前段時(shí)間一直占據(jù)網(wǎng)絡(luò)安全頭條的SolarWinds供應(yīng)鏈攻擊事件，波及范圍極廣，影響了大量科技企業(yè)，黑客還獲取了微軟Azure等產(chǎn)品的部分源代碼。有報(bào)道稱(chēng)，甚至連美國(guó)宇航局(NASA)和聯(lián)邦航空管理局(FAA)的網(wǎng)絡(luò)也被入侵。2月4日，美國(guó)紐約州率先給保險(xiǎn)劃了一個(gè)框架，發(fā)布了美國(guó)第一個(gè)網(wǎng)絡(luò)安全保險(xiǎn)風(fēng)險(xiǎn)框架。

這類(lèi)大規(guī)模攻擊造成的損失難以估算，企業(yè)們復(fù)盤(pán)時(shí)看著一長(zhǎng)串的損失數(shù)字，默默在網(wǎng)絡(luò)安全保險(xiǎn)預(yù)算后加了個(gè)0。

遭遇大范圍黑客攻擊，企業(yè)是否只能自認(rèn)倒霉?除了技術(shù)補(bǔ)救，還有什么方法可以將經(jīng)濟(jì)損失降到最低?

保險(xiǎn)也許是解決方法之一，給企業(yè)安全和數(shù)據(jù)財(cái)產(chǎn)上一重保險(xiǎn)。

[[384579]]

惡意勒索、釣魚(yú)攻擊成2020年企業(yè)主要安全事件

將視線(xiàn)轉(zhuǎn)回國(guó)內(nèi)，2020年我國(guó)也發(fā)生了不少網(wǎng)絡(luò)安全事件。釣魚(yú)郵件攻擊、惡意勒索軟件、供應(yīng)鏈攻擊等層出不窮。

據(jù)安全服務(wù)商瑞星發(fā)布的《2020年中國(guó)網(wǎng)絡(luò)安全報(bào)告》顯示，其系統(tǒng)在2020年共截獲勒索軟件樣本156萬(wàn)個(gè)，感染次數(shù)為86萬(wàn)次;挖礦病毒樣本總體數(shù)量為922萬(wàn)個(gè)，感染次數(shù)為578萬(wàn)次。

同時(shí)，2020年截獲的病毒數(shù)量也比2019年同期上升43.71%，達(dá)到1.48億個(gè)，病毒感染次數(shù)高達(dá)3.52億次。

2020年病毒類(lèi)型統(tǒng)計(jì)，來(lái)源：瑞星2020年中國(guó)網(wǎng)絡(luò)安全報(bào)告

除此之外，企業(yè)安全事件也頻頻發(fā)生。新型冠狀病毒疫情期間，多個(gè)APT組織利用疫情相關(guān)信息作為誘餌進(jìn)行網(wǎng)絡(luò)攻擊，中國(guó)是頻繁攻擊目標(biāo)之一。這些APT組織主要利用疫情相關(guān)話(huà)題的釣魚(yú)郵件，通過(guò)宏、0day或Nday等漏洞進(jìn)行攻擊。尼日利亞網(wǎng)絡(luò)釣魚(yú)組織也通過(guò)郵件釣魚(yú)等方式對(duì)我國(guó)進(jìn)出口貿(mào)易、貨運(yùn)代理、船運(yùn)物流等企業(yè)實(shí)施攻擊。

2020年上半年，7000多名武漢返鄉(xiāng)人員信息泄露，將公民個(gè)人信息安全問(wèn)題再次暴露在大眾視線(xiàn)中。中國(guó)電信超2億條信息以每條0.01元至0.02元的價(jià)格被賣(mài)出、非法牟利2000余萬(wàn)元。

網(wǎng)絡(luò)安全公司Deep Instinct最新研究報(bào)告顯示，2020年，全球惡意軟件總體增加了358%，勒索軟件增加了435%。

“特別是新型冠狀病毒疫情期間，許多公司加速了數(shù)字化轉(zhuǎn)型，在線(xiàn)業(yè)務(wù)體量變大，居家遠(yuǎn)程辦公更易暴露安全問(wèn)題，安全團(tuán)隊(duì)難以及時(shí)響應(yīng)各種攻擊。”Deep Instinct首席執(zhí)行官Guy Caspi做出上述分析，他表示，除了攻擊量龐大，攻擊變得更加復(fù)雜也使檢測(cè)困難。

網(wǎng)絡(luò)攻擊體量之大令許多企業(yè)深受其害，除了從自身技術(shù)和安全團(tuán)隊(duì)方面下功夫，一定程度上也催生了網(wǎng)絡(luò)安全保險(xiǎn)需求，行業(yè)規(guī)模日益擴(kuò)大。

我國(guó)的網(wǎng)安險(xiǎn)：起步晚、險(xiǎn)種少、歷史數(shù)據(jù)不足

自上世紀(jì)90年代中期首批互聯(lián)網(wǎng)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品面世以來(lái)，行業(yè)發(fā)展緩慢，直到2010年后行業(yè)規(guī)模才開(kāi)始有大幅度提升。

2012年，全球網(wǎng)絡(luò)安全保險(xiǎn)規(guī)模達(dá)到5億美元，其中美國(guó)占據(jù)絕大比例的市場(chǎng)份額。相關(guān)市場(chǎng)調(diào)查統(tǒng)計(jì)，美國(guó)企業(yè)投保網(wǎng)絡(luò)安全保險(xiǎn)比例高達(dá)70%。

歐洲網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)也在2018年5月歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR)實(shí)施以后迅速壯大。法案對(duì)數(shù)據(jù)保護(hù)要求嚴(yán)格、涉及企業(yè)多、罰款金額高，例如英國(guó)航空公司因泄露50萬(wàn)客戶(hù)的個(gè)人及信用卡信息被罰款2億歐元。于是，很多企業(yè)開(kāi)始借助保險(xiǎn)工具來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)。

亞洲等其他新興市場(chǎng)的網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)由于起步晚、法規(guī)不完善等原因，該行業(yè)依然處于緩步發(fā)展階段。

起步晚、險(xiǎn)種少、歷史數(shù)據(jù)不足、主要面向企業(yè)端，是我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)的現(xiàn)狀。

2013年，蘇黎世保險(xiǎn)在中國(guó)首次推出網(wǎng)絡(luò)安全保險(xiǎn)，但反響平平。這種情況直到2016年11月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》通過(guò)才有所改善，企業(yè)的安全保險(xiǎn)意識(shí)開(kāi)始提升，保險(xiǎn)公司也開(kāi)始推出相關(guān)險(xiǎn)種。

某再保險(xiǎn)公司調(diào)研顯示，目前中國(guó)市場(chǎng)上購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)的企業(yè)以國(guó)際性企業(yè)和世界500強(qiáng)企業(yè)為主。它們通常持有全球性的網(wǎng)絡(luò)安全保單，某些獨(dú)立保單的保障限額在人民幣3億元至10億元之間，有些甚至達(dá)到10億元以上。

中國(guó)本土企業(yè)中，電子商務(wù)行業(yè)由于業(yè)務(wù)對(duì)線(xiàn)上依賴(lài)程度高，所以對(duì)網(wǎng)絡(luò)安全保險(xiǎn)的需求也更高。

有機(jī)構(gòu)觀察到，在中國(guó)，中小型企業(yè)對(duì)網(wǎng)絡(luò)安全保險(xiǎn)的投保積極性更高。據(jù)統(tǒng)計(jì)，2019年中小企業(yè)遭遇的網(wǎng)絡(luò)安全事件中，26%為勒索軟件、26%為虛擬挖礦、17%為蠕蟲(chóng)病毒、14%為入侵事件。由于自身人力和應(yīng)急響應(yīng)機(jī)制不健全等原因，中小企業(yè)更傾向于借助保險(xiǎn)工具轉(zhuǎn)移部分網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

中小企業(yè)網(wǎng)絡(luò)安全事件類(lèi)型分布，來(lái)源：綠盟科技

網(wǎng)安險(xiǎn)該如何突破現(xiàn)狀

2019年，工信部曾發(fā)布《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》，提出要探索開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)。原中國(guó)保監(jiān)會(huì)副主席周延禮也曾表示，解決中國(guó)的網(wǎng)絡(luò)安全問(wèn)題，需借鑒成熟市場(chǎng)的有效做法，大力推動(dòng)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)發(fā)展。

雖然中國(guó)網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)正在逐步升溫，但其中還面臨不少困難。對(duì)于保險(xiǎn)公司而言，難點(diǎn)在無(wú)法準(zhǔn)確衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)、系統(tǒng)性風(fēng)險(xiǎn)考慮不足、網(wǎng)絡(luò)攻擊事件的權(quán)責(zé)劃分和除外條款。對(duì)于企業(yè)而言，難點(diǎn)在于險(xiǎn)種選擇少、保費(fèi)高、賠付額度有限。

以2017年現(xiàn)象級(jí)的NotPetya網(wǎng)絡(luò)攻擊事件為例，美國(guó)制藥巨頭默克公司稱(chēng)該網(wǎng)絡(luò)攻擊已致公司損失5.8億美元，且隨著時(shí)間的推移損失還將增加2億美元。但保險(xiǎn)專(zhuān)家給出的理賠額度僅為2.75億美元，不到實(shí)際已產(chǎn)生損失的一半。

[[384580]]

NotPetya網(wǎng)絡(luò)攻擊，來(lái)源：網(wǎng)絡(luò)

如果說(shuō)默克公司已算幸運(yùn)，那同樣遭受NotPetya攻擊的食品巨頭億滋國(guó)際提出的賠償要求則被拒絕。蘇黎世美國(guó)保險(xiǎn)公司以“任何政府或主權(quán)力量的敵對(duì)或戰(zhàn)爭(zhēng)行為免于賠付”為由拒絕賠付，因?yàn)樵诿绹?guó)情報(bào)官員將NotPetya惡意軟件的來(lái)源認(rèn)定為俄羅斯軍隊(duì)針對(duì)烏克蘭的攻擊。

相比于國(guó)外有公開(kāi)的賠付案例，國(guó)內(nèi)公開(kāi)的案例則比較少，企業(yè)也會(huì)出于品牌形象考慮避免宣傳此類(lèi)信息。

對(duì)于網(wǎng)絡(luò)安全保險(xiǎn)來(lái)說(shuō)，網(wǎng)絡(luò)風(fēng)險(xiǎn)很難理解，規(guī)避起來(lái)也很麻煩。威脅環(huán)境不斷變化也導(dǎo)致保險(xiǎn)公司需要不斷調(diào)整整體保險(xiǎn)計(jì)劃。網(wǎng)絡(luò)安全保險(xiǎn)不像財(cái)產(chǎn)險(xiǎn)等成熟的保險(xiǎn)業(yè)務(wù)，市場(chǎng)上有豐富的歷史數(shù)據(jù)，在設(shè)計(jì)和購(gòu)買(mǎi)產(chǎn)品時(shí)市場(chǎng)上有可參考的目標(biāo)額度和實(shí)際情況。

例如，與2015年至2017年的安全事件相比，2020年勒索軟件大行其道。想要應(yīng)對(duì)勒索軟件攻擊，保險(xiǎn)公司就必須跟上行業(yè)發(fā)展或者選擇和網(wǎng)絡(luò)安全公司合作，開(kāi)發(fā)出合適的產(chǎn)品。

對(duì)于企業(yè)來(lái)說(shuō)，保費(fèi)較高是面臨的問(wèn)題之一。這也是全球所有企業(yè)面臨的網(wǎng)絡(luò)安全保險(xiǎn)現(xiàn)狀之一，因?yàn)楸ｋU(xiǎn)公司對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)知不深，出于保守定價(jià)考慮，將保費(fèi)定的比較高。

美國(guó)紐約州前不久發(fā)布了美國(guó)第一個(gè)網(wǎng)絡(luò)安全保險(xiǎn)風(fēng)險(xiǎn)框架，給所有財(cái)產(chǎn)和意外保險(xiǎn)公司提供指引。該風(fēng)險(xiǎn)框架主要有七個(gè)方面：

• 建立正式的網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)策略;
• 管理并消除沉默網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)敞口;
• 評(píng)估系統(tǒng)性風(fēng)險(xiǎn);
• 嚴(yán)格衡量保險(xiǎn)風(fēng)險(xiǎn);
• 為被保險(xiǎn)人及保險(xiǎn)提供方提供教育引導(dǎo);
• 獲取網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí);
• 向執(zhí)法部門(mén)發(fā)布通報(bào)。

該風(fēng)險(xiǎn)框架對(duì)我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)同樣具有借鑒意義。一方面，我國(guó)應(yīng)該制定關(guān)于網(wǎng)絡(luò)安全保險(xiǎn)的法律法規(guī)，為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估和等級(jí)界定提供確切標(biāo)準(zhǔn)。另一方面，保險(xiǎn)公司要提高風(fēng)險(xiǎn)衡量能力，可以選擇與安全廠商聯(lián)手設(shè)計(jì)保險(xiǎn)產(chǎn)品，并且提高網(wǎng)絡(luò)安全保險(xiǎn)的精算能力。

作為企業(yè)方，則應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，提升自身技術(shù)能力或調(diào)整單一性業(yè)務(wù)架構(gòu)，提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力。同時(shí)，企業(yè)還應(yīng)該選擇一份合適的網(wǎng)絡(luò)安全保險(xiǎn)，轉(zhuǎn)移部分風(fēng)險(xiǎn)。