保觀|專注互聯(lián)網(wǎng)保險(xiǎn) 1992年,安德魯颶風(fēng)席卷佛羅里達(dá)州的南海岸,導(dǎo)致了數(shù)十人傷亡的慘劇,并給當(dāng)?shù)卣斐闪烁哌_(dá)250億美元的損失。這次颶風(fēng)災(zāi)難也暴露了財(cái)險(xiǎn)公司的一個(gè)致命弱點(diǎn)——他們未能提前對(duì)自然災(zāi)害的潛在損失進(jìn)行量化計(jì)算。準(zhǔn)備不足的保險(xiǎn)公司在災(zāi)難發(fā)生后幾個(gè)月的時(shí)間里,陸續(xù)遭受到了嚴(yán)重的損失,其中甚至有幾家最后倒閉了。 如今,保險(xiǎn)公司希望對(duì)一個(gè)全新領(lǐng)域的潛在巨災(zāi)做好全方位的、特別是經(jīng)濟(jì)方面的準(zhǔn)備,這個(gè)潛在的風(fēng)險(xiǎn)就是網(wǎng)絡(luò)災(zāi)難。對(duì)于這種人為創(chuàng)造的災(zāi)難,1992年颶風(fēng)災(zāi)難的部分經(jīng)驗(yàn)和教訓(xùn)依然有用,但從本質(zhì)上來看,網(wǎng)絡(luò)災(zāi)難和自然災(zāi)難是兩個(gè)完全不同的問題。 包括AIG和丘博在內(nèi)的大型保險(xiǎn)公司自上個(gè)世紀(jì)90年代后期就已經(jīng)開始提供網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)了。到如今,已經(jīng)有80余家保險(xiǎn)公司提供此類服務(wù),網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品的重點(diǎn)大都集中在數(shù)據(jù)安全領(lǐng)域。隨著近些年重大網(wǎng)絡(luò)安全事故的頻繁發(fā)生,大型企業(yè)的領(lǐng)導(dǎo)開始意識(shí)到,黑客已經(jīng)對(duì)企業(yè)的網(wǎng)絡(luò)安全形成了不可忽視的威脅,網(wǎng)絡(luò)安全險(xiǎn)的熱度也因此上升。據(jù)普道永華的估算,全球企業(yè)的網(wǎng)絡(luò)保險(xiǎn)保費(fèi)支出在2015年達(dá)到了27.5億美元,這一數(shù)字在2020年將達(dá)到75億美元。 但是保險(xiǎn)公司依然還在探尋網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的本質(zhì),依然在優(yōu)化保單條款,希望為潛在的網(wǎng)絡(luò)災(zāi)難做好萬全準(zhǔn)備,從而不會(huì)在網(wǎng)絡(luò)災(zāi)難爆發(fā)之時(shí)暴露自己的弱點(diǎn)。 創(chuàng)業(yè)公司Cyence是一家創(chuàng)立于三年前,致力于幫助保險(xiǎn)公司進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)建模的公司,其CEO,Arvind Parthasarathi表示:“人們已經(jīng)開始將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)視為一種商業(yè)風(fēng)險(xiǎn),而非單純的技術(shù)問題了。這意味著大家已經(jīng)認(rèn)識(shí)到,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并不是一個(gè)有著明確解決方案的難題,而是一個(gè)需要通過管理來防范的風(fēng)險(xiǎn)。現(xiàn)在企業(yè)領(lǐng)導(dǎo)人們的問題是‘對(duì)這個(gè)風(fēng)險(xiǎn)應(yīng)該防范到何種程度?’” 保險(xiǎn)公司在為網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)產(chǎn)品定價(jià)時(shí),也在問著相同的問題?,F(xiàn)代的網(wǎng)絡(luò)風(fēng)險(xiǎn)非常復(fù)雜,而且進(jìn)化速度極快。對(duì)于保險(xiǎn)公司來說,最迫切的任務(wù)是量化網(wǎng)絡(luò)災(zāi)難波及到所有投保人時(shí)的損失,估算最壞情況下的最大損失。這也是1992年安德魯颶風(fēng)災(zāi)難發(fā)生前,大多數(shù)財(cái)險(xiǎn)公司沒能做到的。 但是在網(wǎng)絡(luò)風(fēng)險(xiǎn)領(lǐng)域中量化安德魯颶風(fēng)這種級(jí)別的大型災(zāi)難是很難的,因?yàn)檫@類網(wǎng)絡(luò)大災(zāi)難還沒有發(fā)生過?;蛟S我們可以從去年的一場(chǎng)網(wǎng)絡(luò)災(zāi)難中一窺網(wǎng)絡(luò)巨災(zāi)的威力。去年十月,黑客感染了網(wǎng)絡(luò)攝像頭、數(shù)字錄像機(jī)以及其他物聯(lián)網(wǎng)設(shè)備,對(duì)美國(guó)的域名服務(wù)器管理服務(wù)供應(yīng)商Dyn發(fā)起了DDoS(分布式拒絕服務(wù))攻擊,導(dǎo)致了Amazon、Netflix以及Spotify等網(wǎng)站宕機(jī),幾百萬美國(guó)網(wǎng)民在長(zhǎng)達(dá)幾個(gè)小時(shí)的時(shí)間內(nèi)無法訪問平時(shí)的常用網(wǎng)站。 Dyn遭受到的這次攻擊造成了多大的損失,我們還不清楚。但是根據(jù)Cyence的估算,今年2月28日,持續(xù)了4個(gè)小時(shí)的Amazon S3(亞馬遜云端資料儲(chǔ)存服務(wù))中斷事件,導(dǎo)致美股上市公司遭受到了至少1.5億美元的損失,而這次事件還不是網(wǎng)絡(luò)攻擊,僅僅是一次意外事故。由此看來,大規(guī)模網(wǎng)絡(luò)攻擊恐怕會(huì)造成數(shù)十億美元的損失。 針對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊也不容忽視,比如去年十二月,一次黑客攻擊造成了烏克蘭首都基輔的大部分電網(wǎng)癱瘓,有人認(rèn)為該事件幕后主謀是俄羅斯政府,是他們雇傭了黑客發(fā)起的這次攻擊。倫敦勞合社最近模擬了一個(gè)假設(shè)情景,并對(duì)其進(jìn)行分析。在該情景下,整個(gè)美國(guó)東北部地區(qū)的供電設(shè)施因網(wǎng)絡(luò)攻擊而癱瘓,導(dǎo)致9300萬人無電可用。勞合社表示,這種類型的災(zāi)難給保險(xiǎn)公司帶來的損失將在210億至710億美元之間波動(dòng),如此大范圍的波動(dòng)也表明,為網(wǎng)絡(luò)風(fēng)險(xiǎn)精確定價(jià)非常困難。 從上個(gè)世紀(jì)90年代開始,保險(xiǎn)公司花了15年的時(shí)間來收集數(shù)據(jù),才建立了自然災(zāi)害風(fēng)險(xiǎn)模型。面對(duì)網(wǎng)絡(luò)災(zāi)害,保險(xiǎn)公司要做的事情與當(dāng)時(shí)非常相似,雖然數(shù)據(jù)的收集速度更快了,但是現(xiàn)在的數(shù)據(jù)太雜太亂,這樣讓保險(xiǎn)公司很難高效地整合信息以及判斷行業(yè)趨勢(shì)。 自然災(zāi)害和網(wǎng)絡(luò)災(zāi)害有很多的不同,其中最主要的一點(diǎn)就是,網(wǎng)絡(luò)災(zāi)害是人為的,而非自然現(xiàn)象。黑客會(huì)不斷改變其戰(zhàn)術(shù)、技術(shù)以及攻擊目標(biāo)來擊潰網(wǎng)絡(luò)防線。Cyence公司認(rèn)為,網(wǎng)絡(luò)安全保險(xiǎn)的難點(diǎn)在于理解對(duì)手的思維。該公司利用博弈論和行為經(jīng)濟(jì)學(xué)中的理論來對(duì)黑客攻擊者的行為進(jìn)行了建模分析。 對(duì)于保險(xiǎn)公司來說,掌握數(shù)據(jù)的地理分布也是評(píng)估網(wǎng)絡(luò)攻擊的關(guān)鍵環(huán)節(jié)。BitSight是一家數(shù)字資產(chǎn)地圖公司,他們?yōu)榛ヂ?lián)網(wǎng)虛擬資產(chǎn)的分布繪制地圖,并會(huì)對(duì)擁有這些資產(chǎn)的組織進(jìn)行安全評(píng)級(jí)。其首席技術(shù)官Stephen Boyer表示:“保險(xiǎn)公司需要提前知道,那些有價(jià)值的數(shù)據(jù)存儲(chǔ)在哪里,以及數(shù)據(jù)的主人是否配備了周全的保護(hù)措施?!?/p> 最后,保險(xiǎn)公司還需要從1992年安德魯颶風(fēng)事件中吸取的一個(gè)教訓(xùn)是,不要為佛羅里達(dá)州海岸線上的所有人提供同一份保險(xiǎn)。在網(wǎng)絡(luò)安全險(xiǎn)的情景下,就是調(diào)查清楚所有投保人面臨的潛在風(fēng)險(xiǎn)是否一致,比如不要為所有使用亞馬遜AWS(亞馬遜公司旗下云計(jì)算服務(wù)平臺(tái))的公司都提供相同的保險(xiǎn)服務(wù),否則一旦亞馬遜AWS遭到攻擊,所有的客戶都會(huì)進(jìn)行理賠。 大咖會(huì)討論 網(wǎng)絡(luò)安全險(xiǎn)市場(chǎng)巨大,但中國(guó)的網(wǎng)絡(luò)安全險(xiǎn)仍處在起步階段,占全球市場(chǎng)不到1%,大家覺得這是由什么原因造成的?發(fā)展網(wǎng)絡(luò)安全險(xiǎn)的挑戰(zhàn)有哪些? 點(diǎn)擊文末閱讀原文,進(jìn)入“大咖會(huì)”和大咖們一起探討吧~ End 推薦閱讀 點(diǎn)擊圖片即可閱讀 點(diǎn)擊“閱讀原文”,進(jìn)入保觀大咖會(huì)探討~ |
|