据有关机构测算,2020年全球网络安全保险市场规模达78亿美元,并将在未来5年以大于20%的增速发展。在通讯互联网技术占国际领先地位的我国,网络安全保险正生根发芽并引起社会热议。虽然该市场在我国尚处于起步阶段,但其未来潜力巨大,将助力我国数字经济可持续健康发展。
2021年5月,美国政府问责局(United States Government Accountability Office,简称GAO)针对网络安全保险市场发布了一份名为《网络安全保险:保险公司和投保人在不断变化的市场中面临挑战》的报告。报告指出,目前网络安全保险接受率上升、保险价格上涨、保险限额降低,网络安全保险内容也更加明确。但同时,该市场仍然面临着多重挑战,如网络风险事故或损失历史数据有限,网络风险定义不够清晰、缺乏一致性,以及企业对网络风险和保险责任覆盖范围认知程度有限等。针对上述问题,报告提出了一些政策建议。
通过这份报告,GAO向保险市场发出了积极信号。由于互联网全方位融入企业发展,以及政府对网络安全重视程度的提升,网络安全保险供给和需求端不断发展,促使网络安全保险功能更加细化。在鼓励行业发展的同时,GAO也鼓励政府与企业、市场合作,共同攻克业态尚未成熟的技术发展瓶颈和制度缺陷。
网络安全保险的概念与监管
网络安全保险由私人保险公司向企业和其他实体提供,保护第一方(投保人)和第三方(投保人客户)免受网络事故(如网络中断、数据盗窃等)带来的损失,例如信息系统的机密性、完整性和可用性遭到破坏等。网络安全保险有两种形态,一是只覆盖网络风险的独立保单,二是作为一般保险(覆盖多种类型风险)的一揽子保险范围的一部分(如一般商业责任保险)。
美国保险监管协会(NAIC)重点关注网络安全保险公司的偿付能力。监管对象包括网络安全保险在内的私人保险市场,确保保险条款公平合理且符合各州法律,不存在可能被消费者误解的保险责任范围,但一般不制定网络安全保险责任覆盖范围的最低标准。此外,美国财政部联邦保险办公室恐怖主义风险保险计划(TRIP)要求在发生特定恐怖行为时,联邦政府应与私人保险公司共同分担损失。如果网络攻击符合条款标准,那么网络攻击造成的损失可以依据TRIP得到补偿。
网络安全保险市场现状与发展趋势
1. 网络安全保险接受率整体提升,行业间存在差异
网络安全保险接受率是指有资格获得网络安全保险的实体选择网络安全保险的百分比。随着网络安全保险的发展,市场接受比率不断提升,从2016年的26%上升到了2020年的47%。
网络安全保险接受率与实体规模密切相关。中小型实体网络安全保险接受率落后于大型实体,可能的原因包括:中小企业低估网络风险,难以理解保险责任覆盖范围,认为当前责任覆盖范围已足够,以及担忧自身经济承受能力等。此外,该保险接受率也因行业而异。2016至2020年,在威达信集团(Marsh Mclenan)的客户群体中,接受率最高的行业为教育和医疗保健,因为它们需要收集、维护并使用大量个人身份信息和受保护的健康信息。由于酒店和零售行业也需收集客户的支付卡信息,酒店和零售行业的接受率也有显著增长。同时,随着制造行业对潜在网络攻击风险的日益重视,该行业的接受率也呈增长趋势。
图:2016-2020年不同行业公司对网络安全保险的接受率
2. 企业关注网络安全保险的可获得性及可负担性
网络安全保险的可获得性和可负担性是各行业关注的重点。2016年以来,大多数实体均可以负担得起网络安全保险。如果小企业认为自身风险较小或保险费过高,那么他们购买网络安全保险的频率会更低。然而,网络安全保险将在多大程度上继续具有可获得性和可负担性仍是不确定的。据保险代理和经纪委员会、Marsh McLennan和A.M.Best调研反馈,尽管接受率保持上升趋势,但保险公司对网络风险的承保欲望和能力近期呈现收缩趋势,特别是对于某些高风险行业(如医疗保健、教育、公共部门)承保收缩趋势尤为明显。其原因包括网络攻击造成的损失增加、未来网络攻击的威胁以及整体保险市场环境等。
同时,承保人更加仔细地审查了所有实体(包括各类规模及行业)面对的风险。为了应对网络攻击频率与严重程度的增加、网络攻击成本上升、以及对未来攻击的类型、范围和目标的不确定性,保险公司在是否对高风险行业和实体承保上以及提高保费方面变得更加谨慎。这都可能会影响未来网络安全保险的可获得性和可负担性。
3. 网络安全保险需求不断增加
随着企业逐渐重视日益增加的网络风险,其对于网络安全保险的需求有所增加。根据对标准普尔市场情报和NAIC的数据分析,2016至2019年生效的网络安全保单数量从220万份上升到360余万份,增加约60%;书面保费总额从21亿美元增长至31亿美元,增长50%。超过60%的受访经纪人表示,网络安全保险增长的前两大驱动因素为曾遭受网络攻击和听到其他人在网络攻击中遭受损失。
图:2016-2019年网络安全保险的书面保费和保单数量变化
4. 网络安全保险保费增加
网络安全保险保费在2017年、2018年保持相对稳定,在2020年呈显著增长趋势。超过一半的经纪人反映,2020第三季度到第四季度,其客户缴纳的网络安全保险费用上涨了10%至30%;只有15%的经纪人表示,在此期间客户保费无发生变化。
网络安全保险费上升有两方面原因:一方面,客户需求增加;另一方面,更频繁和严重的网络攻击造成了保险公司损失增加,尤其是勒索软件攻击,它会阻止用户访问系统或数据,直到支付赎金为止。
图:2017-2020年间网络安全保险的保费变化
保费增长程度的影响因素包括公司规模、所处行业以及公司对网络安全的内部控制强度。专门为中小型实体提供网络安全保险的经纪人表示,目前对于拥有强大网络控制和低风险行业的小型实体,网络保单的平均保费维持从1400美元到3000美元不等。由于公司和行业的风险不同,保费可能是平均值的多倍。2021年间,高风险行业和中大型实体的保费增幅预计高于网络控制强度较高的小企业(保费增幅约5%至10%)。
5. 网络安全保险供给者数量增加
通过对NAIC的网络补充数据分析发现,2016至2019年间,提供网络安全保险的保险公司数量约增加35%。然而,2016年以后新进入网络安全保险市场的保险公司只占据2019年市场保费总额的9%左右。
可见,网络安全保险市场的整体集中度高于财产险和意外伤害险市场。结合标普市场情报的市场份额报告和网络补充数据分析,2019年,10家美国保险集团占据了近70%的网络安全保费总额,但仅占据当年财产险费和意外险费总额的18%。
6. 专门针对网络风险的保单增多
专门针对网络风险的保险,主要有三种提供方式:独立的网络安全保险;将网络安全保险与专业责任保险相结合;对其他保险责任覆盖范围提供网络担保。网络风险保单的增加反映出,企业希望保险责任范围应与数据或系统的机密性、完整性和可用性相关联;还希望网络安全保险责任覆盖更加清晰,这有助于减少网络攻击事故中的索赔纠纷和诉讼。此外,独立保单还有助于投保人获得更高的保险限额。
7. 网络安全保险覆盖范围不断变化
网络攻击的频率和严重程度不断增加,特别是勒索软件的攻击,导致保险公司缩减了对医疗保健公司、教育公司、国企等实体的保险限额,并增加了对勒索软件保险责任覆盖范围的限制。
8. 免责条款更多,保险条款更为严格
保险公司一直在收紧网络安全保险条款和赔付条件,并在传统保险覆盖范围和一揽子保单基础上增加网络担保免责条款,以避免产生歧义。这些限制旨在消除对潜在网络风险的覆盖,潜在网络风险可能损害多家企业,并造成保险公司遭受重大的不可预见损失,甚至造成偿付能力的不足。虽然难以在短期内被消除,但网络进一步独立和对相关术语的阐明会有所裨益。
网络安全保险业面临的多重挑战和政策建议
1. 网络风险事故或损失历史数据有限
一般情况下,保险公司使用历史损失数据来量化风险,并设计保险产品的费率。然而,目前有关网络损失的历史数据非常有限,数据不完整或质量较差。这些限制使得保险公司很难建立网络攻击损失概率预测模型,也没有全面集中的网络攻击信息供保险公司访问使用。关于网络事件的不完整或不准确的历史数据降低了精算模型的可靠性,导致损失估计的不确定性增加。如果无法获得这些数据,网络安全保险的价格可能无法准确反映网络风险。如果网络安全保险的定价过低,保险公司可能将没有足够的资金赔付投保人,甚至会导致保险公司的破产;如果保险定价过高,则可能很少有企业和消费者负担得起网络安全保险。
因此,全行业共同收集、共享网络攻击信息将有助于提升国家收集网络事故数据的能力。美国国会可以建立一个实体专门收集数据,进而更好地理解网络风险,帮助保险业构建更好的风险模型。此外,还可以在美国国土安全部设立公私合作组,与保险公司和网络风险模型构建公司合作,汇集可用数据,从而为网络风险建模的创新进步提供信息支持。
2. 网络安全保险缺乏通用定义
构建标准化保单模板和保单语言的保险服务办公室表示,网络保单中使用的语言差别很大,保险额度超过500万美元的保单与标准化的语言、模板有较大区别,运营商在其定义中可能会使用略有不同的语言。
由于关于网络攻击和网络恐怖主义的定义缺乏全球共识,保险公司也可能会以不同的方式来定义勒索软件攻击。不一致的保单术语(包括关键保单条款的定义)可能会给保险业带来挑战。如果行业对关键保单术语未使用统一定义,将无法明确哪些风险被覆盖、哪些风险未被覆盖,进而使得保险行业难以形成广泛的政策标准。此外,这种歧义可能导致保险公司和投保人之间的误解和诉讼。
通用术语将有助于形成更具可持续性的网络安全保险市场。网络安全保险的可持续性意味着,保险公司可以明智地选择保险责任覆盖范围,投保人也可以理解相应的责任范围。一些行业利益相关者建议提高保险语言的清晰度和透明度,包括对关键保险术语的统一定义。联邦、州政府和保险行业可以加强合作,推出通用定义。
3. 企业对网络风险和保险责任覆盖范围的认知有限
许多实体,特别是小型企业,可能低估了所面临的网络风险和减轻这些风险所需的网络安全保险责任覆盖范围。保险额度偏低和承保范围不足的保险会造成保护缝隙,从而增加公司的财务风险敞口。在全球范围内,网络事故造成的年均经济成本几乎是年均自然灾害损失数额的两倍。商业改善局的一项调查发现,87%的小企业受访者认为自身容易受到网络攻击。然而一些规模较小的实体可能没有完全认识到所面临的网络风险规模,以及网络攻击对其业务的潜在影响。一些企业犹豫是否应购买网络安全保险,因为他们未看到网络安全保险的价值,认为其无法修复公司遭受的网络攻击,或者认为这类保险包括过多的除外责任。
保险代理和经纪委员会建议,保险行业可以帮助实体了解网络攻击对其运营造成的风险和潜在损失,并了解其购买的保险责任范围及除外责任。一些中小企业的技术资源有限,或具有网络安全专业知识的员工也很有限,因此并没有充分利用网络安全保险公司的服务。
4. 《恐怖主义风险保险法案》(TRIA)对网络攻击的适用性不足
由于美国财政部从未根据TRIA认证过任何事故,而网络攻击特征很可能不容易符合该法案的认证要求,所以网络攻击是否能被定义为恐怖主义行为存在不确定性。财政部认定的恐怖主义行为必须是暴力的或危及人类生命、财产或基础设施的行为,这些恐怖主义行为通常会给美国带来损失,并强迫美国平民或通过强迫手段影响美国政府。然而,网络攻击可能不是暴力的,也可能会给位于美国以外的计算机服务器造成损失。此外,网络攻击可能是为了获取经济利益,而不是强迫政府或美国人民。
如果想要TRIA更广泛地覆盖网络攻击,国会可以修改认证标准:包括电子数据和基础设施相关损失;扩展地理参数(囊括除美国外其他国家遭受的危害);扩大网络攻击的意图范围(包括除强迫外其余意图)。但是,扩大TRIA的覆盖范围可能会对保险市场产生短期影响。如果保险公司认为他们无法承担这类水平的风险,可能会收回他们提供的财产和责任保险。同时,对电网的大型网络攻击可能会造成超出TRIA所设定的1000亿美元损失上限,超过上限的损失是没有保险的。此外,私营部门保险公司承担风险的能力也存有隐患,而国会对TRIA的重新授权通常会将风险从联邦政府转移到私营部门。2020年5月的一份报告显示,据财政部风险分担机制咨询委员会调查,由于损失风险敞口的变化,TRIA可能不再是保障保险业稳定的有效框架,并建议财政部重新评估改变上限的潜在影响。
5. 网络风险正在演变,可能涉及巨额损失
随着技术和网络攻击方法变化,网络风险持续演变,使得保险公司难以承保。恐怖分子手段的复杂性和敏捷度均在上升,技术的进步和数字设备与互联网或云计算连接性的增加给承保网络安全保险带来了挑战。德勤近期的一份报告指出,即使保险公司收集了更多的数据,并基于之前的网络数据训练改进了预测模型,但潜在的风险暴露仍在不断变化,这使得在保险公司不清楚供给者攻击目标、策略或技术的情况下,很难构建一个可靠的预测模型。
此外,一次网络攻击可能会损害多家公司业务,并造成重大损失,许多企业可能同时提出索赔,使保险公司面临财务挑战。网络攻击可能会迅速蔓延,并造成巨额损失。据剑桥风险研究中心在2016年发布的一份报告,大多数保险公司为此选择不扩大其网络安全保险规模。威达信表示,由于对此类攻击造成的系统性风险和潜在巨额损失的担忧,保险公司寻求在已有的、非巨额投资组合损失之外的损失建模,包括对灾难性网络事故影响的预测。随着网络投资组合的持续增长和建模水平的成熟,预计保险公司将更加依赖数据分析来为承保策略、产品定价和再保险购买提供信息。
