天天新资讯:迎政策利好保险助力筑牢网络安全“防火墙”
策划人语:
信息技术的广泛应用和网络空间的快速发展,在便利生产生活、促进繁荣进步的同时,也带来了安全风险和挑战。2022年上半年,中国电信、中国移动和中国联通共监测发现分布式拒绝服务攻击约31.65万起;工信部网络安全威胁和漏洞信息共享平台共接报网络安全事件约1.57万件。
(相关资料图)
为加快推动网络安全和金融服务创新融合发展,促进网络安全产业高质量发展,11月初,工业和信息化部会同银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,提出面向电信和互联网、能源、金融、医疗卫生等重点行业以及工业互联网、车联网等新兴融合领域,开展网络安全保险服务试点,促进网络安全保险推广应用。
网络安全保险是为网络安全风险提供保险保障的新兴险种,已日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。尽管目前我国网络安全保险发展还处于起步阶段,但今年以来发展明显提速。
围绕我国网络安全保险发展面临的机遇与挑战,本报今天推出一组报道,敬请关注。
保险业发挥风险保障功能助力加快建设网络强国再次迎来政策利好。近日,工信部会同银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称《意见》)。
“网络安全保险作为转移网络安全风险的有效方式,能够帮助企业建立全面的网络安全风险应对方案。《意见》为解决网络安全问题、提高网络安全风险治理能力提供了新的思路与方案。”业内人士在接受《金融时报》记者采访时表示。
强化政策支持
信息技术的广泛应用和网络空间的快速发展,在便利生产生活、促进繁荣进步的同时,也带来了日益突出的安全风险和挑战。
中国互联网络信息中心发布的第50次《中国互联网络发展状况统计报告》显示,2022年上半年,中国电信、中国移动和中国联通总计监测发现分布式拒绝服务攻击约31.65万起;工信部网络安全威胁和漏洞信息共享平台总计接报网络安全事件约1.57万件。
在此背景下,网络安全保险日益成为转移、防范网络安全的重要工具。据统计,2021年,我国网络安全保险保费规模达7080万元,最高保额超4亿元,较上一年增长3.2倍以上,呈现高速增长态势。
从成熟市场经验来看,政策引导是加快网络安全保险发展的重要推动力。早在2019年,工信部就在《关于促进网络安全产业发展的指导意见(征求意见稿)》中提出探索开展网络安全保险服务。银保监会近日也表示,将加强财险前瞻性研究,对气候风险保险、绿色保险、新能源保险、集成电路保险、网络安全保险、新型家财险等领域开展重点研究。
建立健全网络安全保险政策标准体系,也是此次发布的《意见》的主要内容之一。《意见》提出,加强保险业政策对网络安全保险的支持,推动健全完善财政政策,鼓励提供保险减税、保险购买补贴等政策。
在健全网络安全标准规范方面,《意见》还提出,支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,明确承保、核保、理赔等主要环节基本流程和通用要求。比如,研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求。
对此,源堡科技相关负责人在接受《金融时报》记者采访时表示:“此前,保险业由于缺乏对风险的定量分析,导致保费计算困难,难以进行成本效益核算。此次发布的《意见》特别提到,要探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析,这将从根本上推动网络安全技术范式创新、落实安全功能可定制可度量可检验,为实现网络安全保险产品创新提供了充要条件。”
鼓励探索创新
近年来,保险业已在网络安全领域展开积极探索。《金融时报》记者从上海银保监局了解到,今年前三季度,上海地区共承保网络安全保险业务355件,提供风险保障金额140亿元。今年9月,上海市保险同业公会还发布了国内首个网络安全保险行业团体标准《网络安全保险服务规范》。
在加强网络安全保险产品服务创新方面,《意见》提出,鼓励保险公司面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力;面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障;面向网络安全服务开发职业责任险等产品,降低专业技术人员在安全服务过程中因人为操作可能引发的安全风险。
在业内人士看来,《意见》提及的后两类保险产品,对于持续优化网络安全行业生态、提升网络安全行业的整体服务能力和信用水平具有巨大的促进作用。
“保险除了为被保险人提供财务补偿外,还可以在众多领域发挥第三方风险管理主体作用。保险不仅是对企业的风险进行兜底,还能为企业的信用状况、产品和服务提供信用支持,对于提升优秀的、有能力的网络安全企业的品牌价值具有极大的正向作用。此外,在网络安全行业发展的过程中,由于信息不对称,客户往往难以判断网络安全产品的真正效能,在这种情况下,保险对于提升网络安全企业的财务履约能力和产品的信用水平均有重要作用。”源堡科技相关负责人说。
在织密风险保障的同时,如何优化网络安全保险服务也是政策关注的焦点。《意见》提出,鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。
源堡科技相关负责人告诉《金融时报》记者:“就网络安全产业发展现状而言,保险公司与网络安全保险服务机构合作,可以帮助保险公司打造‘风险管理服务+网络安全保险’的主动型风险管理解决方案,助力解决‘可不可保’‘如何定价’‘如何尽量不出险’等问题。第三方风险量化管理公司则可以为投保企业提供承保前风险量化评估、承保后主动损失防御等服务,降低企业出险概率及出险后的损失。”
瞄准重点行业
加快推动网络安全产业和金融服务融合发展,重点行业和新兴场景成为关键着力点。
《意见》提出,面向电信和互联网、能源、金融、医疗卫生等重点行业以及工业互联网、车联网等新兴融合领域,围绕网络安全与信息技术产品服务供给侧和需求侧两类主体,充分发挥网络安全产业、网络安全保险相关联盟协会等作用,开展网络安全保险服务试点,形成可复制、可推广的网络安全保险服务模式,促进网络安全保险推广应用。
以金融行业为例,安联保险的调研显示,虽然在网络安全方面投入了大量资金,但金融企业依然面临广泛的网络威胁,包括商业电子邮件泄露攻击、勒索软件、自动取款机中招(即犯罪分子通过网络服务器控制取款机)或数字化供应链攻击等。金融行业由于依赖第三方服务提供商而存在的潜在脆弱性尤为值得关注。例如,目前,大多数金融企业都在使用云服务,当风险事故发生时,金融机构面临相当巨大的业务中断风险敞口以及第三方责任,并且网络安全事件已经导致了巨额理赔。
“作为一个新兴险种,在特定行业开展网络安全保险服务试点,有助于形成示范效应,对于网络安全保险的大规模推广和应用具有重要意义。例如,针对关键信息基础设施,开展网络安全保险综合险试点;针对数据安全比较敏感的企业,开展数据安全责任险试点;针对个人信息保护比较敏感的企业,开展个人信息保护专项保险试点。在试点中,逐步形成‘服务+保险’的新模式以保促防,从而最大程度降低网络安全事件发生的概率。”源堡科技相关负责人说。
中小企业的风险保障需求同样受到重点关注。业内人士告诉《金融时报》记者,中小企业体量较小,资金、技术和人员有限,在网络攻防对抗中处于弱势地位。
《中小微企业数字安全报告》显示,近半数中小微企业在2021年遭受过网络攻击,超过九成的企业长期被黑客攻击而不能独立应对,超八成的勒索攻击针对1000人以下规模的中小微企业。在网络安全建设方面投入力度有限的中小企业更加需要网络安全保险为其提供充足保障。
《意见》提出,支持中小企业通过网络安全保险监控风险敞口,建立健全网络安全风险管理体系,不断加强中小企业网络安全防护能力。
《金融时报》记者注意到,上海银保监局已于年内与在沪的7家保险公司联合打造了全国首个普惠版网络安全保险产品,面向中小微企业提供覆盖业务中断损失、网络勒索损失、数据泄露损失、企业名誉损失、法律服务费用等经济支出的综合性保险解决方案,帮助降低企业获取基础安全服务成本。
