12月21日,工信部印发《关于组织开展网络安全保险服务试点工作的通知》,《通知》提到,通过组织开展网络安全保险服务试点,要建立健全网络安全保险流程机制,建立网络安全保险标准规范,针对核保、承保、理赔等重点环节完善流程标准和要求,促进网络安全保险规范健康发展。加快网络安全服务新业态发展,积累网络安全保险实践经验,创新一批网络安全保险产品,培育一批优质网络安全保险机构,形成一批可复制可推广的网络安全保险解决方案。
不久前,北京市经济和信息化局也联合北京市地方金融监督管理局制定了《北京市关于促进网络安全保险规范健康发展的实施方案》,其中明确提到,到2025年底,推动网络安全保险在重点行业覆盖应用,以网络安全保险应用,促进企业网络安全防护能力提升,撬动网络安全市场需求释放。
网络安全保险是为网络安全风险提供保险保障的新兴险种,日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。
当前,我国网络安全保险发展现状如何?网络安全险产品发展亟待解决哪些问题?在推动网络安全保险落地的过程中,网络安全企业们做出了哪些探索?日前,安全419围绕相关话题,采访了网络安全代表厂商嘉韦思,邀请嘉韦思创始人舒首衡为我们分享了自身的观察和实践。
政策利好不断发布 为「网络安全保险」创造了勃勃生机
“2021年至今,其实是网络安全保险从无到有,并开始落地的这样的一个过程。2021年我们开始看到中国的网络安全保险市场中已经有了不少的保险公司发布了网络安全保险的产品,也做出了一些客户案例的落地,但这个市场并没有表现出快速的增长。”舒首衡告诉我们。
但值得注意的是,虽然过去两年在市场层面没有看到快速的增长,但在相关监管单位陆续出炉的鼓励政策层面,网络安全保险正在受到前所未有的关注。
舒首衡介绍,在2021年前,相关监管单位提出的网络安全保险市场的推进政策还较为宏观,比如工信部提出“要探索开展网络安全保险”,公安部也提出了“在网络安全等级保护中引入保险机制”等方向性、指导性的意见。
但是进入到2023年,一些更加具体,更加明确的政策陆续发布。包括工信部和金融管理局都出台了非常具体的关于促进网络安全保险发展的指导意见。提出要打造工信部部级的网络安全保险公共服务平台,下一步还要开展网络安全保险的试点工作,分阶段面向保险公司和行业区域征集方案和落地案例。
这些具体的这些政策措施的出台,我们认为将极大地带动网络安全保险的落地,也推动市场规模的增长,吸引包括网络安全企业、保险公司、保险科技企业等多方主体积极投身网络安全保险产品形态和服务模式创新,助推我国网络安全保险行业快速发展。
网络安全保险是网络安全服务和保险服务的有机结合
行业中有一种观点是,网络安全保险本质上是在以一种新的方式卖安全服务,那么作为一家网络安全保险厂商,嘉韦思如何看待网络安全保险这一产品形态?
舒首衡表示,网络安全保险是网络安全服务和保险服务的有机结合,网络安全服务在网络安全保险业务关键环节中发挥着重要作用。网络安全保险作为一个跨行业融合创新的新险种,不仅需要保险机构提供专业支持,也需要网络安全企业提供相关服务,赋能网络安全风险事前、事中、事后管理的全流程,如风险评估、风险监测、攻防演练、应急响应、事后恢复等。
“作为一项保险来说,事实上不仅仅是网络安全保险,其他许多保险也都是服务与保险的结合。比如当前网络安全保险通常与安全生产责任险相比较,而生产责任险里也包含了安全检查、安全防灾防损等各项服务,所以在网络安全保险当中,这种结合是非常自然的。”
他介绍,安全服务在网络安全保险中体现在不同的环节:
首先在保前环节,安全厂商需要通过安全服务对被保险人的资产进行风险的量化评估。风险量化评估必然包含网络安全服务的专业性的内容。安全服务本身在保前会起到一个至关重要的作用,有了相关的安全服务来把关,保险公司也才敢放心承保;
其次在保中环节,也需要将一些防灾防损的安全服务,包括流量分析技术、主动防御技术等等融入其中,在用户原有的安全建设的基础上,将一些差异化的安全服务融入进来,降低出现风险的概率;
最后在出险的环节,出险的研判也需要专业安全机构对安全事件进行溯源分析,对损失进行量化等等。
因此舒首衡强调,网络安全保险与安全服务不可割裂来看,安全服务实际上是提升用户安全能力,实现风险可控的有效手段。从安全服务的角度出发,去找到一些差异化、有特色的安全服务技术,去结合保险服务来做技术与产品的创新,才能更好地发挥网络安全保险的价值。
图/舒首衡向保险公司介绍网络安全保险
围绕网络安全保险本身的技术创新是市场发展的关键因素
从网络安全保险自身发展的维度来看,根据《2022年全球网络安全保险市场报告》,2021年全球网络安全保险市场规模为92.9亿美元,2022年约为119亿美元,但2022年我国网络安全保险保费规模仅在1.4亿元左右,其中差距不可谓不大。
哪些因素制约了中国网络安全保险市场的发展?在舒首衡看来,这背后除了考虑到受整体大环境经济形势下行的影响外,网络安全保险产品本身也尚处在持续的迭代升级和摸索进程当中。
另外,他认为,围绕网络安全保险产品本身的研究和创新,实际上是过去几年制约其发展的背后原因之一。对比中外网络安全保险市场,从产品本身的角度来说区别非常大。
比较典型的一点是,国外的网络安全保险很大程度上依赖于海外法律法规的环境基础,大多网络安全保险都是在出现网络安全事故的时候,去承担这些法律法规对企业的处罚而产生的成本,对这一部分损失进行赔偿。另一部分则是源自海外用户本身对于网络安全保险保障的价值驱动认同。
但我国网络安全保险市场当前正处于发展初期。社会对网络安全保险的认知尚显不足。从需求侧看,网络安全保险如何降低公有制企业的顾虑和担忧,从理赔流程机制出发去降低企业管理者的压力等等,这些都与海外市场存在差异,需要产业生态各方持续探索。
因此实际上,中国的网络安全保险不能直接把海外的产品和服务流程机制照搬过来,而是真正要在产品设计的角度,从技术创新的角度去解决本土化的问题。
舒首衡表示,从2016年开始扎根网络安全保险赛道时,嘉韦思便把自身定位为向保险公司提供第三方服务的专业TPA机构,从自身的安全能力的角度出发,去为保险公司量身打造相契合的产品。
“事实上,现在大家在说的网络安全保险一个非常笼统的概念,真正地落到产品当中的时候是非常具体的,因为网络安全保险,它保的资产不同,风险便不同,他需要的安全的配套技术能力支撑也就不同。需要我们这样的TPA机构去围绕资产来做针对性设计。”
举例来看,比如说针对信息系统的网络安全保险,就要针对IT系统去做体检研判,进行对应的防灾防损,提供兼具专业性、差异性和创新性的安全服务。但如果投保的系统是一个针对智能门锁的物联网设备,在投保的时候,如何体检研判风险,做安全防灾防损的加固等等,或许就要用到完全不同的技术手段,便需要针对这类资产去做设计。根据不同行业的特点,持续开展技术和产品创新。
网络安全保险在国内仍然是任重道远
采访最后,谈及对网络安全保险赛道的预期,舒首衡表示,“网络安全保险发展到今天,我们能看到许多的鼓励政策、官方的指导指引和试点工作正在陆续地展开,这也证明嘉韦思选择网络安全保险这条赛道是正确的。但也必须看到,我国网络安全保险的发展仍然任重道远,走完从摸索到成熟的过程仍然需要5—10年的周期,当前整个赛道参与的者还相对较少,未来很长的一段时间,仍然要忍受整个网络安全保险赛道发展过程当中的寒冷和寂寞。”
但令人充满信心的是,网络安全行业中的TPA第三方服务机构正在成为一个全新的细分赛道,越来越多的机构开始加入其中。这也十分值得期待,相信随着网络安全保险的不断发展,未来会出现一批专业的网络安全TPA机构型的创业公司涌现出来,百花齐放才能共同推动网络安全保险市场的繁荣。
舒首衡认为,在各地鼓励政策的推动下,在未来2-3年内我国网络安全保险市场有望达到数十亿规模,如果达到这一体量,在整个网络安全行业中,网络安全保险都会占有不容小觑的一席之地。
“当前我们网络安全的建设模式是传统软硬件安全投资+网络安全保险兜底保障,但展望未来,或许会如同汽车保险行业一般,用户买了车以后不会再去囤积易损坏的零部件,而是通过保险来完成所有相关零部件的维修和更换。企业用户也不排除某一天某一类资产的安全保障不会再向安全厂商采购软硬件产品,而是直接面向保险公司采购保险服务。当走到这一天的时候,有可能网络安全保险会颠覆网络安全行业用户的消费形式,它的体量可能超越我们今天的想象。”