近年来,随着全球数字经济的蓬勃发展,网络攻击、勒索软件、数据泄露等安全风险持续加剧,一次网络攻击可能导致企业重要业务停摆,用户数据泄露也可能会让企业的信誉扫地,甚至还会因发生网络安全事故而面临国家监管部门的高额罚单。因此,随着数字化发展,网络安全风险正在成为企业面临的最重要的业务风险之一。
面对不断升级的网络安全威胁,企业对于网络安全建设方面的投入也越来越大。一些体量大的企业,会拿出更多的预算来加固防火墙、采购安全产品、服务提升安全性能,但是对于一些中小规模的成长型企业而言,怎么才能在预算有限的情况下将安全风险可能带来的损失降至最低?“网络安全保险”,正是网络安全行业回答这一问题的新思路和新的解决方案。
安全419近日拜访了行业内最早开始探索网络安全保险创新业务领域的安全厂商嘉韦思,请他们聊了聊对我国网络安全保险市场发展的认识和思考。
嘉韦思CEO舒首衡
什么是“网络安全保险”?企业如何通过保险受益呢?
“凡是跟‘安全’两个字相挂钩的事物,无论是健康还是资产,其实都已经有了健全的保险体系,但是迄今为止,网络安全保险却仍然是一个新鲜的领域,网络安全保险应该怎么做,应该朝向哪个方向发展,大家还是在摸着石头过河。”嘉韦思CEO舒首衡在面对安全419(anquan419.com)采访时表示。
舒首衡介绍,“网络安全保险”就是为企业转移可能由于发生网络安全事件带来的资产的损失。保险保障的实体首先是企业的信息资产,投保人往往会为一个网站,或者是一个单位来作为保险的标的物,这时需要对标的物的信息资产进行详细的梳理和分类,确认好投保标的所属行业、信息系统的规模、数据量,最后再评估出响应的保费和理赔标准。
理赔通常包括信息系统的恢复成本、安全事件造成业务中断导致的直接经济损失、勒索软件造成的直接经济损失、法律风险相关的经济损失以及三者责任带来的经济损失等几个组成部分,一旦发生安全事件,可以根据详细的定损标准来明确界定是否属于理赔范围,然后由专业的保险公司进行跟进后续的理赔。
“在保险行业里面有一个角色叫TPA第三方服务机构,嘉韦思正在为各大保险机构担任这样的网络安全行业TPA顾问专家的角色。”舒首衡谈到,常见的保险业务里面覆盖了很多险种,比如人身意外险、失业险、车险等等很多成熟的险种,但是保险机构自身在进入一个领域前可能对这个领域缺乏足够的认识和判断,因此就需要启用TPA的角色来借助专业的知识机构的力量打入这一领域,目前嘉韦思已经与包括中国平安在内的多家头部保险机构达成了深度合作。
如何保障投保的企业“尽量不出事儿”?
“保险行业有一个叫做‘防灾防损’的专有词汇,意思是在投保期间降低投保标的出现风险的概率,毕竟保险还是希望尽可能不出问题。”
舒首衡表示,“从一个安全从业者的角度来看,网络安全保险实质上并非是一次技术创新,而是将安全服务、安全产品的一次集成和打包。因此,网络安全保险实际上可以拆解为几个部分:检测评估、防护、应急响应、再次检测评估,以及进行相应的理赔。所以我们也会在这个过程中开展大量网络安全的工作。”
具体来说,对于有保险需求的客户,嘉韦思安全团队首先会为投保机构开展一次初始的安全评估检测,以判断投保机构的安全状态,并为保险机构提供是否可以提供保险服务的参考性建议。
在投保人正式投保后,为了避免在投保期间发生安全事件,降低安全风险发生的概率,嘉韦思会通过旗下的SaaS化安全服务平台为投保机构提供云安全服务和安全改造,“相当于企业购买了一张保单之后,还会附赠一些云化的安全服务和安全保障,这个是能够让普罗大众受惠的。”
再往后如果企业确实出现了安全事件,嘉韦思的安全团队也会通过信安在线平台第一时间启动应急响应和信息系统的恢复工作,帮助客户止损,以期在安全事件发生后迅速控制风险的扩散,避免造成更大规模的经济损失。
谁更应该是网络安全保险的受益者?
在舒首衡看来,网络安全行业中的那些顶级的政企级别用户实际上并非是网络安全保险想要保护的主要群体。对于行业中重点关注的顶级的金融行业、互联网头部企业而言,首先他们自身的网络安全防护体系已经逐渐趋于完善,甲方的安全攻防能力也不可小觑。即使这部分头部的行业企业对网络安全保险有需求,更多的也会体现在最终的货币赔偿和经济损失风险转移上。
“这些大型的头部企业就像是社会中的上层精英人士,在医疗方面他们已经采用了最顶级的资源和设备,保险可能已经早已不是他们的核心诉求了。但对于更多的普罗大众来说,他们需要考虑更有性价比的方案,以一种类似互帮互助的形式来解决安全需求和生存需求。”
因此实际上,对于一些成长型小规模企业,以及一些大型企业处于三四线城市的子公司来说,他们的网络安全建设是滞后的、缺失的,嘉韦思更想通过服务+保险的组合模式为他们应对实际当前可能遇到的初级和中级的网络安全需求。
国内网络安全保险市场方兴未艾
据信通院2020年发布的《网络安全保险研究分析》报告数据显示,全球网络安全保险市场从2010年开始进入快速发展期,从2015年起,年复合增长率高达36.6%,美国网络安全保险市场集中度很高,2018年美国共有528家保险公司提供网络安全保险产品。
反观我国,国内网络安全保险市场总体规模仍然偏低,还处于发展初期,提供网络安全保险的机构和保险产品都仍然较少,网络安全保险市场的增长潜力巨大。
采访最后,舒首衡也分享了自己的看法,他认为实际上在国内已经看到了很多的投保需求,但是这部分需求却很难找到合适的投保渠道和保险产品相匹配。嘉韦思也正在通过与保险机构深度合作的形式,逐渐将网络安全保险做成一个标准的组件,让安全服务、保险理赔,以及相对应的整个保险运营流程标准化,在投保险种和投保模式等方面做更多的尝试和探索。
“通常网络安全行业中带给客户的价值很难呈现出来,客户投入的钱看不到效果,不发生安全事件的话也感受不到投入的价值所在。因此嘉韦思将自己定位为一家互联网+网络安全的公司,通过互联网这个媒介来实现与企业的连接,以SaaS化的形式为企业提供订阅式,更具性价比的普适性安全建设方案。希望能够通过自己的一些作为,让中小型企业的信息安全建设也不再遥远。”舒首衡讲到。
#网络安全#
