從13年Target數(shù)據泄露事件曝光開始,安全圈像中了魔咒一樣事故頻現(xiàn),涉及的數(shù)據泄露數(shù)量和造成的損失更是一再刷新人們的認知。種種跡象表明:企業(yè)似乎永遠無法通過人力、流程以及技術來確保100%的安全性。
于是,有人把目光轉向了網絡安全保險,如果依靠完備的安全計劃可以解決95%的問題,剩下的5%則轉移給保險運營商。作為一種相對較新的金融工具,網絡安全保險有如定心丸一樣的存在,像安殺毒軟件那般給了企業(yè)極大的心理安慰。
向前追溯,網絡安全保險概念自上世紀90年代誕生,業(yè)已存在了十多年。且在北美等發(fā)達地區(qū),其市場增長非常快。就普華永道最近一份報告《保險2020與超越:從網絡彈性中獲取紅利》(Insurance 2020 &beyond: Reaping the dividends of cyber resilience)預測,到2018年,全球網絡安全保險市場將增至50億美元,到2020年將增至75億美元。
然而,這個即將行至75億美刀的市場,在中國好像沒什么動靜?這科學么,不科學。
究其原因,以下三條可以很好的說明之。首先是大背景環(huán)境——相關數(shù)據隱私和安全法律的缺位。在美國,法律法規(guī)的發(fā)展及嚴格的責任追究制度成為網絡安全保險行業(yè)的堅強后盾,數(shù)據保護條例堅定了人們的想法和看法,并促進市場迅速壯大。香港、新加坡及澳洲業(yè)已或正在制定新的法律,歐盟也在探討泛歐盟數(shù)據保護條款。加強數(shù)據保護實為大勢所趨,法律法規(guī)的缺失勢必成為絆腳石。
其次,市場上玩家少,興不起風作不起浪。與發(fā)展相對成熟的美國來說,我們國家的網絡安全保險市場尚處于起步階段,即便是有網絡風險相關的需求出現(xiàn),能夠提供支持的保險運營商少之又少。在美國約有50家保險公司提供專門的網絡攻擊保險,包括AIG、Chubb和ACE等保險行業(yè)巨頭。反觀國內,目前在網絡安全保險方面只有蘇黎世財產保險(中國)有限公司、安聯(lián)財產保險(中國)有限公司和美亞財產保險有限公司推動力度較大。
最后是風險量化的問題。鑒于數(shù)據泄露的數(shù)量和損失難以精確計算,因此網絡安全保險公司常常面臨各種問題:“如何對這種風險進行定價?”“企業(yè)需要購買什么樣的保險以及購買多少?”“企業(yè)能夠從投保中得到的實際回報是什么?”畢竟,對企業(yè)來說,購買網絡安全保險不是一筆小數(shù)目,對于大多數(shù)本身在安全預算方面有限制的企業(yè)來說則更是雪上加霜。于是乎都知道這是塊大蛋糕,但都知道不好下手。
▲網絡攻擊漫長而不可預知
回過頭來,企業(yè)花大價錢買回來的保險絕不只是心理安慰這么簡單,而是希望為數(shù)據泄露、業(yè)務中斷以及其他網絡災難買個保障。從本質上講,網絡保險能夠在這些類型的損失方面給予保障:每條記錄泄露帶來的損失、通知信息泄露的損失、客戶信用的監(jiān)管以及泄露后的安全取證。這些成本是可以量化的,但事實上企業(yè)一旦遭遇安全事故,名譽上的損失是難以衡量的,且想要恢復受損的聲譽,則要搭進去更大的成本。
往前看,網絡威脅形勢只會更為嚴峻。且如今的安全技術越發(fā)復雜,對于那些安全技術產品采購和維護成本居高不下的企業(yè)來說,選擇購買網絡安全保險來應對這些風險也未嘗不是一個辦法。
【話外】
筆者要是有錢一定砸向各種網絡安全保險公司投資,問題是……筆者沒錢。
筆者以“cyber security insurance”為關鍵詞分別用谷歌、360和百度進行了搜索,結果這畫風有點兒心塞塞的,乃們感受下orz……
介是谷歌→_→
介個是360→_→
介是百度→_→