安全419注意到,日前,在青岛举办的第三届中国工业互联网大赛·工业互联网+产融合作专业赛闭幕式暨高峰论坛上,由南方电网与安全厂商嘉韦思联合申报的创新实践项目“网络安全保险第三方服务平台”获得了表彰,这一网络安全保险在大型央企落地的信息在业内引发了部分从业者和媒体的关注。
近年来网络安全保险作为网络安全服务的创新模式之一,越来越得到国家、行业、企业等组织的重视。2021年7月,工信部在发布的《网络安全生产高质量发展三年行动计划(2021-2023年)征求意见稿》中明确提出,要探索开展网络安全保险,面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。形成一批符合行业特征的网络安全保险服务方案,全面提升网络安全保险对产业的安全保障能力和服务水平。
纵观国内网络安全保险市场,虽然多家安全厂商已经逐步与保险科技机构建立合作,陆续推出了网络安全保险产品和解决方案,但由于不同行业、不同规模企业所处网络安全风险环境具有较大的差异性,企业网络安全投保需求多样化,导致国内企业用户对这一新型安全产品的接受度仍然不高,投保意愿不强。
网络安全保险市场的增长潜力巨大
在全球范围内,中国网络安全保险市场尚处于初期探索阶段。据国家工业信息安全发展研究中心测算,2021年我国网络安全险保费规模在7080万元,较上一年增长3.2倍以上。虽然这与2021年产险业原保费收入1.17万亿元相比尚不足万分之一,但网络安全保险依然呈现出高速增长态势和巨大发展空间。
众安金融科技研究院发布的一份研究报告也指出,网络安全问题在全球数字经济高速发展的情形之下愈加突显,随着云计算、大数据等越来越多新技术手段的涌现,数字化建设快速发展,企业面临着网络安全及数据隐私风险的攀升。
随着我国《网络安全法》《数据安全法》《个人信息保护法》等法律法规的相继出台,为防范和化解网络安全和数据安全领域的风险挑战提供了法律依据。数据安全治理体系形成后,企业将会面临合规成本、可能的监管处罚以及出现安全事故后的追责,这些都涵盖在网络安全保险的范围内。
尽管市场增长潜力巨大,与之相对应的是,网络安全保险也面临不少现阶段发展的问题。
网络安全保险落地难点制约整体市场的兴起
一方面,国内保险业务尚处于发展初期,险种类型较为单一。实际上在国内已经看到了很多的投保需求,但是这部分需求却很难找到合适的投保渠道和保险产品相匹配。
另一方面,国内企业用户对网络安全保险的认知存在不足,多数企业对投保网络安全保险的认识仍然停留在“出险后获得赔偿”的层面,并不清楚网络安全保险在提供风险管理服务层面的价值和内涵。事实上,帮助企业“防灾防损”,降低安全风险发生的概率和迅速止损才是网络安全保险服务的主要内容。
在此前对嘉韦思的一次采访中(嘉韦思:网络安全保险方兴未艾 让中小企业的信息安全不再遥远),其负责人曾经提到,网络安全保险的发展还面临着风险量化难、价值定义难、责任定义难等方面的问题,“通常网络安全行业中带给客户的价值很难呈现出来,客户投入的钱看不到效果,不发生安全事件的话也感受不到投入的价值 所在。”
在不久前一次对安恒信息和众安科技两家相关企业的采访中(对话安恒信息&众安科技 网络安全保险需要生态各方彼此理解支持),两位受采访专家也同样重申了这样的观点。
专家认为,在风险量化层面,当前行业中的网络安全风险评估仍然停留在定性分析层面,缺乏对网络安全投入收益的量化计算,评估结果难以满足保险公司核保、承保以及再保过程中对数据的需求;在价值定义层面,同样的一起网络安全事件造成的影响和损失在不同的行业和不同的场景上差异巨大,对于企业的品牌影响存在较大偏差,这种价值定义也是造成网络安全保险落地难的主要原因之一。
而在责任界定层面,当前部分安全厂商提供的溯源取证服务与保险理赔目标不统一,传统溯源取证往往更关注最终网络安全事件责任方的认定,但在保险理赔中,则更关注网络安全事件造成的损失是否满足理赔条件,同时定责定损过程中还涉及到利益相关的网络安全企业,其客观性、公正性和准确性很难达成共识。
尽管存在多重落地难点,但国内相关安全厂商和保险科技厂商都较为看好网络安全保险市场未来发展的趋势和市场前景,正在加快探索符合用户实际需求的保险产品和服务模式,推动网络安全保险在各行各业的落地。
大型央企的示范作用或将带动关基行业保险需求增长
据此前了解,随着我国《网络安全法》《数据安全法》《个人信息保护法》等法律法规的相继出台,数据安全治理体系的逐步形成,企业组织的合规成本也进一步提升。为了规避可能面临的监管处罚以及安全事故责任,制造、金融、医疗、信息技术等重点行业企业用户正在积极进行网络安全保险询价,希望通过保险的方式转移企业网络安全风险。
国家工业信息安全发展研究中心此前在 《我国网络安全保险产业发展白皮书(2021年)》中提到,通过统计我国部分网络安全保险市场承保情况发现,落地网络安全保险的企业往往具备以下特征:
一是属于网络攻击吸引度较高的行业,如金融、制造等行业;二是属于关键信息基础设施运营单位,其业务的正常运营直接关乎国民的根本利益,因此需要建立全面的风险管理体系;三是外资企业、合资企业或具备海外业务的中资企业,海外业务部门已投保或计划投保网络安全保险,同时带动国内业务部门主动或应合规要求寻求网络安全保险进行风险转移。
作为国家重点基础设施,南方电网身处网络攻防一线,在诸多境外黑客组织的觊觎下,无疑面临着极为复杂的安全威胁。一旦发生网络安全事件,所要承受的损失巨大。因此迫切需要利用网络安全保险来转移网络安全风险,提高网络安全保障水平。
南方电网率先试点和落地网络安全保险,无疑将会推动国内网络安全保险在电力行业的实践探索,为更多大型国有企业和国家重点基础设施推进网络安全保险的落地提供借鉴和价值参考。在南方电网这样大型央企的示范作用下,预计关键信息基础设施行业的相关需求会进一步萌发,我国网络安全保险也即将迎来快速发展期。