與傳統的財產險或人壽險不同，網絡安全保險是高度復雜技術時代的產物。

近年來，隨著數字資產在全球范圍內愈加受到重視，勒索攻擊、數據泄露等威脅逐漸蔓延到在線金融、醫療、教育等社會生活的方方面面，成為數字化進程中不得不加以重視的安全風險。

(資料圖片)

為應對新型網絡安全威脅，各類網絡安全防護技術與產品得到快速發展與普及。其中，作為安全風險轉移的基礎手段之一，網絡安全保險開始被越來越多的企業所關注和采用，成為整體安全風險應對方案的重要環節。

但有別于車險、災害保險等傳統風險投保，由于網絡攻擊形式的多樣性以及承保數字資產價值評估的復雜性，網絡安全保險在實際推行過程中尚有諸多行業共識有待明確，對數字經濟保障的覆蓋度仍需進一步提升。

11月7日，工信部會同銀保監會起草的《關于促進網絡安全保險規范健康發展的意見（征求意見稿）》（以下簡稱《意見》）公開發布并征求意見，旨在加快推動網絡安全產業和金融服務融合發展，培育網絡安全保險新業態，促進企業加強網絡安全風險管理，推動網絡安全產業高質量發展。

提升安全風險量化能力

在保險產品的設計中，對潛在風險的預測和評估能力是制定承保方案的關鍵所在。本次發布的《意見》提出，要“研究制定承保前重點行業領域網絡安全風險量化評估相關標準，規范安全風險評估要求”。

據受訪業內人士介紹，所謂安全風險量化評估，實際上就是從風險管理角度對企業信息系統數字資產價值、安全防護能力、可能的損失等屬性進行數據層面的量化分析，并將分析結果轉化為服務于安全建設的決策信息。在保險領域，對安全風險的準確評估是區分險種，合理設置保費、保險責任的基礎。

源堡科技創始人、CEO韓冰告訴記者，此前由于缺乏對網絡安全風險量化分析的標準和工具，保險業在提供網絡安全保險時往往面臨保費計算困難、成本效益分析不足等問題，缺乏對風險的精益化管理能力。

“以數據泄密責任險種為例，可觸發數據泄露的網絡安全事件可能有勒索、數據未加密等，從事件防護角度設計量化指標時，需要全方位地考量企業整體安全能力，過嚴會導致購置門檻高，過低會加大保險公司的風險。”綠盟科技(300369)高級安全咨詢顧問歐陽周婷表示，統一量化評估標準的形成與推廣，將顯著提升保險服務商風險量化工作的精準性和客觀性，賦能涵蓋險種、保額、保費等要素的方案設計工作，降低溝通成本，快速匹配客戶實際訴求提供承保方案。

值得注意的是，《意見》中還為風險量化評估的具體措施點明了方向，文件表示，要“圍繞電信和互聯網行業典型事件，以及工業互聯網、車聯網、物聯網等新興場景開展網絡安全風險研究。探索建立網絡安全風險量化評估模型，加強網絡安全風險影響規模預測、經濟損失等分析。支持網絡安全企業、專業網絡安全測評機構等研發網絡安全風險量化評估技術，開發輕量化網絡安全風險量化評估工具，鼓勵保險公司、再保險公司建立網絡安全風險理賠數據庫，支撐網絡安全風險精準定價。”

實際上，近年來相關領域的研發和市場實踐已在緊密推進中。IDC數據顯示，為了應對復雜度顯著上升的網絡犯罪形勢，亞太地區對安全風險量化產品和服務的投資預計將以13.3%的五年年均復合增長率增長，并將于2024年達到350億美元。

歐陽周婷表示，在具體實踐中，需要基于保險險種的定義和承保范圍，識別并關聯險種相關的安全事件及其觸發條件，將其轉化為客戶的安全能力指標，結合應急響應數據等外部影響因素，搭建了用于在核保過程進行量化的風險模型，而這一過程的諸多環節都有賴于數據庫、量化技術和評估工具的成熟運用。

豐富網絡安全產品

在網絡安全實踐中，雖然不同類型的企業或多或少都面臨著數據泄露、勒索攻擊等問題的威脅，但由于生產方式、管理體系、產業鏈結構等實際情況的不同，其調查、防御、應對安全風險的成本轉移需求亦各不相同，在針對不同企業提供承保方案時，保險公司還需提供更具行業指向性的保險服務。

《意見》指出，鼓勵保險公司面向不同行業場景的差異化網絡安全風險管理需求，開發多元化網絡安全保險產品，圍繞電信和互聯網行業典型事件，以及工業互聯網、車聯網、物聯網等新興場景開展網絡安全風險研究。

韓冰表示，由于數字化進程和信息化建設的實際情況不同，不同行業的信息資產類別和規模，網絡和通信的架構，人員管理等方面存在很大差異，不同企業的外部風險暴露情況，攻擊面和暴露面的嚴重情況，內部的安全合規管理狀況、防御架構等亦各不相同，面向不同行業的網絡安全保險在保險原理、實際風險形成和風險評估等方面亦需量體裁衣，因事制宜。

“因此，網絡安全保險產品需要從保險責任的觸發原因、賠償責任、除外責任等多個方面針對不同行業進行不同的調整，以便于符合不同行業的客戶的差異化需求。”韓冰說。

此外，正對網絡安全行業，《意見》還提出，面向網絡安全產品開發網絡安全專門保險，為信息網絡技術產品提供保險保障；面向網絡安全服務開發職業責任險等產品，降低專業技術人員在安全服務過程中因人為操作可能引發的安全風險。

歐陽周婷指出，安全服務依托于人員，網安企業或多或少都會經歷過由于不當操作造成用戶營業中斷等問題的情況，且由于攻防不對等客觀因素的存在，百分之百的安全是很難保證的。本次《意見》提出的兩類險種，前者有助于增強安全企業的產品保障能力，降低安全產品短暫失效、專項攻擊安全產品的影響，后者則能夠降低安全服務人員的不穩定性，轉嫁安全服務固有風險。

“《意見》注意到了網絡安全保險的復雜性。”西安交通大學法學院人工智能與信息安全法律研究中心助理教授王新雷表示，在業態不夠健壯的初級階段，需要從易到難、從確定性高的領域入手探索，在特定場景中健全網絡安全保險的風險評估流程和法律文本，使之標準化規范化，以充分確定安全風險的邊界。

加強保險業政策支持

隨著勒索攻擊等網絡安全問題愈加嚴峻，各類安全防護產品亦迎來快速發展的市場機遇。

但值得注意的是，近年來網絡安全保險的增長態勢在眾多安全產品中亦遙遙領先。據保險咨詢公司Marsh發布的報告指出，受勒索軟件攻擊影響，2021年三季度美國網絡安全保險平均價格同比增長96%；Research And Markets發布的《2022年全球網絡安全保險市場報告》則顯示，2021年網絡安全保險市場規模為92.9億美元，2022年約為119億美元，預計到2027年將達到292億美元，年均復合增長率19.47%。

究其原因，除了網絡安全保險仍處于早期階段外，作為風險轉移的重要手段，保險業的價值除了發揮保險保障的基本屬性，為被保險人提供財務補償意外，在眾多的領域也發揮著第三方風險管理主體的作用。對于兼具安全防護需求和合規管理需求的數字化企業，網絡安全保險不失為一種一舉多得的選擇。

但另一方面，由于安全領域本身具有一定專業門檻，安全防護體系的搭建亦需要不同措施、產品加以配合，在安全實踐中，相關保險產品的設計與推廣，離不開保險企業與安全企業間的合作。

《意見》提出，要創新發展網絡安全保險服務，鼓勵網絡安全保險服務機構協同合作，探索構建以網絡安全保險為核心的全流程網絡安全風險管理解決方案。

同時，加強保險業政策對網絡安全保險的支持，指導網絡安全保險創新發展，引導開發符合網絡安全特點規律的保險產品。推動健全完善財政政策，鼓勵提供保險減稅、保險購買補貼等政策。

王新雷認為，與傳統的財產險或人壽險不同，網絡安全保險是高度復雜技術時代的產物，探索網絡安全服務+保險的模式，有助于將保險公司的金融優勢和網絡安全公司的技術優勢融合起來，促進保險公司在網絡時代探索新業態，挖掘新增長點。

他進一步指出，在高度復雜的網絡風險時代，風險治理已經不能僅依靠風險消除的方式，安全解決方案不可能一勞永逸。“而《意見》中提出的全流程網絡安全風險管理解決方案，可以通過消解風險和分散風險兩種手段，彌補傳統安全解決方案的缺陷，在防范逆向選擇和道德風險的動態風險管理的流程中，提升網絡安全水平。”

相關的政策指引也早已開始布局，2021年7月，工信部在發布的《網絡安全生產高質量發展三年行動計劃（2021-2023年）征求意見稿》中明確提出，要探索開展網絡安全保險，開展網絡安全保險的服務試點，全面提升網絡安全保險對產業的安全保障能力和服務水平。

韓冰表示，保險公司與網絡安全保險服務機構合作，可以幫助保險公司打造“風險管理服務+網絡安全保險”的主動型風險管理解決方案，從而解決可不可保、如何定價以及如何盡量不出險的問題。

“由于信息不對稱的原因，客戶較難判斷安全產品的真正效能和質量，保險的承保不僅對企業的風險進行兜底，還對企業的信用狀況、產品和服務提供了信用支持，對于增加網絡安全企業的財務履約能力、產品的信用水平均具有正面作用。”韓冰說。

（作者：南方財經全媒體記者吳立洋,孫詩卉 編輯：郭美婷）