隨著網(wǎng)絡犯罪變得越來越普遍，所有組織的網(wǎng)絡風險持續(xù)增加，網(wǎng)絡保險也日益流行起來。

　　網(wǎng)絡保險在管理和降低網(wǎng)絡風險方面發(fā)揮著關鍵作用，但目前大部分保險公司在制定網(wǎng)絡保險過程中風險意識不強，可能對保險業(yè)形成巨大的風險敞口。為此，美國紐約州金融服務部發(fā)布《網(wǎng)絡保險風險框架》，面向所有財產和意外保險公司提供指引。

　　經(jīng)過長期研究，美國紐約州金融服務部認為網(wǎng)絡保險風險主要體現(xiàn)在三個方面：

　　首先，目前大部分保險公司可能無法準確衡量網(wǎng)絡風險。為某個組織提供網(wǎng)絡保險并進行定價取決于對其風險的仔細評估，而網(wǎng)絡風險通常由該組織網(wǎng)絡安全項目的水準所驅動。不同組織之間差異可能很大，如果缺乏有效的風險衡量能力，網(wǎng)絡事故成本將轉嫁到保險公司身上。

　　其次是系統(tǒng)性風險考慮不足，面對網(wǎng)絡黑天鵝比如NotPetya、SolarWinds等大規(guī)模網(wǎng)絡事件時，受害組織規(guī)模巨大，保險公司要承擔驚人的保險成本。

　　再次是警惕沉默風險敞口，即網(wǎng)絡保險中并未明確提及應由保險公司承擔、但確由網(wǎng)絡事件所造成的損失風險。

　　以2017年的NotPetya事件為例，NotPetya惡意軟件在全球范圍內肆掠，破壞了大量組織的網(wǎng)絡，造成30億美元的保險理賠，其中27億美元是基于網(wǎng)絡沉默風險產生的。

　　《風險框架》為保險公司提供了7步的網(wǎng)絡保險制定流程，以保證各保險公司都能符合行業(yè)最佳實踐。

　　《風險框架》還建議，不要向勒索軟件方支付贖金。

　　《網(wǎng)絡保險風險框架》

　　一切提供網(wǎng)絡保險服務的授權財產/意外保險公司均應采取以下特定實踐，借以持續(xù)有效管理其網(wǎng)絡保險風險。各項最佳實踐整理自我們與業(yè)界及多位專家的交流意見。

　　各保險公司的網(wǎng)絡保險風險將受到多種因素的直接影響，包括保險公司自身規(guī)模、資源儲備、地理布局、市場份額以及被保險行業(yè)等。各家保險公司應采取與風險相稱的實施方法。

　　ONE

　　1、建立正式的網(wǎng)絡保險風險策略

　　提供網(wǎng)絡保險的保險企業(yè)，應制定一項由高層管理團隊、董事會或理事機構（若無董事會）指導并批準的，用于衡量網(wǎng)絡保險風險的正式策略。此項策略應包含明確的風險定性與定量目標，并應定期將與各項目標相關的進展報告交付至高層管理團隊與董事會。若未設有董事會，則應上報至理事機構。此項策略應包含以下六項經(jīng)過明確指定的關鍵實踐。

　　TWO

　　2、管理并消除沉默網(wǎng)絡保險風險敞口

　　提供網(wǎng)絡保險服務的保險公司，應確定自身是否正面臨沉默或非肯定性的網(wǎng)絡保險風險，即網(wǎng)絡政策中并未明確提及應由保險公司承擔、但確由網(wǎng)絡事件所造成的損失風險。即使是并未明確提供網(wǎng)絡保險的財產/意外保險公司，也應著力評估其沉默風險敞口，并采取適當措施以減少此類敞口。在各類合并性承保政策與獨立的非網(wǎng)絡政策中可能存在多種沉默風險，包括錯誤與遺漏、盜竊與竊取、一般責任與產品責任保險等。網(wǎng)絡風險可能尚未在保單定價中得到明確量化或歸納，因此可能給保險公司帶來意外損失。

　　總而言之，保險公司應在一切可能引發(fā)網(wǎng)絡安全事件索賠的保單中，明確描述此保單是否覆蓋與網(wǎng)絡事件相關的損失，借此消除隱性風險。鑒于多數(shù)現(xiàn)有保險政策可能覆蓋沉默網(wǎng)絡風險，徹底消除這類風險往往還需要一段時間。因此，保險公司應采取措施緩解現(xiàn)有沉默風險，例如選擇購買再保險產品。

　　THREE

　　3、評估系統(tǒng)性風險

　　作為網(wǎng)絡保險風險策略的組成部分，提供網(wǎng)絡保險的保險公司應定期評估系統(tǒng)性風險并規(guī)劃潛在損失。如今，隨著各類機構越來越多地依賴于第三方供應商，系統(tǒng)性風險也隨之一路飆升。這些供應商高度集中于特定關鍵領域，特別是云服務與托管服務供應商。保險公司應了解被保險人所使用的關鍵第三方機構，并模擬災難性網(wǎng)絡事件經(jīng)由此類關鍵第三方可能給多位被保險人造成的同時損失。此類事件包括以NotPetya為代表的自傳播惡意軟件，以SolarWinds木馬事件為代表、同時感染眾多客戶組織的供應鏈攻擊，以及可能導致大型云服務商陷入癱瘓的重大網(wǎng)絡事件。這類災難性的網(wǎng)絡事件可能給保險公司造成巨大損失，甚至一次性超出其賠付能力上限。

　　保險公司還應根據(jù)發(fā)生幾率極低、但仍有可能出現(xiàn)的災難性網(wǎng)絡事件，立足內部場景執(zhí)行網(wǎng)絡安全壓力測試。理想的壓力測試應兼顧到沉默風險與肯定性風險。此外，由于災難性網(wǎng)絡事件敞口在不同行業(yè)中表現(xiàn)不同，同時受被保險人業(yè)務類型與實際規(guī)模影響，因此保險公司應持續(xù)跟蹤壓力測試方案對當前不同保單各隊以及被保險人所在行業(yè)的實際影響。網(wǎng)絡保險風險策略應明確考慮到壓力測試所提供的明確潛在損失。

　　FOUR

　　4、嚴格衡量保險風險

　　提供網(wǎng)絡保險的保險公司應制定一項全面的數(shù)據(jù)驅動計劃，用以評估各被保險人以及潛在被保險人面臨的網(wǎng)絡風險。制定計劃的第一步，在于通過以下各主題的調查與訪談收集相關機構的網(wǎng)絡安全計劃信息，具體包括公司治理與控制、漏洞管理、訪問控制、加密、端點監(jiān)控、邊界防御、事件響應計劃以及第三方安全策略等。這類信息應足夠詳盡，確保保險公司能夠對被保險人網(wǎng)絡安全體系內的潛在漏洞與既有漏洞做出嚴格評估。此外，外部網(wǎng)絡風險評估等第三方資源也屬于極具價值的信息源。保險公司應將這些信息與過往索賠數(shù)據(jù)分析結果進行比較，借此發(fā)現(xiàn)與網(wǎng)絡安全控制體系中特定漏洞相關的具體風險。

　　FIVE

　　5、為被保險人及保險提供方提供教育引導

　　提供網(wǎng)絡保險的保險公司，應在為被保險人提供網(wǎng)絡安全教育、著力降低網(wǎng)絡事件風險方面發(fā)揮重要作用。保險公司應努力提供關于網(wǎng)絡安全舉措及其相關價值方面的完備信息，并敦促被保險人實際采取相關措施。保險公司還應根據(jù)各被保險人現(xiàn)有網(wǎng)絡安全計劃的有效性調整保費政策，借此激勵客戶采取更好的網(wǎng)絡安全措施。

　　目前，已經(jīng)有多家行業(yè)領先的保險公司為被保險人提供指導服務、網(wǎng)絡安全服務優(yōu)惠折扣、甚至網(wǎng)絡安全評估與改進建議。我們高度贊賞這方面舉措，并支持保險公司不斷擴大此類方案的類型、范圍與覆蓋面。

　　保險公司還應鼓勵并協(xié)助保險產品設計師理解潛在網(wǎng)絡風險，引導其妥善設置產品中的網(wǎng)絡覆蓋類型與范圍、以及網(wǎng)絡保險政策中給出的賠付限額。應保證設計師們充分理解網(wǎng)絡保險的需求、收益與限制，并將這部分信息準確傳遞給被保險人與潛在被保險人，由此推動網(wǎng)絡保險市場的不斷發(fā)展壯大。

　　SIX

　　6、獲取網(wǎng)絡安全專業(yè)知識

　　提供網(wǎng)絡保險的保險公司應具備適當?shù)膶I(yè)知識，借以正確理解并評估網(wǎng)絡風險。保險公司應招聘具有網(wǎng)絡安全經(jīng)驗與技能的員工，著力制定培訓與發(fā)展計劃，并在必要時招聘外部顧問或供應商。

　　SEVEN

　　7、向執(zhí)法部門發(fā)布通報

　　網(wǎng)絡保險政策應要求受害者向執(zhí)法部門發(fā)布通報。部分提供網(wǎng)絡保險服務的保險公司目前已經(jīng)開始采取這方面最佳實踐。向執(zhí)法部門發(fā)布通報可能給受害者本身乃至公眾群體帶來助益。執(zhí)法部門往往掌握著大量私營部門無法獲取的寶貴信息，可在收到通報后及時分享以指導受害者快速采取應對措施。此外，執(zhí)法部門還可協(xié)助恢復丟失的數(shù)據(jù)及資金。例如，若企業(yè)因電子郵件泄露而導致資金失竊時，執(zhí)法部門往往可以及時通報事件并阻止或撤銷電匯操作。在受害者、股東、監(jiān)管機構乃至公眾對于受害者的網(wǎng)絡事件應急反應做出評估時，及時向執(zhí)法部門發(fā)布通報的行為將顯著提高受害者的商業(yè)聲譽。最后，執(zhí)法部門收集到的這方面信息可用于起訴攻擊者、提醒其他各方關注現(xiàn)有網(wǎng)絡安全威脅，進而阻止未來可能發(fā)生的網(wǎng)絡犯罪活動。