在5G網絡的推出與普遍后，勢必會對網絡安全提出更高的要求，而網路安全保險則是應對這一問題的有效方式之一。

人工智能技術的加持，5G建設的全面鋪開，加速了工業(yè)互聯(lián)網的普及，包括云計算、移動互聯(lián)網、物聯(lián)網/車聯(lián)網、大數(shù)據、區(qū)塊鏈、云存儲、人工智能/人臉識別/自動駕駛等新技術在內的廣泛應用，迅速帶來互聯(lián)網世界的新變化， 成為企業(yè)成長和轉型的關鍵動力。

據IDC統(tǒng)計，全球數(shù)字信息在未來幾年將呈現(xiàn)驚人增長，預計到2020年總量將增長44倍。另外一份調查顯示，全球90%的數(shù)據都是在過去兩年中生成的。每天，遍布世界各個角落的傳感器、移動設備、在線交易和社交網絡生成上百萬兆字節(jié)的數(shù)據。目前有300億臺設備互聯(lián)，2020年將有500億臺設備互聯(lián)。

新科技帶來變革的同時，新的風險也伴生而來。而保險業(yè)在引入人工智能等新技術進行承保、理賠時，必須考慮到可能出現(xiàn)差錯帶來的風險以及應對。

5G網絡對安全提出更高要求

當前，5G正在開辟移動通信發(fā)展的新時代，加速經濟社會數(shù)字化轉型進程。與此同時，5G網絡產生新的信任模型，新的服務模式，不斷變化的威脅環(huán)境以及增加的隱私問題等特征，對安全提出了新的挑戰(zhàn)和需求。

5G網絡對安全提出了更高的要求，萬物互聯(lián)的應用場景、多樣化的終端形態(tài)與接入技術、移動邊緣計算技術、網絡切片技術將產生新的安全問題，需要從機密性、隱私保護、偽基站防護、網間安全、完整性、認證類型這些方面，來提升5G背景下的網絡安全。

據安聯(lián)財險發(fā)布的網絡安全研究報告顯示，每年中國因網絡襲擊造成的經濟損失高達3996億元，損失額居亞洲第一；普華永道的調查報告也顯示，過去兩年間中國企業(yè)監(jiān)測到的信息安全事件平均每年2577起。

網絡安全事故包括：

• 企業(yè)信息系統(tǒng)數(shù)據遭到盜竊、篡改或損毀；
• 未經授權訪問或使用企業(yè)的信息系統(tǒng)數(shù)據；
• 拒絕授權用戶正常訪問公司系統(tǒng)；
• 企業(yè)計算機系統(tǒng)被操控參與指向第三方計算機系統(tǒng)的拒絕服務攻擊；
• 惡意代碼、程序植入或傳播；
• 或由于授權供應商發(fā)生以上事故導致企業(yè)應承擔的法律責任和相應損失。

由此，網絡安全的保障尤為重要，經濟社會的發(fā)展要求個用戶之間的通信和資源共享，這樣就隱含著很大的風險，包含了極大的脆弱性和復雜性，很容易遭到別有用心者的惡意攻擊和破壞。

網絡風險與網絡安全

網絡風險

網絡風險是指通過惡意行為影響或者癱瘓一個組織的信息科技系統(tǒng)使其遭受財產損失、經濟損失、業(yè)務中斷或者商譽損失的風險。網絡風險遍布于各地區(qū)、存在于各類型、規(guī)模的企業(yè)。

隨著5G時代到來，無人駕駛、智慧城市、智能工廠全面普及，人人互聯(lián)、機機互聯(lián)，甚至人機互聯(lián)成為可能，而網絡風險和威脅也與日俱增，漏洞和病毒造成的后果也更加嚴重，網絡安全直接關系到人身安全、機構安全、城市安全和國家安全。

網絡風險造成的損失多達13種，在競爭激烈的市場經濟驅動下，每個企業(yè)對于原料配額、生產技術、經營決策等信息，在特定的地點和業(yè)務范圍內都具有保密的要求，一旦這些機密被泄露，不僅會給企業(yè)，甚至會給國家造成嚴重的經濟損失。

網絡安全

網絡安全從本質上講就是網絡上的信息安全，就是指網絡系統(tǒng)中流動和保存的數(shù)據，不受到惡意的破壞、泄露和更改，系統(tǒng)連續(xù)正常的工作，網絡服務不中斷。網絡安全的目的在于幫助企業(yè)建立和維持一個安全的可持續(xù)的商業(yè)運營。

網絡安全不是僅僅依靠IT安全來實現(xiàn)的，是通過一套系統(tǒng)的風險管理制度來實現(xiàn)的，風險規(guī)避、風險控制和風險轉移等手段之間不存在替代關系。網絡安全的實現(xiàn)并不是僅依靠技術手段，它取決于企業(yè)的商業(yè)流程和企業(yè)雇員是否有能力有意愿去執(zhí)行最佳實踐的標準。

網絡風險的解決方案：網絡安全保險

從上世紀90年代誕生相關概念開始，網絡安全保險至今也已經過了二十余年的發(fā)展。網絡安全保險，即為客戶規(guī)避諸如數(shù)據丟失、網絡中斷等互聯(lián)網風險的保險。保障企業(yè)因發(fā)生網絡安全事故或隱私泄露事故造成的第一方損失和導致的第三方索賠。

網絡安全保險是健全的網絡彈性風險管理方法的一種補充。每家企業(yè)都應通過將企業(yè)網絡風險管理戰(zhàn)略與企業(yè)文化和風險容忍度相結合的方式，來識別和保護其關鍵無形資產，以防止未編入預算的突發(fā)損失和資產負債表波動。

國內本土企業(yè)也有數(shù)家公司推出了網絡安全保險，如人保推出的國內首款網絡虛擬財產交易安全保險、陽光財險和眾安在線推出的網絡安全險等。

其中，眾安在線先后通過與安恒信息和阿里云平臺合作于國內首次推出網絡信息安全綜合險，該保險承保事件囊括了有害程序、網絡攻擊和信息破壞三大常見網絡安全事件，用戶投保前需要填寫風險評估表并由安恒信息進行系統(tǒng)風險檢測。并且在通過風險評估之后安恒信息公司將對其系統(tǒng)保持實時監(jiān)測，發(fā)生問題后將及時反映，同時收集相應的風險數(shù)據和更新數(shù)據庫。

網絡安全保險不僅僅是一紙保障合同，更是一份服務合同。

網絡安全保險市場的痛點

在市場調研機構NetDiligence發(fā)布的2016年網絡安全保險賠案研究報告中，基于美國19家保險公司正在處理的176個網絡安全保險賠案，統(tǒng)計出的一組數(shù)據：

• 98%的賠案中涉及到隱私侵犯費用的賠償，總計1.14億美金，最高單個金額1500萬美金，平均值是66.5萬美金；
• 大型企業(yè)處理一次隱私泄露事故發(fā)生的平均費用為597萬美元；
• 91%的賠案中支付了危機響應服務的費用，最高單個案件金額710萬美金，平均值為35.7萬美金；
• 10%的賠案涉及到了法律費用和第三方訴訟，平均抗辯費用為13萬美金，平均和解金額81.5萬美金，最高為480萬；
• 造成損失的原因排名前三位的是：黑客攻擊（23%）、惡意軟件/病毒（21%）、移動辦公設備丟失（13%）。

目前來看全球網絡安全保險的發(fā)展處于萌芽期，以保險市場最為發(fā)達的美國為例，2012年互聯(lián)網安全保險保費規(guī)模僅為5億美元，但2014年網絡安全保險的購買數(shù)量同比增長32%。而在中國，提供網絡安全保險的險企則屈指可數(shù)，究其原因，存在以下行業(yè)痛點：

1. 數(shù)據搜集挑戰(zhàn)

建立一個網絡風險模型的基礎便是經驗數(shù)據。

傳統(tǒng)保險商建立風險模型時通常依靠官方數(shù)據提供者，比如自然災害險可以尋求國家地震局、氣象局的數(shù)據支持；但顯然，目前尚不存在可以支持網絡風險評估的官方數(shù)據源。

除此以外，網絡風險是動態(tài)的、變化的，隨著網絡技術的更新而變動，因此網絡風險數(shù)據的搜集同樣必須是實時的、動態(tài)的，而這也區(qū)別于傳統(tǒng)風險模型的相對靜態(tài)的數(shù)據，并且前者的數(shù)量和處理難度也遠大于后者。

2. 行為風險和風控質量的考量

與自然風險不同，網絡風險不僅僅來自于外部事件，也來自于內部行為。

據2014年IBM調查顯示，95%的網絡犯罪都涉及員工行為錯誤，比如無意間丟失了儲有重要信息的移動設備、賬戶密碼安全等級弱等，甚至有內部員工故意偷竊并傳播公司機密數(shù)據。

自然，相應的風險管理質量也同樣關系著網絡信息的安全。而風控質量和行為風險的量化和數(shù)據搜集成為了另一道難題。

3. 網絡風險經濟模型的建立

網絡風險至少有以下特點：動態(tài)性、來源多樣性和傳導性，這導致了其影響因素復雜、數(shù)據搜集困難，同時網絡風險的傳導性也加大了保險商對潛在經濟損失的預測難度。因而，網絡風險經濟模型的建立也是一項挑戰(zhàn)。

很多保險機構畢竟不是專業(yè)網絡安全廠家，其內部缺乏專業(yè)的安全人士。一方面，保險機構不能完全知曉當前不斷演變的網絡安全威脅，另一方面，保險機構也不十分清楚目標客戶群的業(yè)務安全風險。這導致部分保險機構推遲參與該市場，而一些已推出產品的機構則對其產品一直保持擔憂。

保險機構克服障礙的措施

1. 加強數(shù)據收集

網絡安全風險數(shù)據是保險機構開展網絡保險業(yè)務的基礎。在這方面保險機構可以通過以下三種方式獲得這些數(shù)據。

• 通過業(yè)務發(fā)展不斷的積累數(shù)據和經驗；
• 通過基于自身需求的網絡安全建設來提取或反推獲得相應的數(shù)據。有些保險機構就是通過自己公司的第一手網絡安全經驗來促進外部業(yè)務的發(fā)展；
• 向專業(yè)的咨詢公司、安全廠商等第三方尋求獲取相關的數(shù)據以充實自身的數(shù)據庫。

2. 建立可行的風險管控機制

在缺乏更多有效數(shù)據的情況下，保險機構可建立一套基于風險管理成熟度模型的評估體系對客戶開展承保前的安全評估，通過評估了解客戶的安全投入及安全管控的持續(xù)性和有效性，評價客戶安全需求與現(xiàn)有產品的吻合程度以及可能的產品靈活定價。

3. 仔細制定產品的風險覆蓋

在產品制定的過程中，保險機構應考慮到兩個因素：

• 不同的客戶群因行業(yè)因素、發(fā)展因素、監(jiān)管要求因素存在著不同需求。
• 網絡安全風險內容繁多且不斷的發(fā)生變化。因此保險機構需認真深入的了解其目標客戶群的網絡安全威脅和網絡安全需求，避免產品出現(xiàn)安全風險覆蓋不滿足需求的情況。同時保險機構需保持對網絡安全風險變化的持續(xù)跟蹤，使產品能根據網絡安全風險的變化而進行適應性調整，快速跟進并滿足市場需求。

4. 提供更多的服務

國外保險機構由于較早開展該項業(yè)務，市場競爭也較為激烈，因此他們在商業(yè)活動中傾向于提供更多與網絡安全相關的服務以增加產品的附加值。這些方式包括：

• 和知名的網絡安全廠家進行合作，在客戶進行產品采購前提供相應的安全咨詢，承保評估；采購后提供安全應急服務、承保定損；甚至推銷網絡安全廠家的一些產品和服務。
• 保險機構尋求成為對某個特定網絡安全領域非常熟悉的專業(yè)機構。這樣可在對應領域向客戶提供專業(yè)的網絡安全建設咨詢，增加客戶粘性。

5. 擴大市場宣傳

在以往網絡安全市場的社會及媒體宣傳活動中，政府機構、咨詢機構、安全廠商以及網絡服務商構成了網絡安全宣傳的四大主角。作為網絡安全保險的提供者，保險機構也需要積極參與其中，一方面讓社會全員更多的關心和了解網絡安全風險，一方面也也有利于推動和擴展商業(yè)市場。

網絡安全保險是一種切實可行的風險轉嫁策略機制。在我國，該市場領域目前還處于探索初始階段。而伴隨網絡安全建設的持續(xù)進行，一些機構已接受和認可這一安全策略并逐漸開始實施或準備實施該策略以進一步完善企業(yè)信息安全管理體系。

一方面，眾多的國內保險機構紛紛試水，期待在該藍海市場領域占據商業(yè)份額，另一方面，機構用戶也期待該機制將幫助降低機構面臨的監(jiān)管壓力和業(yè)務安全壓力。關于網絡安全保險的后續(xù)發(fā)展，還將持續(xù)觀察。

本文由 @跳出樹洞 原創(chuàng)發(fā)布于人人都是產品經理，未經作者許可，禁止轉載。

題圖來自Unsplash，基于CC0協(xié)議。