(资料图片)
导语网络安全事件频发,造成的损失日益攀升,成为“网络安全保险”这一新业态快速发展的契机。近两年,网络安全保险是全球财险市场中发展速度最快的细分领域之一。据Research And Markets发布的《2022年全球网络安全保险市场报告》显示,2021年全球网络安全保险市场规模为92.9亿美元,2022年约为119亿美元,预计到2027年将达到292亿美元,年复合年增长率达19.47%,体现出巨大的市场需求和发展空间。我国网络安全保险市场起步较晚,但发展趋势向好。根据国家工业信息安全发展研究中心测算,2021年我国网络安全保险保费规模大约为7080万元,仅占财产保险保费规模的不到万分之一,但较上一年增长3.2倍以上;2022年保费规模约为1.4亿元,较上一年翻一番,呈现高速增长的态势。另据银保监会“财产险公司备案产品目录查询”显示,截至3月31日,我国共有29家保险机构备案了约203款网络安全保险产品(详细附表见文末),是上一年备案产品数量的两倍以上。目前,网络安全保险作为转移、防范网络安全风险的重要手段之一,尚未得到充分应用。尤其在国内实际落地过程中,仍存在诸多问题。不过,随着发展环境的持续改善和优化,我国网络安全保险步入快速发展的新阶段。一、全球网络安全保险方兴未艾,产业爆发拐点已至?互联网高速发展的背后,是全球网络犯罪的快速增长。根据美国投资咨询机构Cybersecurity Ventures公司的研究,2021年网络犯罪在全球造成了6万亿美元的损失,预计这一数字将在未来五年以每年15%的速度增长。该研究还显示,2015年通过勒索软件索要赎金的网络犯罪共计给全球造成了3.25亿美元的损失,而2021年造成的损失则超过了200亿美元,增长60余倍。随着网络安全事件造成的损失日益攀升,全球网络安全保险保费规模大幅增长。数据显示,2019年,全球网络安全保险保费达到73.6亿美元,同比增长71%。根据安联保险集团预测,到2025年,网络安全保险市场规模将达到200亿美元。图1:全球网络安全保险保费增长情况
数据来源:央行南京分行科技处课题组《网络安全保险发展的实践与建议》,安联保险,零壹智库制图从上世纪90年代发展至今,网络安全保险脱胎于传统产险,从无人问津到初露头角证明了其作为独立险种的市场与生命力。经过20余年全球数字化发展、网络技术更迭,网络安全保险已经成为数字市场经济条件下重要的风险管理和风险转移手段。整体来看,全球IT网络发展的起步时间不一、发展进程不对称,网络安全保险在各国各地区存在不同的市场成熟度与社会普遍接受度。拿美国来说,其网络安全保险市场发展最为迅速,占全球市场份额的90%以上。国家工业信息安全发展研究中心近期发布的《网络安全保险研究报告》显示,美国网络安全保险保费年增长率超70%、赔付率达65%。欧洲网络安全保险市场虽然起步比美国晚,但近些年网络安全事故的频发,也加快了欧洲网络安全保险发展与成熟的脚步。数据提供商Statista预测其网络保险市场在2020年至2030年间将呈指数级增长,在2020年至2025年间规模翻一番,年平均增长率将达20%。据中国信息通信研究院安全研究所发布的《网络安全保险国内外产业发展研究》显示,经过多年发展,国外网络安全保险产业已形成公共基础服务体系完善、利益相关方众多、业务全生命周期覆盖的较为成熟的上下游生态。国外网安险企业案例:1、Coalition:“主动化保险”Coalition成立于2017年,总部位于旧金山,其主动保险结合了网络安全工具、全天候数字取证和事件响应以及广泛的保险覆盖范围,以帮助组织识别、减轻和保险数字风险。Coalition在涉及安全问题时更多地关注预防性维护,而非事后的补救或赔偿,这一特点使其在行业中处于领先地位。目前,Coalition已进行7轮融资,累计筹资达7.7亿美元,公司估值已超50亿美元,累计为16万家中小型企业提供服务。Coalition的主动风险平台为投保人提供全方位的监控、响应和理赔服务,在风险事件发生之前、期间和之后对其进行连续的管理。Coalition的主动化保险主要包括四个子项目,分别是主动监控、联盟管控、事件响应和主动风险平台。主动监控服务能够为客户企业提供事前的风险事件监测和管理。应用机器学习和人工智能等技术,Coalition能搜索和分析大量变化的数据,并因地制宜地识别和分析客户企业所存在的风险状况,提出相对应的解决方案,提醒客户采取行动。联盟管控是面向各大企业的免费服务。客户只需在Coalition官网上进行登记,便能得到Coalition对其网络风险的扫描和监控,并获得上述风险的解决途径。如果正式投保,Coalition会将其服务升级为对企业网络状况更加全面、细致的扩展扫描,以及对其合作伙伴或供应商(最多5个)的轻量化扫描。Coalition是唯一拥有专门内部索赔和事件响应团队的网络保险提供商。事件响应团队包括事件响应人员、取证专家和安全工程师等,可在几分钟内做出响应,处理客户面临的网络入侵、勒索软件和业务中断等问题。主动风险平台是Coalition自行搭建的数据集成和分析平台。Coalition每月在公共网络上扫描超过45亿个IP地址,并搜集来自暗网的信息情报,同时从过往服务中搜集和整理有关事件和理赔的数据,建立相应的数据库。通过海量的数据,Coalition能够对客户的风险进行快速、准确的分析,并对出现的风险事件做出响应。2、At-bay创建“数字时代的保险公司”At-Bay成立于2016年,总部位于美国加利福尼亚,其目标是将网络保险与网络风险管理相结合,以创建“数字时代的保险公司”。At-Bay的客群集中在中端市场公司,为客户提供全面的网络保险单,包括数据泄露、网络攻击和勒索、以及此类事件造成的业务中断。2021年,At-Bay的总承保保费运行率超过2.4亿美元,同比增长了600%。At-Bay的网络保险单在主要和超额险种上提供了强大的第一方和第三方保险,并增添主动风险监控服务,帮助被保险人进行预防性维护。At-Bay的主动风险监控是应对网络新漏洞的重要解决方案:通过频繁扫描来检测易受攻击的投资组合业务,以及用内部安全团队来帮助企业及其代理在遭到破坏之前解决问题。At-Bay开发的技术和自主风险评估流程在风险缓解方面优于网络保险市场,通过积极的风险监控,At-Bay的勒索软件攻击频率比行业平均水平低7倍。此外,At-Bay的经纪人平台将速度、专业知识和组织的优势结合到单一的自动化体验中,得益于自动承保技术,客户可以在几秒钟内获得可绑定的报价。At-Bay的经纪人平台可供网络收入高达1亿美元,技术E&O收入高达2500万美元的公司报价,并且只需向代理商发送一个链接,让他们处理其余事宜,可以减少顾客和零售代理商之间的来回沟通。3、Vouch:量身定制的保险平台Vouch成立于2018年,是一家总部位于美国旧金山的商业保险提供商,提供完全数字化的量身定制的保险,只需几分钟就能定制激活。Vouch的数字化承保平台和个性化的风险缓解方法可在10分钟内创建量身定制的保险单包,并在24小时内实施。Vouch通过利基专业知识、专有的定价和承保方法、快速、数字优先的采购以及扩展的覆盖范围,使客户能够正确进行风险管理。如今Vouch和1600家公司合作并担保,总共提供了超过57亿美元的风险保护。相比于其他的网络安全保险,Vouch的产品更具特点、保障内容更加全面,具体包括取证分析、违反系统、电子转账、网络攻击导致的财务损失等等。取证分析:取证分析、勒索软件支付、计算机取证调查的费用和解的成本。违反系统:在客户公司的计算机或系统上,检测到未知监控时,提供安全扫描服务。电子转帐:骗子诱骗员工将资金转移给恶意的第三方后的损失赔偿。网络攻击导致的财务损失:由于网络的恶意攻击导致的业务中断造成的财务损失。4、Cyence:被保险公司收购,致力于量化网络风险Cyence成立于2014年,总部位于旧金山,于2017年10月被保险公司Guidewire收购。Cyence是一家数据提取和风险分析解决方案提供商,致力于量化网络风险,通过数据分析平台帮助保险公司对网络安全保险进行建模和定价,为保险公司的网络安全保险产品进行管理、精算、以及企业风险管理,从而让保险公司更高效的应对快速变化的网络风险。Cyence建立的数据分析平台的核心就是通过简单的数据和报告做出更好的、数据驱动的网络承保和定价决策。包括模拟策略结构、溢价定价通知、总体风险测评、灾难性场景建模、聚合视图自动形成、网络风险建模等等。Cyence开发的多样化可扩展的数据引擎,能够以非侵略性的方式收集特定公司人员和机器的数据,从而创造出客观真实并且具有实时性的风险评测模型。为了和网络风险的动态趋势匹配,Cyence这一配备了数据引擎的平台,也会实时校准模型,最大程度地精准分析网络风险。广泛的数据来源:Cyence的专有数据侦听引擎从400+来源和1000+数据点实时收集互联网规模的网络威胁数据。执行网络风险建模:对单个公司和投资组合的网络攻击频率、严重性和可能性进行建模。网络威胁评级:Cyence作为第一家网络威胁评级公司,也会给保险公司提供网络风险模型详细的数据输出和专家支持。二、数字化衍生新需求,国内网络安全险战略机遇期来临在全球数字经济高速发展之下,我国网络安全产业正回归高速增长区间。据经济日报报道,近日发布的《中国网络安全产业研究报告》显示,2021年我国网络安全产业规模约2000亿元,较2020年增长16.6%,预计2022年产业规模近2200亿元,增速约为13.9%。中国科学院院士尹浩分析称,我国网络安全产业面临良好的发展态势。数字化衍生出安全新形势、新需求,驱动安全界限不断向网络物理融合空间拓展,推动安全需求迭代升级。网络安全产品向定制化、轻量化、场景化方向快速发展。网络安全保险有望成为网络安全社会化服务体系的重要组成部分,为行业企业数字化转型筑牢安全屏障。一方面,我国网络安全保险行业正处于发展前期,与美国等网络安全产业较发达的国家相比,仍有较大差距。以数据来做对比,2021年美国网络安全保险保费规模超过65亿美元,中国则不足1亿元人民币。另一方面,随着发展环境的持续改善和优化,我国网络安全保险步入快速发展新阶段。数据显示,2022年全年网络安全保险保费规模达1.4亿,较前一年翻一番。另据中国信息通信研究院预计,到2025年,中国网络安全保险市场规模将达到5亿元人民币左右。1、网络安全保险备案产品200余款:同比增加2倍以上根据中国信息通信研究院安全研究所的《网络安全保险国内外产业发展研究》一文,国内网络安全保险起步于21世纪10年代。2013年起,苏黎世财产保险(中国)有限公司、安联财产保险(中国)有限公司等外资险企率先在中国市场上推出了网络安全保险产品。此后,随着市场需求的逐步增加,中国人民财产保险股份有限公司、中国人寿财产保险股份有限公司、中国平安财产保险股份有限公司、中国太平洋财产保险股份有限公司等国内大型保险公司相继开发并推出网络安全保险产品。据银保监会“财产险公司备案产品目录”查询显示,截至2023年3月,我国共有29家保险机构备案了约203款网络安全保险产品。其中,苏黎世财险(中国)、中国太平洋财险、中华联合财险分别以38款、21款、19款备案产品位列前三。在互联网保险公司中,众安在线备案产品数量为4款,泰康在线为1款。数据来源:银保监会官网,零壹智库整理2022年10月,众安保险发布了“盾山计划”,希望让网络安全保险成为企业数字化的基础能力。众安保险还推出全国首款普惠版网络安全保险,以“保险+科技”为企业保障服务赋能,保障中小微企业“不出险”“少出险”“出小险”。除了保险公司,网络安全企业也是网络安全保险生态“必备”的一员。以奇安信为例,它是国内最早布局和开拓网络安全保险服务的网络安全企业,早在2017年就开始战略布局这一新兴领域。2018年,奇安信先后和中国人保、苏黎世财险(中国)签订协议,为后者提供保前评估、保前加固、保中监测、协助定损、电子调查取证及溯源等多项服务。2019年开始,奇安信加大在网络安全险的投入与推广,并单独成立保险行业团队,陆续与平安产险、太平洋产险、中国人寿财险、中意财险等联合开发保险产品,并作为保险公司核心技术及网络风险研究支撑单位。2、政策利好:首个网络安全保险规范征求意见出炉,团体标准加速推进早在2019年,工信部就在《关于促进网络安全产业发展的指导意见(征求意见稿)》中明确提出要“探索开展网络安全保险服务”。2021年7月发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》再次提出,“探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力。”2022年11月,国内第一个对外发布的以网络安全保险为主题,促进网络安全保险产业规范健康发展的指导性文件公开征求意见。《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(下称《意见稿》)指出,网络安全保险是为网络安全风险提供保险保障的新兴险种,已日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。对于网络安全保险的发展,《意见稿》从建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态5各方面提出了10点意见。在产品创新方面,《网安险征求意见稿》提出,鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。例如,面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。此外,网安险团体标准也在加速推进中。2022年9月,上海银保监局指导上海市保险同业公会发布了国内首个网络安全保险服务团体标准《网络安全保险服务规范》(以下简称《服务规范》),对保险公司开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求。《服务规范》由人保财险上海市分公司、太平洋财险上海分公司、平安财险上海分公司、众安在线等7家保险公司共同起草并承诺执行。据上海监管局数据显示,2022年前三季度,上海地区共承保网络安全保险业务355件,提供风险保障金额140亿元。2023年2月20日,上海市信息安全行业协会发布了《网络安全保险安全服务技术要求》(T/SISA 0001-2023)、《网络安全保险安全服务能力评价指南》(T/SISA 0002-2023)两项团体标准,标准自2023年2月20日起实施。前者规定了网络安全保险全流程的安全服务技术要求包括投保前安全风险评估服务要求、保单生效后安全风控服务要求、出险后应急处置服务要求和出险后理赔安全服务要求相关内容。后者规定了为网络安全保险提供相关安全技术与服务供应商的基本类型、基本能力要求、专业能力要求、评价规范及评价要求。三、网络安全保险发展仍存难点目前,我国网络安全保险市场还存在很多的痛点与难点。《网络安全保险研究报告》显示,我国网络安全保险仍面临产品供给能力有限、较难满足多样化投保需求、发展共识尚未形成、跨行业领域认知壁垒较难突破、行业需求亟待释放、网络安全保险生态待营造等问题。1、投保需求多样化,险种较少。随着技术进步,网络安全的威胁手段更加频繁、复杂和隐蔽,从网安险供给端来看,目前险种还覆盖不了多样化的投保需求。2、风险量化能力弱,定价能力不足。目前,网安险费率的确定方法是高度定制化且有待完善成熟。《征求意见稿》提出,鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品,并且鼓励保险公司、再保险公司建立网络安全风险理赔数据库,支撑网络安全风险精准定价。2、数据有待逐步积累,数据共享机制有待建立。网络安全保险的承保历史短、业务量小,且由于出险理赔行为的滞后性,有价值的代表性理赔数据有待丰富。另一方面,保险公司可通过与网络安全公司、第三方保险科技公司建立数据共享与分析机制,基于网络安全风险基础数据,准确、动态地发现特定行业或者特定时间的威胁,有效缓释网络空间的未知风险。4、市场认知程度有待提升。网络安全保险的重要性,还未被充分认识到。我国网络安全保险市场起步相对较晚,现阶段仍处于市场培育初期,不少企业尤其是小企业对这一险种依然持观望态度,企业网络安全意识有待进一步提升,参与承保的机构数量仍有待增加。5、网络安全保险产业生态亟待建立。网络安全保险,不是一个“被动的赔付保险”,而是与安全服务结合起来的一整套的服务体系。另外,各保险公司在精算定价和产品研发以及再保险的风险分担和成本分摊等方面进行合作,可降低被保险人的网络安全风险,进一步优化网络安全保险生态服务体系。参考资料:1、中国人民银行南京分行科技处课题组,《网络安全保险发展的实践与建议》
2、中国信息通信研究院安全研究所,《网络安全保险国内外产业发展研究》3、保观,《年复合增长超20%,网络安全险已入新蓝海?》附表:财产险公司网络安全保险备案产品目录查询(203款)
来源:银保监会官网注:1、截至2023年3月31日,在银保监会官网“财产险公司备案产品目录查询”中,以“网络安全”为关键词搜索结果。
关键词: