4月22日,复旦大学发展研究院张铭心博士在网络空间内生安全发展大会网络安全保险发展论坛上作《内生安全技术对网络安全保险的影响》主题报告。
张博士研究认为,现实空间当中形成的保险机制和保险能力建设,随着数字经济发展也要往网络空间去投射,网络安全保险的诞生是数字经济发展的必然产物。而网络风险管理活动存在外部性,其重要来源是网络安全风险的相关性及其导致的损失厚尾性和定价困难等。如企业在安防投资上的搭便车行为、投保的逆向选择和道德风险问题,都诱使网络安全保险存在定价偏高的倾向。
经济学中,解决外部性的根本方法是内部化或者对产权的清晰界定;前者在网络安全领域不具备可行性,只能寄希望于安防和损失界定的内部化,降低风险相关性。而内生安全技术恰恰是减少网络安全的外部性的良方,这是由于:
1. 防御有效性由目标对象内生安全构造与机制决定, 不依赖任何基于检测分析的先验知识和外挂/内置式防御手段,这显著降低了对外部防御手段的依赖和相关性, 实现对网络安全和损失的“产权性”界定,接近实现“谁污染谁治理”的局面。
2. 能自然接纳或融合已有的网络安全防护技术,按照异构化配置可获得指数量级防御增益,降低安全投资的边际成本,使得界定损失和安防责任的成本不至于过高。
但实现内生安全仍存在一些困难,其在初始成本、空间受限和功耗敏感的应用领域存在一定程度的工程实现挑战,而这些问题又恰恰是中小企业尤为关心的,这也正是内生安全技术与保险保费激励机制等协调推进的重要切入点。
张博士通过对两种保费策略下的建模发现,企业最优安全投入与支付的保费负相关;损失相关性的降低可以有效降低最优保费,内生安全技术通过降低损失相关性,减少外部性,起到降低保费同时提高安全性的作用;敏感性分析显示企业损失规模越大,越倾向于使用保险策略而非安全投资策略。
张博士建议,通过保费激励的方式,鼓励企业采用内生安全技术;加强企业信息安全立法,及早确定企业信息安全的最低要求;寻求建立行业信息安全责任界定准则,尽快推出旨在提高整体安全水平的网络保险标准和保险产品。
