),其中企财險達42款、責任保險22款,還有一些為其他類型,如網絡安全綜合險、應急響應專項險等險種。”國家工業資訊安全發展研究中心總工程師黃鵬告訴科技日報記者,據測算,2022年大陸網絡安全保險保費規模約1.4億元,較2021年翻一番,保持高速增長。
黃鵬介紹,大陸網絡安全保險産品服務模式主要有兩種。一種是面向行業企業網絡安全風險管理需求的“保險服務+安全風控”模式。該模式下,保險公司發揮主導作用,借助網絡安全企業、專業網絡安全測評機構的網絡安全技術能力、場景化評估分析能力和資料整合分析能力,開展産品開發、核保定價、防災減損等保險服務,為行業企業提供網絡安全财産損失險、責任險、綜合險等保險産品。另一種模式為面向網絡安全産品殘餘風險轉移需求的“安全防護+保險保障”模式。該模式由網絡安全企業主導,展現為網絡安全企業為行業企業使用者提供網絡安全防護類産品的同時,附加網絡安全專門保險,如在招标檔案中明确網絡安全服務中包含為服務責任兜底的網絡安全保險産品。
如今,網絡安全企業、保險公司、保險科技企業等多方主體正積極投身網絡安全保險産品形态和服務模式創新,助推大陸網絡安全保險行業快速發展。
作為大陸網絡安全保險領域的首份政策檔案,《意見》圍繞完善政策标準、創新産品服務、強化技術支援、促進需求釋放、培育産業生态等提出5方面10條意見,鼓勵保險機構面向不同行業場景的差異化網絡安全風險管理需求,開發多元化網絡安全保險産品。
在奇安信董事長齊向東看來,《意見》将促進網絡安全保險創新更新,幫助企業有效規避安全風險。“不同行業面臨的網絡風險存在差異,安全保障需求也不盡相同。多元化的網絡安全保險産品能使企業享受到有針對性的保險服務,提升安全防護能力,最大程度實作風險可控。”
持續開展技術和産品創新
在黃鵬看來,大陸網絡安全保險市場目前正處于發展初期。社會對網絡安全保險的認知尚顯不足。從供給側看,網絡安全保險是一個新興險種,并對銷售推廣人員提出了較高的專業性要求,目前大部分保險公司的業務人員并不具備網絡安全專業知識,是以對該險種的推廣力度有限,網絡安全保險尚未得到投保企業的廣泛關注。從需求側看,多數企業對投保網絡安全保險的認識僅僅停留在傳統意義上“在出險後獲得賠償”的層面,僅有部分企業片面了解到其對降低合規風險或實作增信的作用,然而極少有企業了解網絡安全保險可提供風險管理服務、監控風險敞口的重要作用。
同時,網絡安全保險服務規範也亟待完善。作為典型的“舶來品”,網絡安全保險的承保内容尚未達成行業共識,流程機制也還未建立。
另外,賦能保險的安全技術有待加強。在風險評估方面,傳統意義上的網絡安全風險評估多為定性分析,缺乏針對風險發生機率、損失類型以及損失規模的預測,難以轉化為适用于核保評估的定量資料。在風險監測方面,以漏洞掃描、Web應用防火牆等為代表的風險監測方式可能并不完全适用于承保過程中,對新增的脆弱性及潛在威脅的持續監測,不同機構提供的服務類型與頻率、監測的對象和名額也存在較大差異,如何優化并規範風險監測技術仍有待研究。
網絡安全保險是網絡安全技術和保險服務的有機結合,網絡安全技術在網絡安全保險業務關鍵環節中發揮着重要作用。網絡安全保險作為一個跨行業融合創新的新險種,不僅需要保險機構提供專業支援,也需要網絡安全企業提供相關技術,賦能網絡安全風險事前、事中、事後管理的全流程,如風險評估、風險監測、攻防演練、應急響應、事後恢複等。
《意見》聚焦網絡安全風險量化評估和網絡安全風險監測兩方面,強化網絡安全技術賦能保險發展。
一方面,應開展網絡安全風險量化評估,探索建立網絡安全風險量化評估模型,開發輕量化網絡安全風險量化評估工具。同時,鼓勵建立網絡安全風險理賠資料庫,支撐網絡安全風險精準定價。
另一方面,加強網絡安全風險監測能力,開展網絡安全保險全生命周期風險監測,覆寫事前、事中、事後等重要環節,充分利用網絡安全風險監測技術手段,針對網絡安全漏洞、惡意網絡資源、網絡安全事件等開展網絡安全威脅實時監測,及時發現網絡安全風險隐患。
“網絡安全險的保費與網絡安全廠商的安全技術創新能力成負相關,技術創新能力越高保費越低,這對廠商的技術實力提出了重大考驗。”齊向東強調,“為了深度參與網絡安全保險産業,網絡安全廠商必須根據不同行業的特點,持續開展技術和産品創新。”
加快建構網絡安全保險标準體系
目前,大陸還未有明确的網絡安全保險相關的國家标準和行業标準,一些網絡安全專業機構和行業龍頭企業也在積極推進網絡安全保險基礎類、應用類标準研制。
黃鵬建議,下一步應加快建構系統、科學、規範的網絡安全保險标準體系,加強對網絡安全保險發展的指導和規範。面向基礎概念,統一規範網絡安全保險相關專業定義、術語表達,促進網絡安全保險産品條款标準化。面向主要業務環節,制定網絡安全風險量化與核保評估、網絡安全風險管控與防災減損、網絡安全事件處置與理賠鑒定等服務規範。面向不同行業領域,結合電信和網際網路、工業網際網路、車聯網等具體行業領域的網絡安全風險特點,保障範圍、業務模式的差異,明确上述業務環節對應的網絡安全技術要求。
《意見》提出,加快标準研制,研究建立網絡安全保險标準架構,加快關鍵亟須标準制定。具體來看,要健全網絡安全保險标準規範。支援網絡安全産業和保險業加強合作,建立覆寫網絡安全保險服務全生命周期的标準體系,統一行業術語規範,明确核保、承保、理賠等主要環節基本流程和通用要求。研究制定承保前重點行業領域網絡安全風險量化評估相關标準,規範安全風險評估要求;承保中網絡安全監測管理服務相關标準,規範監測預警方法;承保後理賠服務實施要求相關标準,規範網絡安全保險售後服務。 (記者 崔 爽)
來源:科技日報
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)