全球网络安全保险市场迅速发展,据测算2020年全球网络安全保险市场规模高达78亿美元,预计未来五年将维持20%以上增速。我国网络安全保险处于起步阶段,与数字经济发展增速、数字资产整体规模不相适应,没有充分发挥保险风险转移的功能。
网络安全保险如何助力数字经济高质量发展?11月27日,在复旦大学举办的“网络与数据安全保险研讨会”上,多方专家各抒己见。
会议主席:全国政协常委、民建中央副主席、上海市政协副主席、民建上海市委主委周汉民发表视频讲话——《法治是数字经济时代的核心竞争力》。周主席认为,数字经济时代,一分为三来考量是必要的,那就是数字经济,数字生活素质治理世界赞叹中国的素食经济发展,有三条经验是人家难以比拟的,一是海量数据的产生和与日俱增,第二是基础设施建设的大规模展开,且数量惊人,第三是政府强而有力的支持和产业引领。总结这三条,什么是我们在素质,经济时代最关切而同时最有效的呢?那就是法制对数字经济相关法制的制定。周主席强调,要让诚信建设引领数字中国的建设。当数字经济即占中国经济总量40%的时候,当数字经济蔚为大观的时候,法治就不能脱节。我们有数据安全法,有个人信息保护法是对的,但是还不够,我们还得继续努力来加强法治,以使数字经济行稳走远,能够成为中国现代化建设最重要的动力源之一。
市经济信息化委软件和信息服务业处处长裘薇在会上致辞,她表示,今年以来,上海一直在积极推动本市网络安全保险产业发展。下一步,希望集聚各方资源,围绕网络安全保险的条款设计、标准制定以及服务模式推广开展相关工作,也非常欢迎学术界、产业界、金融保险界的各位专家为我们提供宝贵的建议和支持。一是建立标准体系,借鉴国外经验,开展网络安全风险评估、风险损失量化、保费和理赔定价体系等研究,建立网络安全保险的相关标准体系。二是开展服务试点。选取重点需求领域开展网络安全保险服务试点,在数据积累、资源整合、科学定价、规范服务等方面积累经验,总结形成可供推广的网络安全保险服务模式,培育市场活力。三是培育创新业态。推动保险公司、甲乙方企业、行业协会、第三方经纪、数据科技企业多方合作优化网络安全保险服务,在上海携手构建网络安全保险创新发展的产业生态。
来自复旦大学、上海大学的两位教授,以及保险业界、汽车领域的专家,从不同的角度对网络与数据安全保险,阐述了自己的见解。
复旦大学大数据研究院研究员陈平作主题报告:《智能网联汽车网络安全风险的脆弱性研究》。通过对智能车的安全现状分析,陈平老师指出,智能网联汽车的风险来源于车内网络和车外网络,并针对不同的风险:系统和软件安全、数据安全、AI安全等,提出了解决方案。对于保险在智能车领域的落地,陈平老师认为,至少存在三大难点,一是智能车在保险领域缺少相关立法;二是自动驾驶算法难以追责;三十智能车保障存在风险。针对上述难点,拟态防御,尤其是在拟态防御中的共模以及异构度度量的方法,对促进保险在智能车领域的评估和定责能起到一定的作用。
中汽研软件测评(天津)有限公司总经理董长青作主题报告:《智能网联汽车网络及数据安全监管要求及应对方案》。董长青总经理表示,智能网联汽车网络安全威胁突出,安全事件频发,对企业和社会都造成了影响。大量的数据交互场景产生了劫持攻击、非法入侵等引发的数据泄露、信息篡改等风险。行业现存问题主要有三,一是汽车企业对网络安全的理解程度参差不齐;二是尚未从供应链去解决汽车网络安全问题;三是密码安全作为基础支撑尚未引起足够重视。报告中,他提出了四点建议,第一,企业应参照相关标准的要求建立并应用网络安全风险评估;第二,从体系要求和产品测试要求两个维度出发,构建满足政府管理要求的数据安全保障体系;第三,整车生产企业通过完善网络及数据安全管理体系,应用最新的防护技术,可有效缓解网络和信息安全风险,减轻其带来的危害,另外需要采取合适的处置方案来降低安全事件造成的损失;第四,建议保险行业能够参与到这一领域,参考传统IT、金融领域的方案,通过信息安全保险,保障车企和用户由于隐私事件和安全事件造成的损失。
复旦大学中国保险与社会安全研究中心主任许闲作主题报告:《网络安全保险的内涵与发展》。许教授指出,狭义的网络安全保风险更多聚焦在针对第一责任人和针对企业的直接经济损失等。广义的网络安全风险指“影响信息技术资产的保密性、可用性和完整性的操作风险”,并为大家介绍了国际网络安全保险的发展可以概括为三个主要的阶段。他表示,制约网络安全保险发展的关键因素有很多,其一就是该类风险的可保性问题,高额的损失对保险公司的承保能力造成一定程度的影响;其二,网络安全风险形态存在巨大差异,数据可得性的问题使得缺乏足够的数据去做精算定价;其三,还有损失发生的随机性问题、信息不对称造成的道德风险问题都很难评估。
中国太平洋财险副总经理、财务负责人、总精算师陈森作主题报告:《网络安全保险的现状与建模初探》。陈森总在报告中,介绍了国内外网络安全保险市场的情况以及一些精算建模的想法,对多为专家提出的问题和建议,阐述了一些保险精算角度的解决思路。陈总指出,网络安全产品风险暴露主要包括三个方面——网络攻击、非网络攻击和衍生责任。网络安全责任与新能源汽车主要涉及到的责任第一个方面是数字资产责任;第二个是网络安全及事件处理责任;第三个是营业中断责任;第四个是媒体,声誉及其他连带责任。在网络安全保险的精算建模方面,传统定价一般采用流量三角形ACPC的方,同时,由于早期的网络安全保险只保障第三方责任与法律诉讼责任,法律费用与赔偿也会分开进行评估。传统定价方式面临着一些痛点。第一,历史数据不足;第二,数据质量不佳;第三,风险形态多。目前的精算建模思路是,使用无标度网络模拟风险环境,使用蒙特卡洛模拟等方法进行损失模拟,对出险频率和案均赔款分别进行建模,对综合赔付直接进行建模。行业内使用较为广泛的是对出险频率运用预测模型进行单独建模,将出险次数视为一般的离散型随机变量,使用符合保险数据特征的参数分布例如泊松分布或者拼接二项分布进行拟合;将出险次数视为随机过程进行拟合,使用布朗运动模型或马尔科夫链进行预测;将出险次数和恶意程序感染结合,根据不同保险责任对应的场景,借鉴相应的模型对每个节点的损失频率进行预测。
太平再保险(中国)副总经理李立松作主题报告:《对新的法律和技术环境下网络安全保险的思考》。李总认为,现有的《国家安全法》作为顶层制度设计,相关的《网络安全法》《数据安全法》和《个人信息保护法》陆续出台,构成了现在网络安全的基本法律基础。总体来说,网络法律体系构建呈现管辖范围扩大、对关键行业/核心数据重点保护、各方主体责任明确、经济处罚金额大幅提升的态势。他对于网络安全保险解决方案提出了新的构想。传统的保险补偿功能不能满足网络和数据安全的风险管理需要,因此,需要专业的风险保障和网络安全服务组合,通过事先风险评估来识别企业的网络安全风险,制定相应的风险控制方案,实时监控方案的效果和对后续风险进行评估,并且附加相应的保险保障责任。要实现这一目标,需要构建网络安全保险生态,生态中包括了与之有关的利益主体。整个生态可以分为保险侧和服务侧,保险侧包括保险公司和再保险公司,服务侧包括网络安全机构、法律机构和监管机构等专业机构,共同构成服务于未来网络安全风险管理的生态。在这个生态下,再保险是联结保险侧和服务侧的纽带,专业的服务机构通过再保险可以触及到很多保险公司,保险公司通过再保险合作获得来自行业外的服务赋能和技术支持。
上海大学教授李玉峰教授作主题报告:《不确定的安全挑战和内生安全对汽车保险的价值初探》。李玉峰教授向大家介绍了什么是不确定的安全。智能网联正在引发传统汽车的安全发生巨变,带来了网络安全、数据安全这些security领域的新威胁,智能汽车当中大量使用了AI技术,蕴含了许多的不确定性。当前的公共安全标准ISO 26262,回避了安全性的量化要求。网络攻击成为功能安全新增的不确定因素。针对不确定的安全,他指出,内生安全、广义鲁棒等控制技术正在实现新的探索。广义鲁棒控制能够利用动态冗余异构的构造,将网络攻击的防御转化为广义差模共模干扰的控制,提供了一条智能网联汽车功能安全、网络安全一体化内生保障的新路径。内生安全——广义鲁棒控制技术能够提供可量化设计、可验证度量的Safety and Security一体化保障能力,基于这个技术提出了自动驾驶内生安全控制方案,采用冗余结构,使自动驾驶系统无论发生软硬件故障,还是遭受网络攻击,都能在广义鲁棒控制功能集内实现Safetyand Security的量化保障。量化的安全性水平经评估验证,在3冗余度的情况下,即使面对强攻击,系统功能不可用的概率都小于10-8。通过场景语言实时获取并记录车辆外部的感知信息与车辆内部决策和执行状态信息,在事后进行成因分析和取证。这一技术可以应用于保险业。该系统完成了3大类、46个场景的第三方测试,而且经过了严格的国际战队的众测。
在圆桌讨论环节:
中国工程院方滨兴院士指出,网络安全保险非常有助于网络安全生态的发展,当然也有助于进一步保障数字经济。一是网络安全保险利于提升企业的风险控制,企业会按照一些标准规范进行网络风险管理,无形中使得大量的参保企业提升了风险管控。二是网络安全保险可以大幅度降低社会的总成本,大幅度降低风险的概率,减少网络安全保障的边际成本。三是网络安全保险可以为参保企业做标签,来标注参保企业的网络安全保障水平。四是进一步体现社会责任,网络安全的残余风险要靠保险来吸收,所以保险促进了社会的风险防范。五是网络安全企业也可以用网络安全保险来赋能,如果一个企业能够附赠网络安全保险,实际上就是为这个企业的产品做了性能上的背书。保额越高,说明安全能力就越强,那么也相当于让有更高性能的产品去占领市场,这也体现了网络安全保险的重要性。
人保财险上海分公司龙保勇总经理,在谈到保险行业赋能整个网络安全产业发展时指出,有风险就有保险,网络安全保险市场存在巨大潜力,现在的市场不到5亿,而美国有三十多亿美元。有需求保险行业就有责任,在网络安全保险这一块,不能单纯从自身行业发展这个角度来考虑,我们必须把行业发展融入到整个国家管理和整个国家治理的大格局中,承担我们行业的企业责任。上海有能力在网络安全保险、数字化经济和信息安全领域定标杆定标准,上海人才优势聚集、技术密集、经济发展水平高;在网络安全保险领域,我觉得我们上海也具备定标准定标杆的实力。人保财险在上海的分支机构在开展相关工作时,也得到了总公司的大力支持。我们按照“承保、减损、赋能、理赔”的工作思路来来开展这项工作,积极参与了上海银保监局、智能网联汽车保险、网络安全保险产品开发和服务标准制定的课题。在“先思、先行、先试”的过程中,人保财险有这个责任,有这个担当,我们希望把试点工作做好,把试点的成效在行业内共享。
天安保险党委委员张宇生副总裁,在研讨中谈到了推进网络安全保险的过程中有哪些痛点和难点。从保险的传统思路来看,网络安全保险目前的难点是产品的定义定价,很难达到一种共识的标准;对保险公司本身来讲,网络安全保险的核保核赔是个短板。如果要跳出传统的思维看问题,传统的保险以“赔”为主,新兴的保险应该以“防”为主,所以对网络安全保险我们要从三个层次去思考——风险可预警、风险可预防和风险可补偿。对于这个新兴的市场,我们应该做的不是抢市场,而是培育市场,市场各个主体能够进行细化分类,开发出符合公司自身特点和网络经济发展的新的产品,这样才能实现健康的发展。
永诚保险车险事业部总经理丁澎认为,在未来的智能网联汽车的发展和普及的过程中,保险行业应该发挥更大作用。他指出,到9月底,我国大概有2.97亿辆汽车,在传统保险当中最成熟的产品就是车险,这个产品特点总结来说是“看得清、算得准、担得起”。对于智能网联汽车来说,保险行业的痛点就是“看不清、算不准、担不住”。 所谓“看不清”,保险责任和除外责任的界限还不清晰;“算不准”是指风险的频度和强度很难测算;“担不住”,不仅仅是保险责任、保险金额的问题,还有各种复杂的法律关系。对于这么大的新兴市场,保险行业应该怎么做?我个人简单有三点想法。一是我们要作为这个产业的积极参与者,跟踪行业的前沿。像今天这种会议,我觉得对保险行业有极大的帮助作用。第二,我们应该做一个积极的介入者,在智能网联汽车的发展过程当中,保险行业作为有能力的研究单位和主体,包括再保险,应该积极参与到行业标准的制定过程中,这样对产品开发有极大帮助。第三,要加强产品的创新。同时,保险行业应该从发挥保险社会管理职能的角度来看问题。一边要对产业链的科研单位通过保险化的手段予以支持,也要对主机厂配件厂等生产单位通过保险加以约束,还要对消费者通过保险手段加以教育和保障。
紫金山实验室内生安全中心主任季新生教授认为,目前网络安全技术发展已经具备支持网络安全保险的能力。他指出,网络安全难保险是因为网络本身存在漏洞,是0和1的问题,不是可靠性的概率问题。其次,漏洞影响面过大,一个漏洞被发现,可能会导致所有的系统受影响。在网络安全方面,经过这些年的探索,中国技术能够为保险行业赋能。一是可预防的、可量化的安全方面,可以把0和1的攻击问题变成了一个广义的鲁棒控制的概率的问题,为保险的精算提供了基本的基础。二是在保险测评方面,现在发展了一种白盒攻击测评的技术,可以将其理解为破坏性测试,类似于汽车的主动碰撞实验。三是安全事故溯源和勘测方面,利用黑匣子为保险提供可追溯。
中电三十二所柴小丽副所长,从产业角度对未来保险赋能网络安全产业提出了建议。她指出,新的网络安全范式为网络安全保险的设计提供了技术的支撑,在推广的过程中,用户对于IT产品还是从比较传统的思路去采购,如果有保险保驾护航,用户对于产品的接受度会非常高,所以网络安全保险对内生安全新型技术产品的推广有着非常好的促进作用。从产业的供给侧来讲,供给方在进行内生安全产品的设计和推广过程中,也提升了信心。在上海市的支持下,中电三十二所在嘉定建立了“内生安全应用示范中心”,向上海市的“一网统管”这样的城市基础设施建设提供 “高可靠高可信”的数字底座。我们也非常希望保险行业,能够在这个平台上针对新的内生安全架构产品能够进行联合测试。
最后,中国工程院邬江兴院士作总结报告:《数字基础网络安全解决之道及保险行业创新策略》。
在报告中,邬院士认为数字基础设施可靠性面临新挑战,基于双重安全问题的广义功能安全问题,是数字经济、数字社会、数字政府、城市大脑亟需功能安全底线,网络空间内生安全发展范式(基于动态异构冗余构造能够赋能广义功能安全)能够解决未知的未知网络威胁难题,不依赖先验知识和传统附加安全防御手段,基于编码构造理论的动态异构冗余拟态防御机制,用系统构造技术一体化的解决目标环境内的双重安全威胁问题,赋能信息系统或控制装置可量化设计、可验证度量的广义鲁棒控制功能安全属性。
在报告结尾,邬院士代表与会各方发布会议共识:
1. 发展数字经济是我国把握新一轮科技革命和产业变革新机遇的战略选择。
2. 实现数字经济健康发展,必须有有效应对网络空间日益严重的安全风险。保险就是我们应对安全风险的一个助推器。
3. 我国要加快推进网络安全保险,为筑牢数字经济安全底座提供支撑。通过网络安全保险,为新的安全底座的产业化和推广应用提供支撑。
4. 发展网络安全保险需要网络安全与信息技术范式创新、实现IT等产品功能安全可量化定制、可度量、可检验。
5. 发展网络安全保险需要构建“保险+风险管理+服务”的综合业态。
6. 发展网络安全保险需要制定中国特色的服务规范团体和行业标准。
7. 发展网络安全保险需要自上而下推进数据基础设施建设。严格贯彻一体两翼、双轮驱动的策略。
8. 网络安全保险需要有保险行业保障安全与信息技术产业以及高校科研机构协同创新。我认为保险业应该从源头参与,对这种新型的广义功能安全技术的投资、产品的产出、产品的推广,保险业在这里面可以发挥出巨大的作用。
9. 发展网络安全保险需要政府部门大力支持和社会力量积极参与。
10. 发展网络安全保险需要先行先试、在实践中不断完善。