隨著網(wǎng)絡(luò)犯罪變得越來越普遍，所有組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)持續(xù)增加，網(wǎng)絡(luò)保險(xiǎn)也日益流行起來。

　　網(wǎng)絡(luò)保險(xiǎn)在管理和降低網(wǎng)絡(luò)風(fēng)險(xiǎn)方面發(fā)揮著關(guān)鍵作用，但目前大部分保險(xiǎn)公司在制定網(wǎng)絡(luò)保險(xiǎn)過程中風(fēng)險(xiǎn)意識不強(qiáng)，可能對保險(xiǎn)業(yè)形成巨大的風(fēng)險(xiǎn)敞口。為此，美國紐約州金融服務(wù)部發(fā)布《網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)框架》，面向所有財(cái)產(chǎn)和意外保險(xiǎn)公司提供指引。

　　經(jīng)過長期研究，美國紐約州金融服務(wù)部認(rèn)為網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)主要體現(xiàn)在三個(gè)方面：

　　首先，目前大部分保險(xiǎn)公司可能無法準(zhǔn)確衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)。為某個(gè)組織提供網(wǎng)絡(luò)保險(xiǎn)并進(jìn)行定價(jià)取決于對其風(fēng)險(xiǎn)的仔細(xì)評估，而網(wǎng)絡(luò)風(fēng)險(xiǎn)通常由該組織網(wǎng)絡(luò)安全項(xiàng)目的水準(zhǔn)所驅(qū)動。不同組織之間差異可能很大，如果缺乏有效的風(fēng)險(xiǎn)衡量能力，網(wǎng)絡(luò)事故成本將轉(zhuǎn)嫁到保險(xiǎn)公司身上。

　　其次是系統(tǒng)性風(fēng)險(xiǎn)考慮不足，面對網(wǎng)絡(luò)黑天鵝比如NotPetya、SolarWinds等大規(guī)模網(wǎng)絡(luò)事件時(shí)，受害組織規(guī)模巨大，保險(xiǎn)公司要承擔(dān)驚人的保險(xiǎn)成本。

　　再次是警惕沉默風(fēng)險(xiǎn)敞口，即網(wǎng)絡(luò)保險(xiǎn)中并未明確提及應(yīng)由保險(xiǎn)公司承擔(dān)、但確由網(wǎng)絡(luò)事件所造成的損失風(fēng)險(xiǎn)。

　　以2017年的NotPetya事件為例，NotPetya惡意軟件在全球范圍內(nèi)肆掠，破壞了大量組織的網(wǎng)絡(luò)，造成30億美元的保險(xiǎn)理賠，其中27億美元是基于網(wǎng)絡(luò)沉默風(fēng)險(xiǎn)產(chǎn)生的。

　　《風(fēng)險(xiǎn)框架》為保險(xiǎn)公司提供了7步的網(wǎng)絡(luò)保險(xiǎn)制定流程，以保證各保險(xiǎn)公司都能符合行業(yè)最佳實(shí)踐。

　　《風(fēng)險(xiǎn)框架》還建議，不要向勒索軟件方支付贖金。

　　《網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)框架》

　　一切提供網(wǎng)絡(luò)保險(xiǎn)服務(wù)的授權(quán)財(cái)產(chǎn)/意外保險(xiǎn)公司均應(yīng)采取以下特定實(shí)踐，借以持續(xù)有效管理其網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)。各項(xiàng)最佳實(shí)踐整理自我們與業(yè)界及多位專家的交流意見。

　　各保險(xiǎn)公司的網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)將受到多種因素的直接影響，包括保險(xiǎn)公司自身規(guī)模、資源儲備、地理布局、市場份額以及被保險(xiǎn)行業(yè)等。各家保險(xiǎn)公司應(yīng)采取與風(fēng)險(xiǎn)相稱的實(shí)施方法。

　　ONE

　　1、建立正式的網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)策略

　　提供網(wǎng)絡(luò)保險(xiǎn)的保險(xiǎn)企業(yè)，應(yīng)制定一項(xiàng)由高層管理團(tuán)隊(duì)、董事會或理事機(jī)構(gòu)（若無董事會）指導(dǎo)并批準(zhǔn)的，用于衡量網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)的正式策略。此項(xiàng)策略應(yīng)包含明確的風(fēng)險(xiǎn)定性與定量目標(biāo)，并應(yīng)定期將與各項(xiàng)目標(biāo)相關(guān)的進(jìn)展報(bào)告交付至高層管理團(tuán)隊(duì)與董事會。若未設(shè)有董事會，則應(yīng)上報(bào)至理事機(jī)構(gòu)。此項(xiàng)策略應(yīng)包含以下六項(xiàng)經(jīng)過明確指定的關(guān)鍵實(shí)踐。

　　TWO

　　2、管理并消除沉默網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)敞口

　　提供網(wǎng)絡(luò)保險(xiǎn)服務(wù)的保險(xiǎn)公司，應(yīng)確定自身是否正面臨沉默或非肯定性的網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)，即網(wǎng)絡(luò)政策中并未明確提及應(yīng)由保險(xiǎn)公司承擔(dān)、但確由網(wǎng)絡(luò)事件所造成的損失風(fēng)險(xiǎn)。即使是并未明確提供網(wǎng)絡(luò)保險(xiǎn)的財(cái)產(chǎn)/意外保險(xiǎn)公司，也應(yīng)著力評估其沉默風(fēng)險(xiǎn)敞口，并采取適當(dāng)措施以減少此類敞口。在各類合并性承保政策與獨(dú)立的非網(wǎng)絡(luò)政策中可能存在多種沉默風(fēng)險(xiǎn)，包括錯(cuò)誤與遺漏、盜竊與竊取、一般責(zé)任與產(chǎn)品責(zé)任保險(xiǎn)等。網(wǎng)絡(luò)風(fēng)險(xiǎn)可能尚未在保單定價(jià)中得到明確量化或歸納，因此可能給保險(xiǎn)公司帶來意外損失。

　　總而言之，保險(xiǎn)公司應(yīng)在一切可能引發(fā)網(wǎng)絡(luò)安全事件索賠的保單中，明確描述此保單是否覆蓋與網(wǎng)絡(luò)事件相關(guān)的損失，借此消除隱性風(fēng)險(xiǎn)。鑒于多數(shù)現(xiàn)有保險(xiǎn)政策可能覆蓋沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)，徹底消除這類風(fēng)險(xiǎn)往往還需要一段時(shí)間。因此，保險(xiǎn)公司應(yīng)采取措施緩解現(xiàn)有沉默風(fēng)險(xiǎn)，例如選擇購買再保險(xiǎn)產(chǎn)品。

　　THREE

　　3、評估系統(tǒng)性風(fēng)險(xiǎn)

　　作為網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)策略的組成部分，提供網(wǎng)絡(luò)保險(xiǎn)的保險(xiǎn)公司應(yīng)定期評估系統(tǒng)性風(fēng)險(xiǎn)并規(guī)劃潛在損失。如今，隨著各類機(jī)構(gòu)越來越多地依賴于第三方供應(yīng)商，系統(tǒng)性風(fēng)險(xiǎn)也隨之一路飆升。這些供應(yīng)商高度集中于特定關(guān)鍵領(lǐng)域，特別是云服務(wù)與托管服務(wù)供應(yīng)商。保險(xiǎn)公司應(yīng)了解被保險(xiǎn)人所使用的關(guān)鍵第三方機(jī)構(gòu)，并模擬災(zāi)難性網(wǎng)絡(luò)事件經(jīng)由此類關(guān)鍵第三方可能給多位被保險(xiǎn)人造成的同時(shí)損失。此類事件包括以NotPetya為代表的自傳播惡意軟件，以SolarWinds木馬事件為代表、同時(shí)感染眾多客戶組織的供應(yīng)鏈攻擊，以及可能導(dǎo)致大型云服務(wù)商陷入癱瘓的重大網(wǎng)絡(luò)事件。這類災(zāi)難性的網(wǎng)絡(luò)事件可能給保險(xiǎn)公司造成巨大損失，甚至一次性超出其賠付能力上限。

　　保險(xiǎn)公司還應(yīng)根據(jù)發(fā)生幾率極低、但仍有可能出現(xiàn)的災(zāi)難性網(wǎng)絡(luò)事件，立足內(nèi)部場景執(zhí)行網(wǎng)絡(luò)安全壓力測試。理想的壓力測試應(yīng)兼顧到沉默風(fēng)險(xiǎn)與肯定性風(fēng)險(xiǎn)。此外，由于災(zāi)難性網(wǎng)絡(luò)事件敞口在不同行業(yè)中表現(xiàn)不同，同時(shí)受被保險(xiǎn)人業(yè)務(wù)類型與實(shí)際規(guī)模影響，因此保險(xiǎn)公司應(yīng)持續(xù)跟蹤壓力測試方案對當(dāng)前不同保單各隊(duì)以及被保險(xiǎn)人所在行業(yè)的實(shí)際影響。網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)策略應(yīng)明確考慮到壓力測試所提供的明確潛在損失。

　　FOUR

　　4、嚴(yán)格衡量保險(xiǎn)風(fēng)險(xiǎn)

　　提供網(wǎng)絡(luò)保險(xiǎn)的保險(xiǎn)公司應(yīng)制定一項(xiàng)全面的數(shù)據(jù)驅(qū)動計(jì)劃，用以評估各被保險(xiǎn)人以及潛在被保險(xiǎn)人面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。制定計(jì)劃的第一步，在于通過以下各主題的調(diào)查與訪談收集相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)安全計(jì)劃信息，具體包括公司治理與控制、漏洞管理、訪問控制、加密、端點(diǎn)監(jiān)控、邊界防御、事件響應(yīng)計(jì)劃以及第三方安全策略等。這類信息應(yīng)足夠詳盡，確保保險(xiǎn)公司能夠?qū)Ρ槐ｋU(xiǎn)人網(wǎng)絡(luò)安全體系內(nèi)的潛在漏洞與既有漏洞做出嚴(yán)格評估。此外，外部網(wǎng)絡(luò)風(fēng)險(xiǎn)評估等第三方資源也屬于極具價(jià)值的信息源。保險(xiǎn)公司應(yīng)將這些信息與過往索賠數(shù)據(jù)分析結(jié)果進(jìn)行比較，借此發(fā)現(xiàn)與網(wǎng)絡(luò)安全控制體系中特定漏洞相關(guān)的具體風(fēng)險(xiǎn)。

　　FIVE

　　5、為被保險(xiǎn)人及保險(xiǎn)提供方提供教育引導(dǎo)

　　提供網(wǎng)絡(luò)保險(xiǎn)的保險(xiǎn)公司，應(yīng)在為被保險(xiǎn)人提供網(wǎng)絡(luò)安全教育、著力降低網(wǎng)絡(luò)事件風(fēng)險(xiǎn)方面發(fā)揮重要作用。保險(xiǎn)公司應(yīng)努力提供關(guān)于網(wǎng)絡(luò)安全舉措及其相關(guān)價(jià)值方面的完備信息，并敦促被保險(xiǎn)人實(shí)際采取相關(guān)措施。保險(xiǎn)公司還應(yīng)根據(jù)各被保險(xiǎn)人現(xiàn)有網(wǎng)絡(luò)安全計(jì)劃的有效性調(diào)整保費(fèi)政策，借此激勵客戶采取更好的網(wǎng)絡(luò)安全措施。

　　目前，已經(jīng)有多家行業(yè)領(lǐng)先的保險(xiǎn)公司為被保險(xiǎn)人提供指導(dǎo)服務(wù)、網(wǎng)絡(luò)安全服務(wù)優(yōu)惠折扣、甚至網(wǎng)絡(luò)安全評估與改進(jìn)建議。我們高度贊賞這方面舉措，并支持保險(xiǎn)公司不斷擴(kuò)大此類方案的類型、范圍與覆蓋面。

　　保險(xiǎn)公司還應(yīng)鼓勵并協(xié)助保險(xiǎn)產(chǎn)品設(shè)計(jì)師理解潛在網(wǎng)絡(luò)風(fēng)險(xiǎn)，引導(dǎo)其妥善設(shè)置產(chǎn)品中的網(wǎng)絡(luò)覆蓋類型與范圍、以及網(wǎng)絡(luò)保險(xiǎn)政策中給出的賠付限額。應(yīng)保證設(shè)計(jì)師們充分理解網(wǎng)絡(luò)保險(xiǎn)的需求、收益與限制，并將這部分信息準(zhǔn)確傳遞給被保險(xiǎn)人與潛在被保險(xiǎn)人，由此推動網(wǎng)絡(luò)保險(xiǎn)市場的不斷發(fā)展壯大。

　　SIX

　　6、獲取網(wǎng)絡(luò)安全專業(yè)知識

　　提供網(wǎng)絡(luò)保險(xiǎn)的保險(xiǎn)公司應(yīng)具備適當(dāng)?shù)膶I(yè)知識，借以正確理解并評估網(wǎng)絡(luò)風(fēng)險(xiǎn)。保險(xiǎn)公司應(yīng)招聘具有網(wǎng)絡(luò)安全經(jīng)驗(yàn)與技能的員工，著力制定培訓(xùn)與發(fā)展計(jì)劃，并在必要時(shí)招聘外部顧問或供應(yīng)商。

　　SEVEN

　　7、向執(zhí)法部門發(fā)布通報(bào)

　　網(wǎng)絡(luò)保險(xiǎn)政策應(yīng)要求受害者向執(zhí)法部門發(fā)布通報(bào)。部分提供網(wǎng)絡(luò)保險(xiǎn)服務(wù)的保險(xiǎn)公司目前已經(jīng)開始采取這方面最佳實(shí)踐。向執(zhí)法部門發(fā)布通報(bào)可能給受害者本身乃至公眾群體帶來助益。執(zhí)法部門往往掌握著大量私營部門無法獲取的寶貴信息，可在收到通報(bào)后及時(shí)分享以指導(dǎo)受害者快速采取應(yīng)對措施。此外，執(zhí)法部門還可協(xié)助恢復(fù)丟失的數(shù)據(jù)及資金。例如，若企業(yè)因電子郵件泄露而導(dǎo)致資金失竊時(shí)，執(zhí)法部門往往可以及時(shí)通報(bào)事件并阻止或撤銷電匯操作。在受害者、股東、監(jiān)管機(jī)構(gòu)乃至公眾對于受害者的網(wǎng)絡(luò)事件應(yīng)急反應(yīng)做出評估時(shí)，及時(shí)向執(zhí)法部門發(fā)布通報(bào)的行為將顯著提高受害者的商業(yè)聲譽(yù)。最后，執(zhí)法部門收集到的這方面信息可用于起訴攻擊者、提醒其他各方關(guān)注現(xiàn)有網(wǎng)絡(luò)安全威脅，進(jìn)而阻止未來可能發(fā)生的網(wǎng)絡(luò)犯罪活動。