网络攻击险的挑战与未来
导读:网络攻击险是近年来增长最快的保险业热门险种,当然也是少数引起大众媒体关注的保险之一。截至目前,保险索赔尚处在合理的水平内,保险公司的经验也很有优势。但事实上,该险种可能面临着有可能致其消失或至少减少的重大挑战。本文作者Richard S Betterley (Betterley风险顾问公司总裁)就这一问题进行了分析,基于他过去14年对网络和隐私风险与保险的研究、承保以及咨询经验,谈谈其个人的一些主要想法。
网络攻击险是近年来增长最快的保险业热门险种,当然也是少数引起大众媒体关注的保险之一。但考虑到报道的广泛网络入侵事件,大部分人最关注的是个人隐私以及网络攻击险的利与弊。这并不令人惊讶。无论企业经营管理有多完善,依然会遭遇很多成功实施的网络攻击。这已经引起业内对网络攻击险的极大兴趣。企业领导、政府官员、企业合作伙伴以及保险行业都鼓励持有数据的企业购买网络攻击保险。因此,投保的数量很大。截至目前,保险索赔尚处在合理的水平内,保险公司的经验也很有优势。被保险人及其保险顾问看到这样的保险都很高兴,希望能提供足够的限额购买到适当的保险单。但我认为,该险种面临着有可能致其消失或至少减少的重大挑战。同时,也存在能阻止该等挑战发生的重大机遇。
问题1 太多网络入侵事件
真正令人担忧的问题是网络入侵太多,因而以合理的价格和自留额提供保险的能力受到质疑。众所周知,有两类企业:一类是已受到网络入侵并知晓的企业,另外一种是已受到网络入侵但尚不自知的企业。不幸的是,这句话说的太对了。而且,每一个这样的企业都是潜在的被保险人。
网络入侵的频发可能是造成不能以合理的价格和自留额提供保险的原因(至少被保险人认为是这样)。一个解决办法是,提高保费与自留额让保险人更容易接受风险承保,但我担心这样会造成被保险人放弃投保。这可能造成网络攻击险变得像洪水保险一样,很难维持合理的定价。被保险人将不能享受网络攻击险提供的索赔人员服务与增值风险管理服务。
问题2 网络风暴
假如过多的入侵还算不上问题,那么网络风暴的风险就不可谓不大了。一旦发生网络风暴,一般的网络攻击就足以入侵众多被保险人的网络,导致大量被保险人同时提出保险索赔。对于发生常见攻击事件导致的众多投保人网络被攻破,保险公司通过承保、保险条款或再保险等手段还不能提供充分保护。我倒是希望我是错的。
云计算是令人担忧的一个方面。虽然云提供商尝试把单个客户保护起来,但我们知道仍然存在严重的安全挑战。云提供商的一次网络入侵可能影响众多用户,并且大部分这样的客户都由同一家单位承保。
并且,这不是唯一令人担忧的。常见攻击载体对相同安全漏洞的攻击也时有发生。
到目前,许多遭受过网络入侵的企业都没有买网络攻击保险;随着网络攻击保险变的越来越普遍,这样的攻击将带来数量巨大的保险索赔。
面对同一攻击引发的大量投保人提出的高额损失索赔,承保单位将如何承受?被保险人之间不存在共享的限额(他们也不希望有),来保护承保单位。
许多网络攻击保险公司承保的被保险人数量不大,这从一方面来看也是有利的,不会有大量的投保人同时遭受常见网络入侵。但对保险业务而言,又会产生另外一个问题,总保费数量相对较小,对网络入侵进行处理的保险人员数量也不够。
大型的网络保险公司可能有能力控制并管理网络风暴带来的保险索赔,但小型的保险公司怎么办?
全球再保险行业明显已经瞄上了发展成熟的网络保险。再保险公司对网络保险兴趣的提高给我们带来了希望,但这并不能让网络风暴带来的潜在危险烟消云散,反而让风险进一步扩散。
问题3 承保与索赔人员够吗?
网络保险惊人的增长速度带动了对专业承保与索赔人员的需求,但是相关的人员配备数量是否足够呢?
我们看到有些保险公司的员工在提供网络保险中给人留下了深刻印象,但要成为一名专业承保与索赔员需要时间。发挥现有有经验人员的作用很有帮助,但并不能取代所需的经验本身。
让问题变得更复杂的是,现有的保险人才极缺,其他保险公司、中介机构(批发或零售的中间机构)以及包括网络安全供应商在内的销售商都在争抢。从好的方面说,这一需求只会推高工资;但反过来,人才流失将影响保险公司的业绩,并成为刚刚失去网络保险团队的保险公司的一大忧虑。
问题4 价格能跟赶得上威胁吗?
我前面已经提到我对过多网络入侵与网络风暴的担忧,而我对定价的担忧同适当保费预估能力密不可分。
精算师会对不同的因素进行出色的分析计算,包括过去事件、风险变化、社会与经济趋势等等,以帮助保险公司制定适当的费率。一旦过去的风险与索赔能反映未来的趋势,分析计算工作会变得更简单(但似乎从未简单过)。
但这同网络保险差之甚远,不仅仅是因为最近的风险(直到目前鲜有报道),而且风险在不断变化。明天的网络攻击不可能跟昨天的一样,不管是网络攻击源、方法、目标还是结果。诚然,大多数攻击有其共同之处,并且有助于风险的预测与衡量。但是,我要说的是,对其他保险险种有用的因素在网络攻击险方面可能一点用也没有。
一旦对合理保费的制定失去信心,保险行业的高管们将面临巨大压力,说明为何要对网络保险产品提供持续的支持。
问题5 许多大的风险不在网络保单覆盖范围之内
遭受较大的网络攻击的对象,比如塔吉特公司,可能遭受的损失预计高达10亿美金。即使是较小的攻击对象,比如非公立公司,损失也可能非常大。
但是,多数公众不了解的是,包括众多被保险人,网络保险保单不对大部分该等损失提供保险。
根据机构的不同,不在保险覆盖范围的损失可能包括:
·市值的减少。
·声誉损失,包括客户与企业的人际关系与机遇。
·重大业务中断与其他费用(适合投保的,但经常限额不够)。
·知识产权经济价值的可能损失。
·员工时间与工作重心的丧失。
我怀疑一旦客户群认识到一些大的风险不被承保,网络攻击保险的认知价值将降低。
机遇1 网络保险公司本身
我一直在关注网络攻击的风险,但事实上我的顾虑是受攻击本身而非存在的保险所驱动。无论有没有保险,网络攻击将一直是持有数据的个人或企业的主要威胁。这一威胁不会消失,不管有没有保险。
但可能的情况是(我认为肯定是),网络保险公司只能提供一部分解决办法,能提供机会更好地服务客户、让客户的财物有个安全的保管场所。
过去几年里,我一直在推广一种称为Cyber 3.0 或更高级防风险或HPR策略的理念(我不是唯一使用术语HPR的人)。该方法能让保险公司进一步减少或规避风险,帮助被保险人不仅仅通过风险转移来避免损失。
这个理念容易理解——避免、减少及降低风险,然后把必要的风险转移到保险公司身上。风险管理的一个主要方法。
网络保险公司能帮助被保险人做到,如同一个世纪以来保险公司在财产与锅炉及机器保险上所做的那样,增加投资将索赔降到最低,减少用于支付索赔的金额。
有许多公司都争着提供网络安全保险,那么被保险人,尤其是中小型被保险人如何知道哪些公司有能力提供网络保险呢?谁该鼓励建立相应标准帮助改善网络安全服务呢?谁对擅长网络安全的被保险人进行奖励?谁又会鼓励其他人了解网络安全呢?
在我看来,网络攻击保险公司在这方面能发挥有效作用。这样以来,网络攻击保险将更具有可持续性。
机遇2 技术进步
我认为,网络安全方面的技术进步确实能让投保的保险更具可持续性,前提是投保人必须使用这些技术。技术在不断进步,尽管还远远不够完善,但已经能发挥有效作用。网络攻击险有可能维持保险产品的合理定价与广泛可获得性。
诚然,确实有很多保险索赔单靠技术很难避免。人为因素往往是主要根源,但人为导致的风险比技术导致的更易于预测、更稳定,并且可通过改善培训、监控以及其他传统损失控制措施来降低风险。
总结
尽管我们对网络保险的未来有不少担忧,但我仍看到了能让网络保险取得成功的机遇。网络保险行业能通过调节网络安全方面的重点增长为网络保险的未来提供保障,让保险行业受益、被保险人以及保险分销体系从中受益。