于是,有人把目光转向了网络安全保险,如果依靠完备的安全计划可以解决95%的问题,剩下的5%则转移给保险运营商。作为一种相对较新的金融工具,网络安全保险有如定心丸一样的存在,像安杀毒软件那般给了企业极大的心理安慰。
向前追溯,网络安全保险概念自上世纪90年代诞生,业已存在了十多年。且在北美等发达地区,其市场增长非常快。就普华永道最近一份报告《保险2020与超越:从网络弹性中获取红利》(Insurance 2020 & beyond: Reaping the dividends of cyber resilience)预测,到2018年,全球网络安全保险市场将增至50亿美元,到2020年将增至75亿美元。
然而,这个即将行至75亿美刀的市场,在中国好像没什么动静?这科学么,不科学。
究其原因,以下三条可以很好的说明之。首先是大背景环境——相关数据隐私和安全法律的缺位。在美国,法律法规的发展及严格的责任追究制度成为网络安全保险行业的坚强后盾,数据保护条例坚定了人们的想法和看法,并促进市场迅速壮大。香港、新加坡及澳洲业已或正在制定新的法律,欧盟也在探讨泛欧盟数据保护条款。加强数据保护实为大势所趋,法律法规的缺失势必成为绊脚石。
其次,市场上玩家少,兴不起风作不起浪。与发展相对成熟的美国来说,我们国家的网络安全保险市场尚处于起步阶段,即便是有网络风险相关的需求出现,能够提供支持的保险运营商少之又少。在美国约有50家保险公司提供专门的网络攻击保险,包括AIG、Chubb和ACE等保险行业巨头。反观国内,目前在网络安全保险方面只有苏黎世财产保险(中国)有限公司、安联财产保险(中国)有限公司和美亚财产保险有限公司推动力度较大。
最后是风险量化的问题。鉴于数据泄露的数量和损失难以精确计算,因此网络安全保险公司常常面临各种问题:“如何对这种风险进行定价?”“企业需要购买什么样的保险以及购买多少?”“企业能够从投保中得到的实际回报是什么?”毕竟,对企业来说,购买网络安全保险不是一笔小数目,对于大多数本身在安全预算方面有限制的企业来说则更是雪上加霜。于是乎都知道这是块大蛋糕,但都知道不好下手。
回过头来,企业花大价钱买回来的保险绝不只是心理安慰这么简单,而是希望为数据泄露、业务中断以及其他网络灾难买个保障。从本质上讲,网络保险能够在这些类型的损失方面给予保障:每条记录泄露带来的损失、通知信息泄露的损失、客户信用的监管以及泄露后的安全取证。这些成本是可以量化的,但事实上企业一旦遭遇安全事故,名誉上的损失是难以衡量的,且想要恢复受损的声誉,则要搭进去更大的成本。
往前看,网络威胁形势只会更为严峻。且如今的安全技术越发复杂,对于那些安全技术产品采购和维护成本居高不下的企业来说,选择购买网络安全保险来应对这些风险也未尝不是一个办法。