1992年�����,安德魯颶風(fēng)席卷佛羅里達(dá)州的南海岸,導(dǎo)致了數(shù)十人傷亡的慘劇�����,并給當(dāng)?shù)卣斐闪烁哌_(dá)250億美元的損失�。這次颶風(fēng)災(zāi)難也暴露了財(cái)險(xiǎn)公司的一個(gè)致命弱點(diǎn)——他們未能提前對(duì)自然災(zāi)害的潛在損失進(jìn)行量化計(jì)算。準(zhǔn)備不足的保險(xiǎn)公司在災(zāi)難發(fā)生后幾個(gè)月的時(shí)間里�����,陸續(xù)遭受到了嚴(yán)重的損失�,其中甚至有幾家最后倒閉了。
如今���,保險(xiǎn)公司希望對(duì)一個(gè)全新領(lǐng)域的潛在巨災(zāi)做好全方位的���、特別是經(jīng)濟(jì)方面的準(zhǔn)備,這個(gè)潛在的風(fēng)險(xiǎn)就是網(wǎng)絡(luò)災(zāi)難����。對(duì)于這種人為創(chuàng)造的災(zāi)難,1992年颶風(fēng)災(zāi)難的部分經(jīng)驗(yàn)和教訓(xùn)依然有用�,但從本質(zhì)上來看,網(wǎng)絡(luò)災(zāi)難和自然災(zāi)難是兩個(gè)完全不同的問題。
包括AIG和丘博在內(nèi)的大型保險(xiǎn)公司自上個(gè)世紀(jì)90年代后期就已經(jīng)開始提供網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)了���。到如今���,已經(jīng)有80余家保險(xiǎn)公司提供此類服務(wù),網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品的重點(diǎn)大都集中在數(shù)據(jù)安全領(lǐng)域�����。隨著近些年重大網(wǎng)絡(luò)安全事故的頻繁發(fā)生�,大型企業(yè)的領(lǐng)導(dǎo)開始意識(shí)到,黑客已經(jīng)對(duì)企業(yè)的網(wǎng)絡(luò)安全形成了不可忽視的威脅����,網(wǎng)絡(luò)安全險(xiǎn)的熱度也因此上升。據(jù)普道永華的估算��,全球企業(yè)的網(wǎng)絡(luò)保險(xiǎn)保費(fèi)支出在2015年達(dá)到了27.5億美元���,這一數(shù)字在2020年將達(dá)到75億美元�。
但是保險(xiǎn)公司依然還在探尋網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的本質(zhì)��,依然在優(yōu)化保單條款�����,希望為潛在的網(wǎng)絡(luò)災(zāi)難做好萬全準(zhǔn)備����,從而不會(huì)在網(wǎng)絡(luò)災(zāi)難爆發(fā)之時(shí)暴露自己的弱點(diǎn)。
創(chuàng)業(yè)公司Cyence是一家創(chuàng)立于三年前����,致力于幫助保險(xiǎn)公司進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)建模的公司,其CEO����,Arvind Parthasarathi表示:“人們已經(jīng)開始將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)視為一種商業(yè)風(fēng)險(xiǎn),而非單純的技術(shù)問題了��。這意味著大家已經(jīng)認(rèn)識(shí)到��,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并不是一個(gè)有著明確解決方案的難題����,而是一個(gè)需要通過管理來防范的風(fēng)險(xiǎn)。現(xiàn)在企業(yè)領(lǐng)導(dǎo)人們的問題是‘對(duì)這個(gè)風(fēng)險(xiǎn)應(yīng)該防范到何種程度�����?’”
保險(xiǎn)公司在為網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)產(chǎn)品定價(jià)時(shí),也在問著相同的問題?�,F(xiàn)代的網(wǎng)絡(luò)風(fēng)險(xiǎn)非常復(fù)雜�����,而且進(jìn)化速度極快����。對(duì)于保險(xiǎn)公司來說,最迫切的任務(wù)是量化網(wǎng)絡(luò)災(zāi)難波及到所有投保人時(shí)的損失�,估算最壞情況下的最大損失。這也是1992年安德魯颶風(fēng)災(zāi)難發(fā)生前����,大多數(shù)財(cái)險(xiǎn)公司沒能做到的。
但是在網(wǎng)絡(luò)風(fēng)險(xiǎn)領(lǐng)域中量化安德魯颶風(fēng)這種級(jí)別的大型災(zāi)難是很難的���,因?yàn)檫@類網(wǎng)絡(luò)大災(zāi)難還沒有發(fā)生過�?;蛟S我們可以從去年的一場(chǎng)網(wǎng)絡(luò)災(zāi)難中一窺網(wǎng)絡(luò)巨災(zāi)的威力。去年十月����,黑客感染了網(wǎng)絡(luò)攝像頭����、數(shù)字錄像機(jī)以及其他物聯(lián)網(wǎng)設(shè)備��,對(duì)美國(guó)的域名服務(wù)器管理服務(wù)供應(yīng)商Dyn發(fā)起了DDoS(分布式拒絕服務(wù))攻擊����,導(dǎo)致了Amazon�、Netflix以及Spotify等網(wǎng)站宕機(jī),幾百萬美國(guó)網(wǎng)民在長(zhǎng)達(dá)幾個(gè)小時(shí)的時(shí)間內(nèi)無法訪問平時(shí)的常用網(wǎng)站����。
Dyn遭受到的這次攻擊造成了多大的損失,我們還不清楚��。但是根據(jù)Cyence的估算�,今年2月28日,持續(xù)了4個(gè)小時(shí)的Amazon S3(亞馬遜云端資料儲(chǔ)存服務(wù))中斷事件��,導(dǎo)致美股上市公司遭受到了至少1.5億美元的損失���,而這次事件還不是網(wǎng)絡(luò)攻擊�,僅僅是一次意外事故�����。由此看來,大規(guī)模網(wǎng)絡(luò)攻擊恐怕會(huì)造成數(shù)十億美元的損失�����。
針對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊也不容忽視���,比如去年十二月�����,一次黑客攻擊造成了烏克蘭首都基輔的大部分電網(wǎng)癱瘓�,有人認(rèn)為該事件幕后主謀是俄羅斯政府���,是他們雇傭了黑客發(fā)起的這次攻擊�。倫敦勞合社最近模擬了一個(gè)假設(shè)情景�,并對(duì)其進(jìn)行分析。在該情景下��,整個(gè)美國(guó)東北部地區(qū)的供電設(shè)施因網(wǎng)絡(luò)攻擊而癱瘓����,導(dǎo)致9300萬人無電可用�。勞合社表示�,這種類型的災(zāi)難給保險(xiǎn)公司帶來的損失將在210億至710億美元之間波動(dòng),如此大范圍的波動(dòng)也表明��,為網(wǎng)絡(luò)風(fēng)險(xiǎn)精確定價(jià)非常困難�。
從上個(gè)世紀(jì)90年代開始,保險(xiǎn)公司花了15年的時(shí)間來收集數(shù)據(jù)�,才建立了自然災(zāi)害風(fēng)險(xiǎn)模型。面對(duì)網(wǎng)絡(luò)災(zāi)害���,保險(xiǎn)公司要做的事情與當(dāng)時(shí)非常相似,雖然數(shù)據(jù)的收集速度更快了����,但是現(xiàn)在的數(shù)據(jù)太雜太亂,這樣讓保險(xiǎn)公司很難高效地整合信息以及判斷行業(yè)趨勢(shì)�。
自然災(zāi)害和網(wǎng)絡(luò)災(zāi)害有很多的不同,其中最主要的一點(diǎn)就是�����,網(wǎng)絡(luò)災(zāi)害是人為的����,而非自然現(xiàn)象����。黑客會(huì)不斷改變其戰(zhàn)術(shù)����、技術(shù)以及攻擊目標(biāo)來擊潰網(wǎng)絡(luò)防線。Cyence公司認(rèn)為���,網(wǎng)絡(luò)安全保險(xiǎn)的難點(diǎn)在于理解對(duì)手的思維��。該公司利用博弈論和行為經(jīng)濟(jì)學(xué)中的理論來對(duì)黑客攻擊者的行為進(jìn)行了建模分析���。
對(duì)于保險(xiǎn)公司來說,掌握數(shù)據(jù)的地理分布也是評(píng)估網(wǎng)絡(luò)攻擊的關(guān)鍵環(huán)節(jié)����。BitSight是一家數(shù)字資產(chǎn)地圖公司,他們?yōu)榛ヂ?lián)網(wǎng)虛擬資產(chǎn)的分布繪制地圖���,并會(huì)對(duì)擁有這些資產(chǎn)的組織進(jìn)行安全評(píng)級(jí)���。其首席技術(shù)官Stephen Boyer表示:“保險(xiǎn)公司需要提前知道,那些有價(jià)值的數(shù)據(jù)存儲(chǔ)在哪里,以及數(shù)據(jù)的主人是否配備了周全的保護(hù)措施�����?����!?/p>
最后��,保險(xiǎn)公司還需要從1992年安德魯颶風(fēng)事件中吸取的一個(gè)教訓(xùn)是���,不要為佛羅里達(dá)州海岸線上的所有人提供同一份保險(xiǎn)�����。在網(wǎng)絡(luò)安全險(xiǎn)的情景下,就是調(diào)查清楚所有投保人面臨的潛在風(fēng)險(xiǎn)是否一致����,比如不要為所有使用亞馬遜AWS(亞馬遜公司旗下云計(jì)算服務(wù)平臺(tái))的公司都提供相同的保險(xiǎn)服務(wù),否則一旦亞馬遜AWS遭到攻擊�,所有的客戶都會(huì)進(jìn)行理賠。
