2021年3月，谷歌云、安聯(lián)全球與慕尼黑再保集團共同發(fā)起了一個“風險保護計劃”的項目。該項目包括一個稱為“風險管理器”的診斷工具，使谷歌云的客戶能夠管理和衡量平臺上的風險并得到報告，以及安聯(lián)全球和慕尼黑再保提供的網(wǎng)絡保險產(chǎn)品，專門為谷歌云客戶設計。客戶將風險管理器運行的結果送給安聯(lián)全球和慕尼黑再保，以獲取網(wǎng)絡保險的報價。這意味著如果與谷歌云整合，網(wǎng)絡保險采購將更加容易。

市場研究機構Markets and Markets發(fā)布的統(tǒng)計報告顯示，網(wǎng)絡保險費用將從2020年的78億美元，增長到2025年的204億美元，年復合增長率達到21%。

各種類型的網(wǎng)絡攻擊正在成為所有機構組織的大麻煩，并且，由于不存在一勞永逸的防護方案和百分之百的安全措施，許多企業(yè)開始尋求網(wǎng)絡保險的幫助，以降低網(wǎng)絡攻擊帶來的重大損失。但網(wǎng)絡保險到底覆蓋哪些范圍?哪些情況又不在保險范圍內(nèi)?又有哪些適合自己的保險決策?

▶ 什么是網(wǎng)絡保險?

網(wǎng)絡保險(CYBER INSURANCE)，也稱之為網(wǎng)絡責任保險，是一種幫助組織減輕因網(wǎng)絡攻擊或黑客入侵而帶來重大損失或后果的保險策略。Gartner的全球金融服務研究與咨詢部的負責人尤爾根·韋斯認為網(wǎng)絡保險正規(guī)的定義是，“本質(zhì)上是保險公司與投保人之間的一份合約，目的是防范計算機或網(wǎng)絡事件引起的損失。”

然而，網(wǎng)絡保險并非無所不包。作為投保方的企業(yè)也需要清楚網(wǎng)絡保險的覆蓋范圍，也許更重要的，要清楚哪些不是網(wǎng)絡保險的范圍。而且，雖然保險的確能夠有助于減少損失，加強自身的網(wǎng)絡安全措施也是企業(yè)的責任，這種責任不可能轉(zhuǎn)嫁到承保方。

網(wǎng)絡保險無法解決所有的網(wǎng)絡安全問題，也不可能防止網(wǎng)絡入侵或網(wǎng)絡攻擊。

▶ 誰需要網(wǎng)絡保險?

任何有線上業(yè)務或是擁有網(wǎng)絡與信息系統(tǒng)的機構，都可能會從網(wǎng)絡保險中受益，考慮到現(xiàn)在幾乎所有的組織都會使用網(wǎng)絡或計算機，因此這個問題的答案可以說是任何機構。有兩個典型的場景：一是數(shù)據(jù)泄露。如客戶或員工的個人信息、知識產(chǎn)權，以及敏感的財務數(shù)據(jù)等，都是網(wǎng)絡犯罪分子覬覦的盜竊目標。另一個典型的案例就是勒索軟件，小到鎖死你的計算機，大到癱瘓機構的業(yè)務系統(tǒng)。

這兩種情況都會導致機構承受巨大的經(jīng)濟損失，而這時，網(wǎng)絡保險就能有效的減少這些損失。

▶ 什么樣的攻擊才可以申請保險理賠?

理論上許多網(wǎng)絡攻擊或網(wǎng)絡事故都可以觸發(fā)保險理賠，但實際上目前最普遍的三種情況是，勒索軟件、電子匯款欺詐和商業(yè)郵件攻擊(BEC)。

▶ 網(wǎng)絡保險的成本幾何?

網(wǎng)絡保險的成本由幾種因素構成，包括業(yè)務規(guī)模和年營收等。其他的還會有行業(yè)屬性、業(yè)務數(shù)據(jù)類型，甚至是整個網(wǎng)絡系統(tǒng)的安全。此外，如果某機構的網(wǎng)絡安全保障工作做的較差，或是曾經(jīng)發(fā)生過黑客入侵、數(shù)據(jù)泄露等事件，就會比安全聲譽好的公司付出更多的保險成本。(注：行業(yè)屬性是指類似于金融、醫(yī)療這種業(yè)務敏感性較強的行業(yè)，保險費一定會高)

▶ 網(wǎng)絡保險都覆蓋哪些內(nèi)容?

不同的保險公司提供的保險范圍也不盡相同，但一般來說都會承保網(wǎng)絡攻擊造成的直接成本。

以數(shù)據(jù)恢復和系統(tǒng)取證為例，這兩種工作都是勒索軟件攻擊后的標準程序，也是大多數(shù)機構目前面臨的最大的威脅之一。為此有些保險業(yè)務會承保贖金，盡管執(zhí)法部門和安全從業(yè)者并不推薦這種做法，因為是在變相鼓勵網(wǎng)絡罪犯。

商業(yè)郵件攻擊(BEC)是另一種能導致巨大商業(yè)損失的網(wǎng)絡攻擊手段，攻擊者通過假扮企業(yè)高管，供應商，或是其他可信的聯(lián)系人，誘騙財務人員轉(zhuǎn)款。

英國國家網(wǎng)絡安全中心在2020年發(fā)布的網(wǎng)絡保險指南中指出，保險政策的確會承擔BEC造成的損失，但這都是直接以BEC的名目單獨的承保業(yè)務，并非標準的網(wǎng)絡安全保險政策，如果機構只投保了網(wǎng)絡保險，很可能得不到賠償。因此企業(yè)在選擇網(wǎng)絡安全保險的時候，一定要清楚保險的范圍。同時，如果已經(jīng)有了其他涵蓋了網(wǎng)絡保險的保險項目，如業(yè)務中斷或是財產(chǎn)保險，也要檢查一下具體的保險條款，以免重復或遺漏。

▶ 網(wǎng)絡保險不承保哪些損失?

有一些對于機構很重要的資產(chǎn)，網(wǎng)絡保險并未覆蓋。因此需要弄清哪些資產(chǎn)未被覆蓋，才能對之采取正確的保護措施。

如果是知識產(chǎn)權被竊造成的財務損失，以及網(wǎng)絡攻擊導致的名譽損失，網(wǎng)絡保險并不涵蓋。例如，當發(fā)生網(wǎng)絡攻擊后保險可以賠償直接損失，但如果由于企業(yè)給公眾留下了安全能力不足的印象，進一步導致客戶流失的業(yè)務損失，網(wǎng)絡保險并不承擔。

▶ 網(wǎng)絡保險能承保重大網(wǎng)絡安全事件嗎?

2017年兩起網(wǎng)絡攻擊給全球帶來了巨大損失，Wannacry與NotPetya勒索軟件。后者導致一些大型企業(yè)在全球的業(yè)務下線，有些企業(yè)不得不從零開始重建網(wǎng)絡，全球損失據(jù)估計可達數(shù)十億美元。

一般而言，人們普遍會認為，這應該屬于典型的理賠范圍。但一些保險機構卻表示不予賠償，因為NotPetya與俄羅斯軍方有關，這種攻擊屬于“戰(zhàn)爭行為”，而戰(zhàn)爭行為不在超出了理賠條款。但也確實也有一些保險公司賠付了遭受NotPetya攻擊企業(yè)的損失。

由于物理世界與網(wǎng)絡世界的融合，兩者的界限越來越模糊，不管是保險業(yè)還是投保人，越來越難以在保險承包界限上達成一致。

▶ 如何申請網(wǎng)絡保險?

網(wǎng)絡保險不可能是解決網(wǎng)絡安全問題的“銀彈”，而整個網(wǎng)絡安全行業(yè)也不存在“銀彈”。實際上，為了更加合理的規(guī)劃網(wǎng)絡保險，機構自身還需要證明自身對網(wǎng)絡安全的負責，因為任何保險機構都不愿意接受很容易遭受黑客入侵的客戶。而且，網(wǎng)絡安全是一個持續(xù)性的工作，機構不僅要在簽署保險協(xié)議之前做好網(wǎng)絡安全保障，還要不斷的保持適當?shù)陌踩胧愿喜粩嘧兓耐{環(huán)境，否則就有失去承保的風險。千萬不能因為已經(jīng)投入了網(wǎng)絡保險，就放松對自身網(wǎng)絡安全保障的持續(xù)投入。

機構對自身的關鍵系統(tǒng)和關鍵數(shù)據(jù)的理解也非常重要，以及投保的覆蓋范圍是否足夠。這意味著，決定一份網(wǎng)絡保險單不僅僅是IT部門的問題，更是一個涉及高管管理層的問題。

▶ 網(wǎng)絡保險的未來?

隨著網(wǎng)絡攻擊數(shù)量的持續(xù)增長和網(wǎng)絡犯罪活動的日益猖狂，網(wǎng)絡保險的運作方式也隨之變化。如上文中所述，保險機構很難去承保那些不關心網(wǎng)絡安全措施的機構。支付保險索賠對于保險供應商來說，是一個純成本的行為。因此，保險機構已經(jīng)開始在主動幫助機構做好網(wǎng)絡安全體系，而不是僅僅被動的規(guī)范好保險條款。