遭遇网络攻击损失5.8亿美元理赔却不到一半，企业该如何对待网安险

前段时间一直占据网络安全头条的SolarWinds供应链攻击事件，波及范围极广，影响了大量科技企业，黑客还获取了微软Azure等产品的部分源代码。有报道称，甚至连美国宇航局(NASA)和联邦航空管理局(FAA)的网络也被入侵。2月4日，美国纽约州率先给保险划了一个框架，发布了美国第一个网络安全保险风险框架。

这类大规模攻击造成的损失难以估算，企业们复盘时看着一长串的损失数字，默默在网络安全保险预算后加了个0。

遭遇大范围黑客攻击，企业是否只能自认倒霉?除了技术补救，还有什么方法可以将经济损失降到最低?

保险也许是解决方法之一，给企业安全和数据财产上一重保险。

恶意勒索、钓鱼攻击成2020年企业主要安全事件

将视线转回国内，2020年我国也发生了不少网络安全事件。钓鱼邮件攻击、恶意勒索软件、供应链攻击等层出不穷。

据安全服务商瑞星发布的《2020年中国网络安全报告》显示，其系统在2020年共截获勒索软件样本156万个，感染次数为86万次;挖矿病毒样本总体数量为922万个，感染次数为578万次。

同时，2020年截获的病毒数量也比2019年同期上升43.71%，达到1.48亿个，病毒感染次数高达3.52亿次。

2020年病毒类型统计，来源：瑞星2020年中国网络安全报告

除此之外，企业安全事件也频频发生。新型冠状病毒疫情期间，多个APT组织利用疫情相关信息作为诱饵进行网络攻击，中国是频繁攻击目标之一。这些APT组织主要利用疫情相关话题的钓鱼邮件，通过宏、0day或Nday等漏洞进行攻击。尼日利亚网络钓鱼组织也通过邮件钓鱼等方式对我国进出口贸易、货运代理、船运物流等企业实施攻击。

2020年上半年，7000多名武汉返乡人员信息泄露，将公民个人信息安全问题再次暴露在大众视线中。中国电信超2亿条信息以每条0.01元至0.02元的价格被卖出、非法牟利2000余万元。

网络安全公司Deep Instinct最新研究报告显示，2020年，全球恶意软件总体增加了358%，勒索软件增加了435%。

“特别是新型冠状病毒疫情期间，许多公司加速了数字化转型，在线业务体量变大，居家远程办公更易暴露安全问题，安全团队难以及时响应各种攻击。”DeepInstinct首席执行官GuyCaspi做出上述分析，他表示，除了攻击量庞大，攻击变得更加复杂也使检测困难。

网络攻击体量之大令许多企业深受其害，除了从自身技术和安全团队方面下功夫，一定程度上也催生了网络安全保险需求，行业规模日益扩大。

我国的网安险：起步晚、险种少、历史数据不足

自上世纪90年代中期首批互联网网络安全保险产品面世以来，行业发展缓慢，直到2010年后行业规模才开始有大幅度提升。

2012年，全球网络安全保险规模达到5亿美元，其中美国占据绝大比例的市场份额。相关市场调查统计，美国企业投保网络安全保险比例高达70%。

欧洲网络安全保险市场也在2018年5月欧盟《通用数据保护法案》(GDPR)实施以后迅速壮大。法案对数据保护要求严格、涉及企业多、罚款金额高，例如英国航空公司因泄露50万客户的个人及信用卡信息被罚款2亿欧元。于是，很多企业开始借助保险工具来转移风险。

亚洲等其他新兴市场的网络安全保险行业由于起步晚、法规不完善等原因，该行业依然处于缓步发展阶段。

起步晚、险种少、历史数据不足、主要面向企业端，是我国网络安全保险行业的现状。

2013年，苏黎世保险在中国首次推出网络安全保险，但反响平平。这种情况直到2016年11月《中华人民共和国网络安全法》通过才有所改善，企业的安全保险意识开始提升，保险公司也开始推出相关险种。

某再保险公司调研显示，目前中国市场上购买网络安全保险的企业以国际性企业和世界500强企业为主。它们通常持有全球性的网络安全保单，某些独立保单的保障限额在人民币3亿元至10亿元之间，有些甚至达到10亿元以上。

中国本土企业中，电子商务行业由于业务对线上依赖程度高，所以对网络安全保险的需求也更高。

有机构观察到，在中国，中小型企业对网络安全保险的投保积极性更高。据统计，2019年中小企业遭遇的网络安全事件中，26%为勒索软件、26%为虚拟挖矿、17%为蠕虫病毒、14%为入侵事件。由于自身人力和应急响应机制不健全等原因，中小企业更倾向于借助保险工具转移部分网络安全风险。

中小企业网络安全事件类型分布，来源：绿盟科技

网安险该如何突破现状

2019年，工信部曾发布《关于促进网络安全产业发展的指导意见》，提出要探索开展网络安全保险服务。原中国保监会副主席周延礼也曾表示，解决中国的网络安全问题，需借鉴成熟市场的有效做法，大力推动网络安全保险市场发展。

虽然中国网络安全保险行业正在逐步升温，但其中还面临不少困难。对于保险公司而言，难点在无法准确衡量网络风险、系统性风险考虑不足、网络攻击事件的权责划分和除外条款。对于企业而言，难点在于险种选择少、保费高、赔付额度有限。

以2017年现象级的NotPetya网络攻击事件为例，美国制药巨头默克公司称该网络攻击已致公司损失5.8亿美元，且随着时间的推移损失还将增加2亿美元。但保险专家给出的理赔额度仅为2.75亿美元，不到实际已产生损失的一半。

NotPetya网络攻击，来源：网络

如果说默克公司已算幸运，那同样遭受NotPetya攻击的食品巨头亿滋国际提出的赔偿要求则被拒绝。苏黎世美国保险公司以“任何政府或主权力量的敌对或战争行为免于赔付”为由拒绝赔付，因为在美国情报官员将NotPetya恶意软件的来源认定为俄罗斯军队针对乌克兰的攻击。

相比于国外有公开的赔付案例，国内公开的案例则比较少，企业也会出于品牌形象考虑避免宣传此类信息。

对于网络安全保险来说，网络风险很难理解，规避起来也很麻烦。威胁环境不断变化也导致保险公司需要不断调整整体保险计划。网络安全保险不像财产险等成熟的保险业务，市场上有丰富的历史数据，在设计和购买产品时市场上有可参考的目标额度和实际情况。

例如，与2015年至2017年的安全事件相比，2020年勒索软件大行其道。想要应对勒索软件攻击，保险公司就必须跟上行业发展或者选择和网络安全公司合作，开发出合适的产品。

对于企业来说，保费较高是面临的问题之一。这也是全球所有企业面临的网络安全保险现状之一，因为保险公司对网络安全风险的认知不深，出于保守定价考虑，将保费定的比较高。

美国纽约州前不久发布了美国第一个网络安全保险风险框架，给所有财产和意外保险公司提供指引。该风险框架主要有七个方面：

• 建立正式的网络保险风险策略;
• 管理并消除沉默网络保险风险敞口;
• 评估系统性风险;
• 严格衡量保险风险;
• 为被保险人及保险提供方提供教育引导;
• 获取网络安全专业知识;
• 向执法部门发布通报。

该风险框架对我国网络安全保险行业同样具有借鉴意义。一方面，我国应该制定关于网络安全保险的法律法规，为网络安全风险的评估和等级界定提供确切标准。另一方面，保险公司要提高风险衡量能力，可以选择与安全厂商联手设计保险产品，并且提高网络安全保险的精算能力。

作为企业方，则应该加强网络安全意识，提升自身技术能力或调整单一性业务架构，提高应对网络攻击能力。同时，企业还应该选择一份合适的网络安全保险，转移部分风险。

鸿蒙官方战略合作共建——HarmonyOS技术社区