網(wǎng)絡安全保險科技白皮書

概念界定01第一章全球網(wǎng)絡安全保險發(fā)展現(xiàn)狀051.1產(chǎn)業(yè)發(fā)展：風險與破局網(wǎng)絡051.2政策培育：加快試點探索08第二章網(wǎng)絡安全保險多元市場需求112.1網(wǎng)絡安全保險的需求本質(zhì)112.2風險視角下的行業(yè)需求122.3商業(yè)視角下的場景需求152.4保險視角下的產(chǎn)品需求17第三章科技助推多產(chǎn)業(yè)深度融合183.1產(chǎn)業(yè)融合發(fā)展形態(tài)183.2產(chǎn)業(yè)鏈及廠商生態(tài)現(xiàn)狀233.3產(chǎn)業(yè)融合發(fā)展挑戰(zhàn)23第四章科技智繪網(wǎng)絡安全保險新業(yè)態(tài)254.1全球范圍內(nèi)的創(chuàng)新探索254.2網(wǎng)絡安全保險前沿科技應用27第五章網(wǎng)絡安全保險科技發(fā)展建議305.1加強宣傳推介力度305.2推動數(shù)據(jù)要素流動305.3落實行業(yè)標準規(guī)范315.4提升產(chǎn)業(yè)鏈路能力31附錄網(wǎng)絡安全保險科技企業(yè)生態(tài)32目前，業(yè)內(nèi)將"網(wǎng)絡安全保險"(CyberSecurityInsurance)定義為：保險人承保投保人因網(wǎng)絡安全事件造成的經(jīng)濟損失或應承擔的法律賠償責任的保險。然而，針對網(wǎng)絡安全保險科技，國內(nèi)外尚未形成明確的概念界定，一定程度上影響了這一產(chǎn)業(yè)的發(fā)展。本報告嘗試首次定義"網(wǎng)絡安全保險科技",為網(wǎng)絡安全保險產(chǎn)業(yè)的發(fā)展創(chuàng)新與變革翼定理論基礎。網(wǎng)絡安全保險科技(CybersecurityInsuranceTechnology;InsurTech);技術創(chuàng)新在網(wǎng)絡安全保險產(chǎn)業(yè)發(fā)展及其與網(wǎng)絡安全產(chǎn)業(yè)融合中的應用·將衍生新的模式、業(yè)務、流程與產(chǎn)品。網(wǎng)絡安全保險科技服務是面向投保人/保險公司/保險經(jīng)紀公司，由第三方基于數(shù)據(jù)搜集、清洗整合，人工智能、云原生等技術創(chuàng)新應用，將保險與技術、風險工程和安全響應服務相結(jié)合，映射在投保、承保、理賠等保險環(huán)節(jié)，旨在通過科技融合保險業(yè)態(tài)與網(wǎng)絡安全業(yè)態(tài)，以網(wǎng)絡安全保險科技服務加強企業(yè)網(wǎng)絡安全彈性。網(wǎng)絡安全問題不同于傳統(tǒng)工程問題，由于風險的變化性與規(guī)則的難以界定，網(wǎng)絡安全領域的一大挑戰(zhàn)在于缺少數(shù)據(jù)和模型來表述變量、制定策略。當前，圍繞網(wǎng)絡安全風險控制與管理，業(yè)界基于閉環(huán)控制、主動防御的動態(tài)安全理念，先后提出了P2DR、P2DR2、IPDRR等多種動態(tài)風險模型。P2DR模型是由美國ISS公司提出的動態(tài)網(wǎng)絡安全體系的代表模型，其包括Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。P2DR2模型同樣以安全策略(policy)為中心，構造多層次、全方位和立體的區(qū)域網(wǎng)絡安全環(huán)境。其包括IPDRR模型來自美國國家標準與技術研究所(NationalInstituteofStandardsandTechnology;NIST)制定的CybersecurityFramework的核心內(nèi)容，包括ldentify(風險識別)、Protect(安全防御)、Detect(安全檢測)、Respond(安全響應)和Recover(安全恢復)。通過對上述3個主要的網(wǎng)絡安全模型的拆解，可以發(fā)現(xiàn)基本涵蓋了安全策略、風險識別、安全防御、安全檢測、安全響應及安全恢復6大模型因子。相關模型因子與網(wǎng)絡安全保險相關配套服務能力進行絞合，進而可以形成一個新型的“網(wǎng)絡安全保險科技模型”(InsurTech-PIPDR2),從而推動網(wǎng)絡安全保險能夠相對無感知地嵌入企業(yè)網(wǎng)絡安全建設各個部分。模型因子P2模型因子P2DR模型安全策略風險識別風險識別與評估。確定業(yè)務優(yōu)先級、梳理風險、影響評估、安全資源優(yōu)先級劃分安全防御安全檢測發(fā)生保證業(yè)務連續(xù)性。在受到攻擊時，限制其對業(yè)務產(chǎn)生的影響。主要為人為干在攻擊產(chǎn)生時即時監(jiān)測，同時監(jiān)控業(yè)務和保護措施基于風險評估報告，制定整改建議，并針對保險風險進行承保，限制風險對實時監(jiān)測掃描潛在風險與安全響應在安全策略指導下，通過動事件調(diào)查、評估損害、收態(tài)調(diào)整訪問控制系統(tǒng)的控制集證據(jù)、報告事件和恢復規(guī)則，發(fā)現(xiàn)并及時截斷可疑系統(tǒng)安全恢復飯復系統(tǒng)、再現(xiàn)攻擊行為恢復系統(tǒng)和修復漏洞，從企業(yè)網(wǎng)絡安全建設的角度來看，網(wǎng)絡安全保險科技模型可以與大多數(shù)企業(yè)網(wǎng)絡安全防御體系進行有效適年度網(wǎng)絡安全預算企業(yè)網(wǎng)絡安全建設持續(xù)改進風險識別評估風險管理安全恢復備份恢復網(wǎng)絡恢復數(shù)據(jù)恢復災難恢復應用恢復損失恢復安全策略網(wǎng)絡安全計劃權限管理策略訪問控制策略安全防御人員管理安全檢測安全檢測安全檢測安全響應安全檢測評估理賠運營在安全策略階段，企業(yè)設計頂層網(wǎng)絡安全策略、制定網(wǎng)絡安全計劃時，可以將網(wǎng)絡安全保險作為風險轉(zhuǎn)移的重要舉措，納入網(wǎng)絡安全計劃，并在規(guī)劃年度網(wǎng)絡安全預算時，將網(wǎng)絡安全保險作為擬采購的安全服務考慮其中。在風險識別階段，基于企業(yè)已部署的漏洞掃描、資產(chǎn)測繪等網(wǎng)絡安全設備/技術，網(wǎng)絡安全保險科未發(fā)生的或使保險對象遭受損失的風險，通過企業(yè)網(wǎng)絡安全體系建設、網(wǎng)絡安全設備和現(xiàn)有的安全舉措暫時無法完全覆蓋或解決的風險，安全投入產(chǎn)出性價比低的風險，即被視為可通過保險方式轉(zhuǎn)移的保險風險范疇),進而將風險評估結(jié)果通過量化、定級等方式，轉(zhuǎn)化為核保依據(jù)與定價參考。在安全防御階段，基于風險評估結(jié)果，協(xié)助企業(yè)制定整改建議，從而對企業(yè)面臨的可控風險進行事前主動干預，通過安全產(chǎn)品、技術、培訓等舉措預降低企業(yè)出險概率。在安全檢測階段，通過實時風險監(jiān)測系統(tǒng)重點監(jiān)測承保范圍內(nèi)的網(wǎng)絡安全風險，不僅可以進一步加強企業(yè)的風險發(fā)現(xiàn)能力，使其成為企業(yè)風險監(jiān)測系統(tǒng)中的重要組成部分，還將為后續(xù)理賠階段提供取證支撐。在安全響應階段，圍繞承保風險，企業(yè)可依托于網(wǎng)絡安全保險科技服務，借助第三方安全力量實現(xiàn)對安全事件的快速響應，開展事件調(diào)查、損害評估、取證報告等工作，從而為下一階段的理賠提供參考基礎。在安全恢復階段，企業(yè)可基于溯源調(diào)查結(jié)果，通過其原有的安全技術及能力進行系統(tǒng)恢復和漏洞修復，并優(yōu)化安全運營。此外，依托于網(wǎng)絡安全保險科技的配套理賠服務，保險公司能夠快速完成保險義務，賠償投保企業(yè)的直接經(jīng)濟損失、第三方責任賠償及備份/數(shù)據(jù)恢復等所產(chǎn)生的費用，幫助企業(yè)在收斂風險的同時成功完成風險轉(zhuǎn)移。技術應用VR/AR技術風險宇宙龐大的數(shù)字信息資源，將為風險運營與管理提供啟示+科技ataScience數(shù)據(jù)科學利用科學方法、流程、算法和系統(tǒng)從數(shù)據(jù)中提取深層價值全球網(wǎng)絡安全保險發(fā)展現(xiàn)狀網(wǎng)絡安全保險作為一項投保險種，早在20世紀90年代網(wǎng)絡安全保險作為一項投保險種，早在20世紀90年代就伴隨著IT網(wǎng)絡的發(fā)展及安全風險的再配置與轉(zhuǎn)移而誕生。經(jīng)過20余年全球數(shù)字化經(jīng)濟市場發(fā)展、網(wǎng)絡技術更迭，網(wǎng)絡安全保險已經(jīng)成為數(shù)字市場經(jīng)濟條件下重要的風險管理和風險轉(zhuǎn)移手段。目前，囿于全球IT網(wǎng)絡發(fā)展的起步時間不一、發(fā)展進程不對稱，網(wǎng)絡安全保險在各國各地區(qū)存在不同的市場成熟度與社會普逼接受度。其中，我國在網(wǎng)絡安全保險行業(yè)正處于發(fā)展前期，并開始進入風口階段。與此同時，借助科技手段，跨行業(yè)、跨領域開展網(wǎng)絡安全保險，成為保險行業(yè)發(fā)展的又一市場增長點，有潛力挖掘一個千億乃至萬億級的藍海市場。風險是驅(qū)動企業(yè)投保的首要動力。企業(yè)在經(jīng)營過程中，會面臨內(nèi)部風險和外部風險，前者包括戰(zhàn)略風險、財務風險、運營風險、操作風險，后者包括法律合規(guī)風險、技術風險、市場風險、產(chǎn)業(yè)風險等。若要保證企業(yè)網(wǎng)絡安全，就要將企業(yè)可能存在的人為、系統(tǒng)安全、操作風險等多重運營風險及法律合規(guī)風險降低到可控的范圍之內(nèi)。隨著網(wǎng)絡攻擊、網(wǎng)絡安全違規(guī)事件的頻繁發(fā)生，企業(yè)為維護正常經(jīng)營，除加強自身防火墻、加密與認證、網(wǎng)絡入侵檢測等安全基礎設施建設之外，從成本收益優(yōu)化的目的出發(fā)，也會購買網(wǎng)絡安全保險進行增強防護?？梢哉f，安全基礎設施建設是風險緩解的主要措施，而網(wǎng)絡安全保險是風險轉(zhuǎn)移的最佳選擇，兩者的結(jié)合成為企業(yè)安全最高效的投資組合。保險層面，以往其他財產(chǎn)保險的承保范圍越來越無法全面、有針對性地保護企業(yè)免受網(wǎng)絡風險侵害。為減少網(wǎng)絡風險帶來的巨額攻擊損失和合規(guī)成本，網(wǎng)絡安全保險應運而生。從網(wǎng)絡安全保險推出至今，投保規(guī)模隨著網(wǎng)絡技術的飛速發(fā)展而不斷增長。據(jù)ResearchAndMarkets發(fā)布的《2022年全球網(wǎng)絡安全保險市場報告》顯示，2021年網(wǎng)絡安全保險市場規(guī)模為92.9億美元，2022年約為119億美元，預計到2027年將達到292億美元，年復合年增長率19.47%,體現(xiàn)出巨大的市場需求和發(fā)展空間。可以預見，隨著萬物互聯(lián)、IT勞動力短缺，全球網(wǎng)絡安全保險市場規(guī)模將進一步爆發(fā)。(1)網(wǎng)絡安全保險產(chǎn)業(yè)發(fā)展歷程在過去30年時間里，全球的網(wǎng)絡安全保險產(chǎn)業(yè)發(fā)展經(jīng)歷了起步、逐步發(fā)展和快速上升三個階段。20世紀90年代，全球網(wǎng)絡安全保險進入萌芽階段，保險公司和安全企業(yè)的合作模式初步確立。在發(fā)展初期，網(wǎng)絡安全保險的主要模式是通過保險為安全公司的服務增信，同時為用戶提供涵蓋保險服務的全面風險管理解決方案。在這個時期，保險的承保范圍僅涵蓋對第一方損失(企業(yè)自身經(jīng)營風險)的保障·主要存在投保企業(yè)獲客渠道受限，風險分散能力、量化能力薄弱，客戶網(wǎng)絡安全風險意識淡薄和法律法規(guī)缺失等問題。21世紀10年代，網(wǎng)絡安全保險進入初步探索階段。隨著企業(yè)合規(guī)要求的提高以及企業(yè)風險意識合規(guī)政策推動了網(wǎng)絡安全的發(fā)展。一系列網(wǎng)絡安全法律法規(guī)的出臺和監(jiān)管政策的強化執(zhí)行，使網(wǎng)絡安全保險的投保需求得到釋放。保險公司也推出綜合險的產(chǎn)品，將第一方損失和第三方損失均納入了承保范圍。另一方面，企業(yè)的安全意識也在逐步提高。在網(wǎng)絡安全事件頻發(fā)、經(jīng)濟損失持續(xù)攀升的背景下，企業(yè)對網(wǎng)絡安全風險防御的逐漸重視驅(qū)動企業(yè)進行投保。在這個階段，行業(yè)發(fā)展更多地面向企業(yè)的風險管控需求，將保險服務和專業(yè)技術手段結(jié)2013年至今，全球的網(wǎng)絡安全保險進入快速上升階段。歐盟《通用數(shù)據(jù)保護條例》(GeneralDataProtectionRegulation,簡稱"GDPR")的生效進一步強化了數(shù)據(jù)主權的保護、加大了行政處罰的力度，并且拉動了網(wǎng)絡安全保險需求。同時，第三方風險管理技術服務機構開始出現(xiàn)，保險科技公司和網(wǎng)絡安全公司嶄露頭角，圍繞風險量化、保險定價、合作模式等問題進行重點發(fā)展。其中，保險科技公司負責數(shù)據(jù)收集分析、差異化保險定價、風險源頭全面監(jiān)控，網(wǎng)絡安全公司負責通過漏洞掃描、威脅發(fā)現(xiàn)，利用專業(yè)手段協(xié)助客戶方抵御安全風險。在保險服務和網(wǎng)絡安全科技的融合助推下，網(wǎng)絡安推動我國網(wǎng)絡安全保險市場向更高水平開放、促進(2)國內(nèi)外網(wǎng)絡安全保險主要市場歐美市場：歐美的網(wǎng)絡安全保險市場起步較早，目前發(fā)展較為成熟。美國是網(wǎng)絡安全保險的最大市場，占全球份額的90%以上；歐洲的網(wǎng)絡安全保險市場雖然起步比美國晚，但近幾年網(wǎng)絡安全事故的頻發(fā)，也加快了歐洲網(wǎng)絡安全保險發(fā)展與成熟的腳步。美國方面，2021年5月，美國政府問責局發(fā)布了保險經(jīng)紀公司達信(Marsh)的數(shù)據(jù)，顯示各行業(yè)客戶購買網(wǎng)絡保險的比例從2016年的26%上升到2020年的47%。此外，2022年第一季度，美國保險的網(wǎng)絡定價上漲了110%,索賠活動的頻率和嚴重程度的提高大大拉動了價格的上漲，超過60%的保險客戶采取了更高的留存率來幫助抵消保費影響。網(wǎng)絡安全保險公司也重點關注公司的風險控制環(huán)境和網(wǎng)絡安全成熟度從而決定是否承保。歐洲方面，數(shù)據(jù)提供商Statista預測其網(wǎng)絡保險市場在2020年至2030年間將呈指數(shù)級增長，在2020年至2025年間規(guī)模翻一番，年平均增長率約為20%?？偟膩碚f，目前歐美網(wǎng)絡安全保險市場呈現(xiàn)出法律法規(guī)促進投保需求釋放、專業(yè)機構指導網(wǎng)絡安全保險規(guī)范發(fā)展、產(chǎn)業(yè)主體合作探索網(wǎng)絡安全保險發(fā)展路徑的特點。首先，立法層面的引導和監(jiān)管拉動了網(wǎng)絡安全投保需求。從發(fā)展驅(qū)動因素來看，全球已有超過15個國家和地區(qū)發(fā)布了超一百部的網(wǎng)絡和數(shù)據(jù)安全相關法案，包括美國《計算機欺詐和濫用法》《消費者數(shù)據(jù)保護法》《統(tǒng)一個人數(shù)據(jù)保護法》、歐盟《通用數(shù)據(jù)保護條例》《網(wǎng)絡安全法案》《數(shù)據(jù)治理法案》《數(shù)據(jù)服務法案》《數(shù)據(jù)市場法案》、德國《聯(lián)邦個人信息保護法》《聯(lián)邦數(shù)據(jù)保護法》《IT安全法》、英國《國家網(wǎng)絡安全戰(zhàn)略2022-2030》、法國《法國國家數(shù)字安全戰(zhàn)略》在內(nèi)的法律法規(guī)陸續(xù)出臺和完善，強化了各國的行業(yè)監(jiān)管。巨額罰款乃至刑事處罰的威懾撬動了企業(yè)的網(wǎng)絡安全合規(guī)需求。以GDPR為例，截至目前為止罰款總額已超過16億歐元，單次最大罰款達7億歐元之多。因此，除加強自身網(wǎng)絡基礎設施建設外，企業(yè)也將目光投向了能夠抵御法律合規(guī)風險的網(wǎng)絡安全保險上來，激發(fā)其次，政府部門聯(lián)合行業(yè)協(xié)會等組織建立產(chǎn)業(yè)規(guī)范，開展網(wǎng)絡安全保險政策研究，強化風險應對能力。例如，美國紐約州金融服務部發(fā)布《網(wǎng)絡保險風險框架》,提出網(wǎng)絡安全保險的七步流程，為保險公司業(yè)務的開展提供指南。歐洲保險和職業(yè)養(yǎng)老金管理局制定“網(wǎng)絡承保戰(zhàn)略”,指明網(wǎng)絡風險監(jiān)管優(yōu)先事項，并鼓勵優(yōu)秀產(chǎn)業(yè)實踐應用推廣。德國保險協(xié)會也為中小企業(yè)制定了標準化網(wǎng)絡安全保險保單模板，目前已被國內(nèi)約50%的保險公司采用。第三，產(chǎn)業(yè)主體合力探索，推動網(wǎng)絡安全保險發(fā)展。一是明確承保范圍、引領市場規(guī)范化發(fā)展。例如，歐洲保險公司勞合社于2016年發(fā)布《勞合社網(wǎng)絡攻擊風險應對戰(zhàn)略》,要求旗下保險公司明確網(wǎng)絡安全承保范圍，促進市場規(guī)范化發(fā)展。二是促進數(shù)據(jù)共享、優(yōu)化保險模型。歐洲保險和職業(yè)養(yǎng)老金管理局于2021年發(fā)布《開放式保險：訪問和共享框架"、開放訪問及共享保險數(shù)據(jù)，擴大網(wǎng)絡保險?？破?HenryRKSkeoch)在IT安《Computers&Security》上發(fā)表文章稱可以基于戈登-洛布(Gordon-Loeb)模型構造競爭性網(wǎng)絡安全和投資決策的GL-Cl保險模型，以便更科學地確定保險索賠概率。三是探索創(chuàng)新發(fā)展模式、發(fā)揮人工智能等技術優(yōu)勢。例如利用Al技術強化分析能力，生成實時監(jiān)測圖景，提高決策的速度和準確性；以及實現(xiàn)常規(guī)風險的選擇、定價和欺詐檢測自動化，從而降低賠付率與恢復費用。中國市場：我國網(wǎng)絡安全保險產(chǎn)業(yè)起步較晚，存在企業(yè)投保需求受眾還需進一步激活、保險公司風險把控能力還需提升、網(wǎng)絡安防技術尚待與保險評估定損流然而，伴隨著網(wǎng)絡安全系列法律法規(guī)的實施落地、重要行業(yè)領域網(wǎng)絡安全頂層設計的密集出臺，我國網(wǎng)絡安全保險產(chǎn)業(yè)已迎來發(fā)展機遇期。根據(jù)中國工業(yè)信息安全發(fā)展研究中心基于頭部財產(chǎn)保險公司網(wǎng)絡安全保險保費數(shù)據(jù)以及行業(yè)集中率測算，2021年我國網(wǎng)絡安全險保費規(guī)模達到7080萬元，最高保額超4億元，較上一年增長3.2倍以上，呈目前我國網(wǎng)絡安全保險市場具有發(fā)展環(huán)境持續(xù)優(yōu)化、保險業(yè)與網(wǎng)絡安全產(chǎn)業(yè)主體融合探索、網(wǎng)絡一是網(wǎng)絡安全保險受到政府部門的高度關注。國家層面，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》陸續(xù)頒布實施，使我國網(wǎng)絡安全法律體系框架基本搭建完成；行業(yè)主管部門層面，圍繞政策制定、產(chǎn)品開發(fā)、服務模式創(chuàng)新等方面進行了積極探索與規(guī)則細化(詳見“1.2政策培育：加快試點探索"表格1-1)。二是保險公司開始網(wǎng)絡安全保險本土化”嘗試，開發(fā)多種網(wǎng)絡安全保險產(chǎn)品，與網(wǎng)絡安全科技企業(yè)融合發(fā)展。例如，眾安網(wǎng)絡安全保險面向不同行業(yè)、場景的差異化網(wǎng)絡安全風險管理需求，推出了不同層次的網(wǎng)絡安全保險產(chǎn)品矩陣，服務各體量類型客戶的投保需求；同時，為企業(yè)提供基于保險的主動安全合規(guī)、主動風險管理、主動安全運營的一站式服務，助力企業(yè)在數(shù)字經(jīng)濟時代提升數(shù)字化資產(chǎn)安全防護水平和風險對抗能力。三是數(shù)字化轉(zhuǎn)型深入推進，網(wǎng)絡風險的防護意識不斷提升。隨著網(wǎng)絡安全保險的落地案例逐漸增多，一些重點行業(yè)的投保需求逐步提高。例如易遭受網(wǎng)絡攻擊的金融、制造業(yè)企業(yè)，關鍵信息基礎設施運營單位，外資、合資或具備海外業(yè)務的中資企業(yè)，為了規(guī)避網(wǎng)絡攻擊造成的巨大經(jīng)濟損失風險、尋求風險轉(zhuǎn)移，都將有越來越強烈的網(wǎng)絡安全保險購買意愿。1.2I政策培育：加快試點探索我國的網(wǎng)絡安全保險產(chǎn)業(yè)呈現(xiàn)出起步晚、發(fā)展快的特點。產(chǎn)業(yè)的快速發(fā)展不僅源于需求側(cè)的增長，也得益于相關政策的引導培育。"國民經(jīng)濟和社會發(fā)展十四五規(guī)劃和2035年遠景目標綱要”提出，要壯大人工智能、大數(shù)據(jù)、區(qū)塊鏈、云計算、網(wǎng)絡安全等新興數(shù)字產(chǎn)業(yè)，催生新產(chǎn)業(yè)新業(yè)態(tài)新模式。2022開年之際，我國監(jiān)管部門先后發(fā)布《銀行保險機構信息科技外包風險監(jiān)管辦法》《金融科技發(fā)展規(guī)劃(2022-2025年)》《關于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導意見》《金融標準化“十四五”發(fā)展規(guī)劃》等一系列文件，明確了保險數(shù)字化轉(zhuǎn)型的目標和任務，為保險創(chuàng)新發(fā)展提供堅實的政策基礎，促進保險服務進入數(shù)字化新周期。與此同時，聚焦試點探索起步、政府規(guī)范引導、相關標準出臺、安全即服務趨勢加強等發(fā)展特點，為更好地保障企業(yè)的網(wǎng)絡安全、推進網(wǎng)絡安全保險規(guī)范運營、夯實網(wǎng)絡安全保險保障工作基礎，各相關部門也在上述政策的指導下，接連出臺了一系列關于網(wǎng)絡安全保險的指引性文件。發(fā)布時間發(fā)布時間2022年7月文件文件由貿(mào)易試驗區(qū)臨港新片區(qū)科技保險創(chuàng)新引領區(qū)工作方案的通知》鼓勵保險機構加強與網(wǎng)絡安全領域科技企業(yè)的合作，創(chuàng)新網(wǎng)絡安全保險服務模式，促進網(wǎng)絡安全產(chǎn)業(yè)與保險業(yè)共贏發(fā)展，為企業(yè)提供安全、可靠的網(wǎng)絡環(huán)境。提倡發(fā)展"保障+風控+服務"三位一體的新型網(wǎng)絡安全保險，集保險與網(wǎng)絡安全企業(yè)合力，為企業(yè)研發(fā)綜合性的保險解決方案。發(fā)布時間部門文件2022年6月公安部《關于落實網(wǎng)絡安全保護重點措施深入實施網(wǎng)絡安全等級保護制度的指導意見》探索開展網(wǎng)絡安全保險。研究網(wǎng)絡安全保險相關政策和標準規(guī)范，共同培育市場，試點先行，構建"保險+風險管控+服務"模式，提升網(wǎng)絡安全社會治理能力。1)推進安全服務化布局，倡導安全即服務”理念鼓勵企業(yè)設立安全運營服務中心，由提供產(chǎn)品向上海市經(jīng)濟信息化委市委網(wǎng)信辦市發(fā)展改革委市科委市財政局市通信管理局《上海市建設網(wǎng)絡安全產(chǎn)業(yè)創(chuàng)新高地行動計劃(2021-2023年))提供服務和解決方案轉(zhuǎn)變。引導黨政部門和重點企事業(yè)單位提升網(wǎng)絡安全服務采購比例。管理和服務創(chuàng)新能力，構建覆蓋多層面的保險服務機制，培育事前預防、事中防護、事后補償?shù)娜芷诰W(wǎng)絡安全保險服務保障模式。上海市經(jīng)信委和銀保監(jiān)局/成立網(wǎng)絡安全保險專班?！毒W(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021-20231)應強化產(chǎn)融合作機制建設，探索開展網(wǎng)絡安全保險，加快網(wǎng)絡安全保險政策引導和標準制定，強化網(wǎng)絡安全風險應對能力。2)面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領域，開展網(wǎng)絡安全保險服務試點。2020年12月中國銀行保險監(jiān)督管理委員會《互聯(lián)網(wǎng)保險業(yè)務監(jiān)管辦法》共5章83條，包括總則、基本業(yè)務規(guī)則、特別業(yè)務規(guī)則、監(jiān)督管理和附則。重點內(nèi)容包括：一是厘清互聯(lián)網(wǎng)保險業(yè)務的適用和銜接政策；二是規(guī)定互聯(lián)網(wǎng)保險業(yè)務經(jīng)營要求；三是規(guī)范互聯(lián)網(wǎng)保險營銷宣傳；四是規(guī)范互聯(lián)網(wǎng)保險售后服務；五是按經(jīng)營主體分類監(jiān)管，規(guī)定特殊業(yè)務規(guī)則”六是完善監(jiān)管政策和制度措施，做好政策實施過渡安排。中國銀保監(jiān)《推動財產(chǎn)保險業(yè)高質(zhì)量發(fā)展三年行動方案(2020—支持財產(chǎn)保險公司制定數(shù)字化轉(zhuǎn)型戰(zhàn)略，加大科技投入和智力支持，打造具備科技賦能優(yōu)勢的現(xiàn)代保險企業(yè)。鼓勵財產(chǎn)保險公司利用大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等科技手段，對傳統(tǒng)保險操作流程進行更新再造，提高數(shù)字化、線上化、智能化建設水平。2019年9月工信部《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》探索開展網(wǎng)絡安全保險服務。CyberSecurityInsurtechWhitePaper發(fā)布時間發(fā)布時間2022年6月協(xié)會求》(征求意見稿)求》(征求意見稿)2022年6月協(xié)會力評價指南》(征求意見稿)價程序。同時，標準中還包括附錄A,內(nèi)容為網(wǎng)2022年5月(征求意見稿)要求。2022年3月盟評估指引》弱性分別進行計算，最終得出一個具體的風險分風險分值與風險等級用于評判、衡量擬投保保險盟估實施指南》(征求意見稿)試圖通過建立一套風險評估指標、流程、內(nèi)容，風險分值，定量化地呈現(xiàn)擬投保系統(tǒng)網(wǎng)絡安全風險狀況，為后續(xù)開展網(wǎng)絡安全保險業(yè)務提供參考依據(jù)。網(wǎng)絡安全保險多元市場需求需求是產(chǎn)業(yè)發(fā)展及創(chuàng)新的首要生產(chǎn)力需求是產(chǎn)業(yè)發(fā)展及創(chuàng)新的首要生產(chǎn)力，網(wǎng)絡安全保險的發(fā)展則離不開其背后的多層次需求。聚焦成本收益、行業(yè)需求、商業(yè)場景需求等多角度，探究網(wǎng)絡安全保險市場需求本質(zhì)，以中微觀視角建立風險認知，為企業(yè)是否應該選擇網(wǎng)絡安全保險、開展風險控制工作提供前置視角。2.11網(wǎng)絡安全保險的需求本質(zhì)目前，在網(wǎng)絡安全空間的威脅與防御保持持續(xù)對抗、水漲船高的狀態(tài)下,企業(yè)無法通過某一個策略、產(chǎn)品或技術全面消除所有風險。因此，安全建設成為企業(yè)面臨的一項長期性、持續(xù)性工作。當前企業(yè)的防御視角以風險管理、風險控制為主，通過調(diào)整組織架構、完善管理機制、采購或部署安全產(chǎn)品構建綜合防御體系，最終形成涵蓋掃描、檢測、溯源處置的防御鏈條。然而，即便企業(yè)開展大量的安全建設工作以提升網(wǎng)絡安全成熟度，復雜且層出不窮的安全風險仍然無法窮舉、無法被徹底消除。面對殘余安全風險一定風險，并通過保險手段轉(zhuǎn)移風險。網(wǎng)絡網(wǎng)絡安全收益(網(wǎng)絡安全成熟度/網(wǎng)絡安全防護能力)術-緩釋/收0網(wǎng)絡安全投入企業(yè)網(wǎng)絡安全建設的本質(zhì)不僅僅是安全問題，也是成本收益問題。而網(wǎng)絡安全保險需求的本質(zhì)也不僅僅是風險轉(zhuǎn)移，還包含成本收益的衡量。風險值等次級損失，而安全建設是為了以更低的成本規(guī)全投入，縱坐標為網(wǎng)絡安全收益，以投資回報平衡線為基準，企業(yè)在網(wǎng)絡安全方面投入的增長呈現(xiàn)明顯的邊際效用遞減趨勢。當企業(yè)網(wǎng)絡安全建設成熟度達到較高的水準時，企業(yè)面對殘余性風險，可以選擇繼續(xù)加大網(wǎng)絡安全投入。雖然仍有一定效果，但從收益性價比而言已經(jīng)低于基準。這一階段往往是企業(yè)選擇網(wǎng)絡安全保險的一個比較適當?shù)臅r期，也說明當網(wǎng)絡安全投入已經(jīng)不足以抵消風險所帶來2.21風險視魚下的行業(yè)需求著大量已知和未知的網(wǎng)絡安全風險。安聯(lián)《2022年風險晴雨表》指出，勒索軟件攻擊、數(shù)據(jù)泄露、遠年網(wǎng)絡安全保險索賠報告》也提出，2021年下半年攻擊者對該公司投保人提出的平均贖金要求增加了20%,索賠率增加了10%,小型企業(yè)受到的影響尤為嚴重。業(yè)也遭受著更具針對性的行業(yè)攻擊。譬如電信互聯(lián)網(wǎng)行業(yè)普遍面臨DDoS攻擊、網(wǎng)絡釣魚、網(wǎng)絡黑灰產(chǎn)(撞庫)等風險，工業(yè)互聯(lián)網(wǎng)行業(yè)存在工控系統(tǒng)漏洞和設備后門、工業(yè)通信協(xié)議缺陷、供應鏈攻擊等風險，車聯(lián)網(wǎng)行業(yè)則遭受了車載信息交互系統(tǒng)漏行業(yè)難免門戶網(wǎng)站篡改風險、應用服務高危端口與安全漏洞和以勒索病毒為代表的惡意程序風險。若訪問、泄露、丟失等次級風險，引發(fā)業(yè)務中DDoS攻擊：電信和互聯(lián)網(wǎng)行業(yè)是遭受DDoS流量型DDoS攻擊(如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等)、應用層DDoS攻擊(如HttpGetFlood、CC攻擊等)、慢速DDoS攻擊以斷或停止，使正常用戶無法訪問，進而對目標企業(yè)的門檻逐漸降低，為電信互聯(lián)網(wǎng)行業(yè)帶來了更大的威脅。網(wǎng)絡釣魚攻擊的錨點。Facebook和Google在內(nèi)的諸多互聯(lián)網(wǎng)公司一直是網(wǎng)絡釣魚攻擊的重點目標。從魚叉式網(wǎng)絡釣魚到商業(yè)郵件欺詐，網(wǎng)絡釣魚的方式多樣且結(jié)合時事熱點，充分利用人性漏洞，引導錯誤操作。包括將發(fā)件人偽裝成受害者信任的個體或組織，將郵件主題設置為熱點事件或工資單等與受害者息息相關的內(nèi)容，將郵件附件植入病毒。一后門植入乃至系統(tǒng)入侵，使企業(yè)資產(chǎn)、內(nèi)部信息暴露在攻擊者的面前，最終造成企業(yè)內(nèi)部數(shù)據(jù)泄露，撞庫：撞庫是網(wǎng)絡黑灰產(chǎn)的一種類型，也是電信企業(yè)、電商等互聯(lián)網(wǎng)企業(yè)面臨的高風險之一。攻擊者通過弱密碼嗅探、拖庫、對高權限賬號的暴力破解等方式獲取數(shù)據(jù)。以拖庫為例，由于大多數(shù)人傾向于在多個站點上使用相同密碼，因此攻擊者首先通過編寫惡意程序?qū)Ψ招途W(wǎng)站發(fā)起攻擊，獲取大量用戶信息，再基于大量的用戶信息生成對應的字典表，從而對其他相關站點進行試探性登陸。-且用戶在其他站點上使用了相同密碼，這也意味著撞庫的成功攻擊者再次獲得更多的用戶信息。一且攻擊者通過撞庫方式獲得高價值的用戶信息，其很可能將實施二次危害，譬如破解金融賬戶，竊取或轉(zhuǎn)移受害者賬戶上的資金；出售用戶賬號、密碼及其他個人信息，使用戶遭受短信轟炸式營銷、電信詐騙；利用用戶賬號推廣非法業(yè)務、販賣違法物品、承接刷量業(yè)務等活動，從而進一步延長不法獲利鏈條，謀取更高額的非法收益。隨著黑灰產(chǎn)的產(chǎn)業(yè)鏈上下游分工精細、規(guī)模和技術提升，企業(yè)防御撞庫的難度也在增長。被撞庫的企業(yè)雖為受害者，但因其自身安全控制不到位卻(2)車聯(lián)網(wǎng)行業(yè)車載信息交互系統(tǒng)漏洞：車載信息交互系統(tǒng)安全與車機自身的網(wǎng)絡安全息息相關。由于部分車輛的車載網(wǎng)絡數(shù)據(jù)加密和消息驗證機制不完善，一且攻擊者發(fā)現(xiàn)系統(tǒng)漏洞、侵入車載網(wǎng)絡設備，就會針對漏洞進行跳板式攻擊、植入病毒程序，干擾車內(nèi)部件功能，造成車載信息交互系統(tǒng)的網(wǎng)絡癱瘓、硬件故障，并泄露車主信息和出行記錄，甚至影響車車載信息交互系統(tǒng)由遠程信息處理器(T-BOX)是車主行車時最為常用也較容易遭遇攻擊的車內(nèi)配件。通信安全風險：伴隨車輛連通性的極大擴展，這就為攻擊者利用車輛通信系統(tǒng)內(nèi)的身份認證或數(shù)據(jù)加密缺陷發(fā)起攻擊提供了更多機會。例如，車輛通信系統(tǒng)一般缺乏對信息發(fā)送者身份的驗證機制，難以抵御攻擊者偽造身份進行的動態(tài)劫持；若信息在通信過程中加密強度不足，很可能被攻擊者趁勢偽造、篡改、竊取，使汽車無法識別惡意軟件，從而破壞車輛通信系統(tǒng)，阻斷車主獲取正常服務的途徑。車輛的通信安全主要包括車內(nèi)通信安全和車外通信安全。前者是指遠程信息處理器與車內(nèi)主機的雙向數(shù)據(jù)傳輸安全，負責車輛狀態(tài)信息、控制信息等的傳輸，通過CAN總線、車載以太網(wǎng)等技術實現(xiàn)車輛內(nèi)部系統(tǒng)和設備間的通信；后者是指遠程信息處理器與云平臺間的雙向數(shù)據(jù)傳輸安全，通過車載診斷接口(OBD)、無線通信技術(WiFi4G/5G、C-V2X等)與外部實體和平臺進行信息交配套設施(App)安全：配套設施是指車企為用戶提供數(shù)字化服務、增強用戶粘性而配置的App程序。然而，智能網(wǎng)聯(lián)汽車端App普遍存在缺乏安全保護機制的問題。大部分車輛并未對未知或來源不明的App進行限制，甚至還保留了瀏覽器的隱藏入口，部分采取軟件防護機制的App也存在防護強度不夠的問題。攻擊者一且登錄App內(nèi)部，就可以輕松獲取用戶的個人信息、獲取到根用戶權限。這就導致攻擊者可以在后臺下載惡意軟件、破解通信協(xié)議、反編譯代碼、竊取用戶數(shù)據(jù)，使車主失去(3)工控行業(yè)工控系統(tǒng)漏洞和設備后門：在工業(yè)互聯(lián)網(wǎng)中，工控系統(tǒng)作為關鍵信息基礎設施的組成部分，已經(jīng)成為黑客攻擊的主要目標之一。傳統(tǒng)的工控系統(tǒng)在設計之初通常缺乏安全考慮，因此往往存在安全配置基線未加固、大量安全漏洞與后門存在等問題。伴隨工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)生產(chǎn)環(huán)境中的智能設備與IT網(wǎng)絡、辦公網(wǎng)絡互聯(lián)，原本封閉可信的工業(yè)生產(chǎn)環(huán)境被打破，安全風險進一步暴露。與此同時，一且生產(chǎn)控制層的信息安全風險被惡意利用，攻擊者極有可能以此為跳板，進行橫向移動，對核心生產(chǎn)數(shù)據(jù)造成破壞。工業(yè)通信協(xié)議缺陷：工業(yè)通信協(xié)議是工業(yè)互聯(lián)網(wǎng)中通訊雙方控制數(shù)據(jù)傳輸?shù)膮f(xié)議，用于實現(xiàn)數(shù)字設備與網(wǎng)絡之間的連接和信息傳遞，其主要有ModbusHART通信協(xié)議、MPI通信、PROFIBUS通信、工業(yè)以太網(wǎng)等眾多類型。隨著自動化和信息化的高度融合、物聯(lián)網(wǎng)的發(fā)展，工業(yè)通信協(xié)議在發(fā)布后往往被工業(yè)設施重要供應商廣泛應用，也常見于工業(yè)物聯(lián)網(wǎng)，然而隨之而來的是通信協(xié)議漏洞問題日益突一方面，部分工業(yè)通信協(xié)議本身就缺乏相應的安全標準，安全水平不高。網(wǎng)絡攻擊者只需掌握協(xié)議構造方式，通過簡單的網(wǎng)絡接入就可以實現(xiàn)對目標設備的任意數(shù)據(jù)篡改。另一方面，工業(yè)通信協(xié)議存在的安全缺陷促使攻擊者更為積極地挖掘協(xié)議漏洞，利用緩沖區(qū)溢出、拒絕服務等漏洞實現(xiàn)通信指令篡改及相應攻擊。伴隨工控網(wǎng)絡與外部網(wǎng)絡連接的進程加快，攻擊者也將更容易通過網(wǎng)絡探測、鎖定和攻擊目標，給工業(yè)互聯(lián)網(wǎng)企業(yè)帶來高額損失。供應鏈攻擊：在工業(yè)互聯(lián)網(wǎng)發(fā)展過程中，供應鏈是其中不可缺少的組織形態(tài)，通過資源整合，可以有效實現(xiàn)產(chǎn)品設計、采購、生產(chǎn)、銷售、服務等全過程的協(xié)同。與此同時，由于工業(yè)互聯(lián)網(wǎng)供應鏈的全球化態(tài)勢加強，工業(yè)互聯(lián)網(wǎng)企業(yè)的核心技術產(chǎn)品、核心部件、敏感數(shù)據(jù)被供應鏈上更多的產(chǎn)品與服務提供商所接觸，雖然通過權限設置、供應商安全審查等措施可以收斂一定風險，但供應鏈的全球化、精細化也使得企業(yè)的風險暴露面擴大。全球范圍內(nèi)工業(yè)互聯(lián)網(wǎng)供應鏈安全事件頻發(fā)，斷供、網(wǎng)絡攻擊等威脅加劇，工業(yè)互聯(lián)網(wǎng)企業(yè)面臨著嚴峻的現(xiàn)(4)醫(yī)療行業(yè)門戶網(wǎng)站篡改風險：在線醫(yī)療服務的普及正在推動醫(yī)療網(wǎng)站成為開展公共服務、展現(xiàn)機構形象的重要平臺載體。但由于應用組件版本較低，醫(yī)療機構網(wǎng)站往往存在安全等級低、安全隱患高的問題。其中，實施網(wǎng)站篡改、隱式植入非法信息這一攻擊手法較為常見。一旦醫(yī)療機構的網(wǎng)頁被篡改，可能被植入非正規(guī)醫(yī)院的隱性廣告、錯誤的醫(yī)護信息以及色情、博彩等非法信息，不僅給機構的形象帶來損害，還可能因為錯誤信息引導，給病患造成財產(chǎn)應用服務高危端口與安全漏洞：數(shù)字化、智能家庭住址等敏感個人信息，以及掛號記錄、檢查報告、繳費記錄等就醫(yī)診斷信息，具有高敏感性的特點。上述患者數(shù)據(jù)、診療數(shù)據(jù)、醫(yī)保數(shù)據(jù)等被保存在醫(yī)院醫(yī)療系統(tǒng)的數(shù)據(jù)庫、打印機等應用服務當中，風險。2.3I商業(yè)視角下的場景需求興風險場景為網(wǎng)絡安全保險帶來突破口。聚(1)場景1:車輛自動駕駛出行載體演變成為一個匯聚大量數(shù)據(jù)的信息化智能險場景更容易從虛擬網(wǎng)聯(lián)空間映射到物理世界，帶信息、車主手機信息等約200多項，其中不乏敏感程/瞬時行駛里程等因素，從而測算車輛存在的風險);后者則依賴于車輛所配置的網(wǎng)絡設備及系統(tǒng)，且車輛遭遇遠程網(wǎng)絡攻擊，不僅直接危害智能網(wǎng)聯(lián)汽車本身，造成車聯(lián)網(wǎng)系統(tǒng)失控，引發(fā)車輛在道路上失控沖撞，從而形成多米諾骨牌，造成其他車輛混亂、城市道路擁擠、公共設施破壞，更嚴重者還將造成車主或其他人員傷亡。此外，汽車服務器遭受入侵、防盜系統(tǒng)存在漏洞等風險場景也正在現(xiàn)實上演。除了針對智能網(wǎng)聯(lián)汽車，攻擊還極有可能發(fā)生于整車企業(yè)、車聯(lián)網(wǎng)信息服務提供商等相關企業(yè)建立完善的車聯(lián)網(wǎng)通信安全體系之外，提前一步做(2)場景2:工業(yè)安全生產(chǎn)是工業(yè)領域的神經(jīng)中樞。伴隨工業(yè)化和信息化融合趨勢，工業(yè)安全生產(chǎn)場景同時面臨傳統(tǒng)的工控安全問題與工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)。智能制造系統(tǒng)中的設CyberSecurityInsurtechWhitePoper2022網(wǎng)絡安全保險科技白皮書16備高度互聯(lián)協(xié)同，則進一步模糊了工控內(nèi)網(wǎng)與互聯(lián)網(wǎng)的邊界，擴大了攻擊面。由于工業(yè)控制系統(tǒng)被廣泛應用于電力、污水處理、石油和天然氣、交通運輸?shù)戎匾I域，使其往往成為APT組織、惡意團隊等的重點攻擊目標。2018年，Wannacry病毒變種侵入了全球最大的代工芯片制造商臺積電"的3個廠區(qū)，導致其停產(chǎn)3天；2020年，臺灣石油、汽油和天然氣公司CPC遭受攻擊，引發(fā)供應鏈風險，使得當?shù)丶佑驼疽欢葻o法使用電子支付，造成一定程度上的混亂；2021年，黑客入侵佛羅里達州奧爾德斯馬市的水處理設施系統(tǒng)，并試圖將氫氧化鈉(NaOH)的濃度從百萬分之100更改為百萬分之11100(人體若攝入高濃度氫氧化鈉將對身體造成嚴重損害)。聚焦工業(yè)生產(chǎn)環(huán)境，工業(yè)控制網(wǎng)絡與傳統(tǒng)IT信息網(wǎng)絡的不同之處在于，針對工控系統(tǒng)或工控網(wǎng)絡的入侵或使攻擊者直接控制到物理設備，可以直接造成生產(chǎn)設備、產(chǎn)品廢棄、停工停產(chǎn)等嚴重后果。與此同時，工控安全困境還在于漏洞頻出、管理體系與技術措施尚未有機結(jié)合、工控網(wǎng)絡防護措施不夠完善，使得生產(chǎn)、制造場景面臨諸多不可控、難以預見的風險，一旦觸發(fā)將導致巨大損失。綜合因素下，工控企業(yè)除了采購傳統(tǒng)的財產(chǎn)保險，保障資產(chǎn)安全，需要更密切關注因網(wǎng)絡安全事件引發(fā)的數(shù)字資產(chǎn)破壞、經(jīng)濟損失問題。(3)場景3:數(shù)字醫(yī)療診斷醫(yī)療機構的數(shù)字化轉(zhuǎn)型、醫(yī)療設備的智能聯(lián)網(wǎng)推動智慧醫(yī)療行業(yè)的發(fā)展，激發(fā)了遠程會診、三維輔助診療平臺等新型醫(yī)療服務與模式。與此同時，網(wǎng)絡安全風險不僅侵襲到智能醫(yī)療終端設備，同時也影響術前規(guī)劃、術中導航等關鍵場景。以醫(yī)療設備信息安全場景為例，醫(yī)院及衛(wèi)生健康機構不僅承擔著健康衛(wèi)生保障功能，也承載著眾多醫(yī)療診斷信息和患者信息。然而，由于一些醫(yī)院在建設之初沒有容納安全考量、醫(yī)療設備更新?lián)Q代慢、醫(yī)療設備軟件大多又具有封閉性，缺乏統(tǒng)一接入內(nèi)網(wǎng)的安全管理措施，因此，相關醫(yī)療健康機構的安全防護能力薄弱，一些沒有經(jīng)過允許的終端可以輕松繞過而接入機構內(nèi)部網(wǎng)絡，造成數(shù)據(jù)泄露等風險。另一方面，部分醫(yī)療健康機構加快推動"互聯(lián)網(wǎng)+醫(yī)療”,陸續(xù)上線智慧醫(yī)療、惠民醫(yī)療應用服務，但其同樣面臨復雜的風險場景。聚焦醫(yī)療數(shù)據(jù)互聯(lián)互通的場景，健康醫(yī)療機構為實現(xiàn)跨機構、跨地域的健康診療信息交互和醫(yī)療服務協(xié)同，在不同醫(yī)療機構和線上平臺之間實現(xiàn)電子病歷、檢查報告等數(shù)據(jù)的信息共享。然而，相關人員對相關敏感數(shù)據(jù)進行訪問瀏覽時，可能因為不同機構安全水平不一、人員安全意識差異，使得通過信息交互系統(tǒng)進行文件數(shù)據(jù)傳輸、存儲等操作時，因操作不當而出現(xiàn)安全事件。以醫(yī)療勒索事故場景為例，2020年德國-家醫(yī)院的醫(yī)療系統(tǒng)因遭受勒索軟件攻擊而癱瘓，這導致一患者因未得到及時救治而不幸身亡，這也是全球首例勒索軟件致死事故。整個醫(yī)療行業(yè)的網(wǎng)絡安全形勢不容樂觀，且因其直接關系到病患群體，相關安全風險需引起高度重視。2.41保險視角下的產(chǎn)品需求網(wǎng)絡安全保險規(guī)?；l(fā)展面臨的一個主要問題是企業(yè)在需求層面的差異化，除了上述提及的行業(yè)需求差異、場景需求差異，還存在不同類型的企業(yè)對安全的認知和具體需求存在差異的情形。因此，數(shù)據(jù)，近50%的企業(yè)已經(jīng)購買了網(wǎng)絡安全保險。其中，年收入超過10億美元的大型公司中，有57%有36%的企業(yè)選擇投保。不同規(guī)模的企業(yè)對于網(wǎng)絡安全保險的需求存在差距，但差距似乎并沒有預想的大。從安全需求的角度來看，中小微企業(yè)購買網(wǎng)絡安全保險是為了"助安全",大型企業(yè)購買網(wǎng)絡安此外，大型企業(yè)往往面臨著影響范圍廣泛的第三方責任風險，更傾向保險公司提供額外的應急響應資因此，大型企業(yè)對網(wǎng)絡安全保險產(chǎn)品的需求主要是避網(wǎng)絡安全黑天鵝事件帶來的巨額損失，為其安全小微企業(yè)數(shù)字安全報告》的數(shù)據(jù)顯示，近半數(shù)中小微企業(yè)于2021年遭受過網(wǎng)絡攻擊，超過九成的企業(yè)長期被黑客攻擊而不能獨立應對，超八成的勒索攻擊針對1000人以下規(guī)模的中小微企業(yè)。中小微企業(yè)由于自身體量小、資金、技術和人手有限，其安全預算難以支撐完備的安全方案落地，導致其在網(wǎng)絡攻防對抗中處于一定弱勢地位。與此同時，攻擊者更"青睞于"中小企業(yè)，相比針對大型企業(yè)所需要的更復雜的攻擊策略與更膠著持久的攻擊鏈路，瞄準中小微企業(yè)的攻擊門檻更低，能夠逐個攻破、以量取勝，而主要攻擊方式則包括惡意軟件入侵、勒索攻擊、系列漏洞利用和網(wǎng)絡釣魚。部分中小微企業(yè)在遭遇入侵攻擊后并不知情，或是在長達十幾天或數(shù)月后才意識到侵害。在過長的反應期中，中小于購買網(wǎng)絡安全保險，使用更低的成本獲得保額較低但配備了安全服務的網(wǎng)絡安全保單，從而通過第科技助推多產(chǎn)業(yè)深度融合風險和需求是網(wǎng)絡安全保險產(chǎn)業(yè)的驅(qū)動因素，網(wǎng)絡安全產(chǎn)風險和需求是網(wǎng)絡安全保險產(chǎn)業(yè)的驅(qū)動因素，網(wǎng)絡安全產(chǎn)業(yè)和網(wǎng)絡安全保險產(chǎn)業(yè)的融合創(chuàng)新則為產(chǎn)品落地提供了未來方向。在產(chǎn)品設計、服務模式輸出方面,網(wǎng)絡安全保險的發(fā)展無法脫離網(wǎng)絡安全服務、技術的支撐。因此，促進國內(nèi)雙產(chǎn)業(yè)的融合，將進一步豐富“網(wǎng)絡安全即服務”的業(yè)態(tài)，同時有效推動網(wǎng)絡安全保險產(chǎn)業(yè)創(chuàng)新，形成多產(chǎn)業(yè)融合、互贏的發(fā)展局面。3.1I產(chǎn)業(yè)融合發(fā)展形態(tài)在網(wǎng)絡安全保險的完整業(yè)態(tài)中，包含網(wǎng)絡安全企業(yè)、保險科技公司、第三方風險管理技術機構三個角色。網(wǎng)絡安全企業(yè)采取網(wǎng)絡安全技術與服務，協(xié)助保險公司為客戶方提供全面風險管理方案；保險科技公司針對場景化網(wǎng)絡安全風險，協(xié)助保險公司基于數(shù)據(jù)清洗整合優(yōu)勢，優(yōu)化風險定價模型、構建全流程保險業(yè)務體系；第三方風險管理技術機構則將網(wǎng)絡安全企業(yè)的安全技術能力與保險科技公司的科技能力進行有機的整合，逐漸成為保險生態(tài)中關鍵一環(huán)。(1)解決方案：多業(yè)態(tài)融合網(wǎng)絡安全保險產(chǎn)業(yè)既脫胎于保險，又與網(wǎng)絡安全產(chǎn)業(yè)息息相關。目前，兩個產(chǎn)業(yè)的融合在網(wǎng)絡安全保險業(yè)務模式上體現(xiàn)為3個階段性模式：1.網(wǎng)絡安全產(chǎn)品的附贈保單。網(wǎng)絡安全企業(yè)銷售網(wǎng)絡安全產(chǎn)品后，附贈對應網(wǎng)絡安全產(chǎn)品的責任保險，借助保險公司轉(zhuǎn)嫁風險；2.網(wǎng)絡安全服務+網(wǎng)絡安全保險保單。網(wǎng)絡安全企業(yè)提供風險評估、風險監(jiān)測、應急響應等技術手段，保險公司主導保險產(chǎn)品開發(fā)、風險損失量化及核保定價等工作。技術與業(yè)務交融，對風險進行綜合管控；3.網(wǎng)絡安全技術/服務+網(wǎng)絡安全保險科技+網(wǎng)絡安全保險保單。網(wǎng)絡安全保險科技企業(yè)與保險公司共同設計網(wǎng)絡安全保險方案，網(wǎng)絡安全保險科技企業(yè)將網(wǎng)絡安全威脅庫與保險定價模型、承保范圍相結(jié)合，依托大數(shù)據(jù)整合、分析能力形成網(wǎng)絡安全量化風險評估模型、自動化定價能力。同時，網(wǎng)絡安全保險科技企業(yè)選擇自研或與網(wǎng)絡安全企業(yè)合作提供網(wǎng)絡安全產(chǎn)品，為企業(yè)提供主動、動態(tài)風險防御服務。在出險、理賠階段，則通過自動化理賠配套服務，幫助企業(yè)降低風險事件損害的同時，對于安全風險帶來的經(jīng)濟損失通過理賠方式有效轉(zhuǎn)移。上述三個網(wǎng)絡安全保險業(yè)務模式依次體現(xiàn)了網(wǎng)絡安全產(chǎn)業(yè)與網(wǎng)絡安全保險產(chǎn)業(yè)的融合深度，由淺入深，由產(chǎn)品粗放式綁定向產(chǎn)品服務深度交融轉(zhuǎn)變。與此同時，由于網(wǎng)絡安全保險不同于傳統(tǒng)的物理承保的險種，其通常具有虛擬性，且不受地域限制這也為產(chǎn)業(yè)融合降低了技術門檻，加速了服務耦合。圍繞多層次的市場需求，網(wǎng)絡安全保險的產(chǎn)品與服務進一步細化。目前，保險公司和網(wǎng)絡安全保險科技企業(yè)面向不同行業(yè)與場景的差異化網(wǎng)絡安全風險管理需求，全方位開發(fā)網(wǎng)絡安全保險產(chǎn)品體系豐富網(wǎng)絡安全保險細分險種，提供解決方案。其中網(wǎng)絡安全保險服務基本涵蓋網(wǎng)絡安全風險評估、漏洞掃描服務、網(wǎng)絡安全意識培訓、滲透測試服務、網(wǎng)絡安全加固服務、網(wǎng)站安全監(jiān)測、網(wǎng)絡資產(chǎn)測繪服務、動態(tài)防御服務、威脅情報服務、代碼安全審計服務、安全眾測服務、網(wǎng)絡安全應急響應、安全事件取證服務、數(shù)據(jù)安全恢復服務。這些服務主要由網(wǎng)絡安全公司、網(wǎng)絡安全保險科技企業(yè)聯(lián)合提供，針對性圍繞保險需求進行組合，從而有效配合保險公司核保、承保、理賠。風險量化保網(wǎng)絡安全風險監(jiān)測中心WEB應用安全同關100萬TPS高并發(fā)支持20000·網(wǎng)站安全防護日均欄截攻擊300萬次可用性保證999999%0代碼應用安全加固數(shù)據(jù)庫安全解決方案免開發(fā)(SDK/代理)模式，0100%滿足商密要求兼容10+主流關系型數(shù)據(jù)庫能損耗<0.01%智能數(shù)據(jù)防泄現(xiàn)方案關鍵教感數(shù)據(jù)識別率>98%對比國外產(chǎn)品采購成本<60%數(shù)據(jù)完全分享<1分鐘等保合規(guī)一體化方案一次投入，N個云覆蓋首次則評通過率100%量快40天完或認證比傳統(tǒng)方案便直50%7x24小時特續(xù)安全服務金融級數(shù)據(jù)庫安全保護加密，脫敏審計一體化多種接入方式，低改造成本一體化辦公數(shù)據(jù)安全治理教感文件高效審批及安全分事以眾安保險為例，其以“保險+科技+安全”創(chuàng)新模式，為企業(yè)提供基于網(wǎng)絡安全保險的主動安全合規(guī)、主動風險管理、主動安全運營等一站式服務。服務涵蓋開展網(wǎng)絡安全核查、風險評估、風險態(tài)勢監(jiān)測、風險提示、責任劃分、定損評估及理賠等關鍵環(huán)節(jié)，具有投保模塊化、服務系統(tǒng)化、理賠快速化等特點。同時，面向企業(yè)打造了以技術服務能力為支撐的網(wǎng)絡安全運營中心，依托安全整改建設、風險量化評估、網(wǎng)絡安全評估、風險實時監(jiān)控、應急恢復響應、公關訴訟六項技術服務模塊，提供事前預防，事中監(jiān)測，事發(fā)響應及事后處理的全流程定制服務。目前，聚焦企業(yè)核心需求，眾安保險提供網(wǎng)絡安全保險(中小企業(yè)版)"、"網(wǎng)絡安全保險(信息系統(tǒng)版)"、"網(wǎng)絡安全保險(綜合定制版)"等標準產(chǎn)品。此外，還通過標準產(chǎn)品+定制化的解決方案",構建多層次的網(wǎng)絡安全保險產(chǎn)品矩陣。標準保險產(chǎn)品企業(yè)網(wǎng)絡安全保險(中小企業(yè)版)企業(yè)網(wǎng)絡安全保險(信息系統(tǒng)版)企業(yè)網(wǎng)絡安全保險(綜合定制版)(可選)承保內(nèi)容營業(yè)中斷損失√網(wǎng)絡勒索數(shù)據(jù)安全責任√√數(shù)據(jù)泄露責任√√數(shù)據(jù)修復費用√√公關費用√√通知費用防Ddos攻擊費用√抗辯費用√√通報監(jiān)測費用網(wǎng)絡安全風險預防管理服務無感知風險評估√網(wǎng)絡安全在線專家咨詢服務網(wǎng)絡勒索危機顧問服務事故溯源&負面影響評估服務定期風險隱患排查Web網(wǎng)頁防篡改監(jiān)測√Web網(wǎng)頁木馬與暗鏈監(jiān)測Web安全測試與加固√滲透測試服務網(wǎng)絡安全人才培訓√高級威脅監(jiān)測圖3-2眾安保險-產(chǎn)品示例圖在網(wǎng)絡安全保險解決方案的設計方面，保險公司一般與第三方進行合作，形成優(yōu)勢互補。眾安保險通過與科技公司(眾安科技)達成戰(zhàn)略合作，為上述“網(wǎng)絡安全技術/服務+網(wǎng)絡安全保險科技+網(wǎng)在承保范圍方面，眾安保險基本涵蓋主流安全風險造成的財產(chǎn)損失與第三方責任等；在配套服務方面，眾安保險與眾安科技在保險的各個環(huán)節(jié)形成深度合作，由眾安科技基于網(wǎng)絡安全技術及服務能力，提供Guardlt、LOCKet等系列自研安全產(chǎn)品作為設備支撐，通過ARMS主動風險管理平臺全流程風險管理，再輔以配套保險服務能力為網(wǎng)絡安全保險產(chǎn)品提供科技支撐能力。(2)承保范圍：新邊界拓展2021年，我國網(wǎng)絡安全保險保費規(guī)模預計在7080萬元左右，較2020年增長3.2倍以上。從服營業(yè)中斷損失網(wǎng)絡安全責任風險處置費用營業(yè)中斷損失網(wǎng)絡安全責任風險處置費用務機構來看，約20家中資保險公司具備網(wǎng)絡安全保險相關產(chǎn)品和承保能力，備案了超過50款網(wǎng)絡安全保險產(chǎn)品。從產(chǎn)品類型來看，企財險接近半數(shù)，責任保險共有10余款，還有綜合保險、應急響應專項險等其他類型險種。從服務模式來看，國內(nèi)保險公司積極嘗試與網(wǎng)絡安全專業(yè)技術機構開展合作，融合保險機制與網(wǎng)絡安全技術服務，基本形成網(wǎng)絡安全保險產(chǎn)品序列。目前我國主流網(wǎng)絡安全保險的承保范圍包括網(wǎng)絡安全財產(chǎn)損失、網(wǎng)絡安全責任損失和其他損失，承保邊界進一步拓展，為企業(yè)提供了更豐富、更細化的投保選擇。網(wǎng)絡安全財產(chǎn)損失，是指由于投保人因網(wǎng)絡安全事件導致的損失和費用，包括營業(yè)中斷損失、網(wǎng)絡勒索損失、網(wǎng)絡欺詐損失、數(shù)據(jù)修復費用、計算機修復和更換損失。網(wǎng)絡安全責任損失，是指投保人因網(wǎng)絡安全事件引發(fā)的對第三方(受影響個人或機構)的法定賠償責任所導致的損失，包括網(wǎng)絡安全責任、數(shù)據(jù)/信息泄露責任、外包商數(shù)據(jù)安全/信息泄露責任。其他損失，是指除網(wǎng)絡安全財產(chǎn)損失、網(wǎng)絡安全責任損失外，投保人為處理網(wǎng)絡攻擊事件所支出的其他費用，包括風險處置費用、咨詢服務費用、網(wǎng)絡安全等級評定費用、公關國內(nèi)主流網(wǎng)絡安全保險的承保范圍網(wǎng)絡安全財產(chǎn)損失(第一方損失)網(wǎng)絡安全責任損失(第三方損失)其他因網(wǎng)絡安全事件造成的收入損失或利潤損失以及增加的運營成本等，營業(yè)中斷進一步的影響還包括降低運營的有效性和效率導致服務或產(chǎn)品的延遲交付投保人因網(wǎng)絡安全事件，導致其合作伙伴或所服務的用戶發(fā)生經(jīng)濟損失，投保人需要承擔第三方經(jīng)濟損失的賠償責任。如因網(wǎng)絡安全事件使得服務客戶的正常生產(chǎn)制造、內(nèi)外部運營中斷并產(chǎn)生收入損失，第三方合作伙伴或客戶提出的經(jīng)濟賠償投保人發(fā)生網(wǎng)絡安全事件后，聘請服務機構針對安全事件進行應急響應所產(chǎn)生的處置費用網(wǎng)絡勒索損失投保人因遭受網(wǎng)絡勒索后，所產(chǎn)生的實際損失和相關費用，包括調(diào)查取證、數(shù)據(jù)恢復、談判，以及所產(chǎn)生的其他損失等費用注：根據(jù)中國互聯(lián)網(wǎng)金融協(xié)會、中國銀行業(yè)協(xié)會、中國支付清算協(xié)會發(fā)布的《關于防范虛擬貨幣交易炒作風險的公告》,國內(nèi)保險公司對網(wǎng)絡勒索案件的損失進行承保時，不得承保與虛擬貨幣相關的保險業(yè)務或?qū)⑻摂M貨幣納入保險責任范圍，不得直接或間接為客戶提供其他與虛擬貨幣相關的服務。數(shù)據(jù)/信息泄露責任投保人因網(wǎng)絡安全事件，導致其所掌握的用戶數(shù)據(jù)泄露(包括個人身份信息或客戶敏感信息等),而需要承擔的賠償責任、相關法咨詢服務費用保險事故發(fā)生時所產(chǎn)生的合理必要的咨詢服務費用，例如投保人與合規(guī)顧問溝通以遵守網(wǎng)絡安全、個人信息保護等法規(guī)的咨詢律訴訟等費用費用CyberSecurityInsurtechWhitePoper2022網(wǎng)絡安全保險科技白皮書22表3-1國內(nèi)主流網(wǎng)絡安全保險的承保范圍網(wǎng)絡欺詐損失外包商數(shù)據(jù)安全信息泄露責任遭遇網(wǎng)絡攻擊導致信息泄露，被泄露信息主體因此向投保人索賠，投保人可能承擔的網(wǎng)絡安全等級網(wǎng)絡安全等級評定費用投保人遭遇網(wǎng)絡安全事件后，原有的認證評級水平受到負面影響，而產(chǎn)生的重新評級認證的費用數(shù)據(jù)修復費用投保人因遭受惡意攻擊，導致核心數(shù)據(jù)丟失、損毀或被篡改，由此引發(fā)的數(shù)據(jù)恢復費用公矣費用投保人發(fā)生信息丟失、泄露等網(wǎng)絡安全事件后，投保人社會聲譽減損而所產(chǎn)生的名譽恢復費用投保人因遭遇勒索病毒攻擊、鳥更換供應鏈攻擊或其他網(wǎng)絡安全事件后影響計算機系統(tǒng)正常使用鳥更換,請律師等應對訴訟的費用媒體侵權賠償投保人因其在線媒體內(nèi)容(包括網(wǎng)站、博客和社交媒體等)不當CyberSecurityInsurtechWhitePaper232022網(wǎng)絡安全保險科技白皮書233.21產(chǎn)業(yè)鏈及廠商生態(tài)現(xiàn)狀表3-2網(wǎng)絡安全保險產(chǎn)業(yè)鏈產(chǎn)業(yè)鏈結(jié)構層產(chǎn)業(yè)角色中游解決方案層，提供網(wǎng)絡安全保險服務及解決方案保險科技公司、網(wǎng)絡安全廠商、其他第三方風險管理技術機構、安全事件定責定損機構下游應用層，提供網(wǎng)絡安全保險保單保險公司、保險經(jīng)紀公司門檻高，網(wǎng)絡安全風險復雜性明顯，在網(wǎng)絡安全產(chǎn)業(yè)鏈中，第三方風險管理技術服務機構逐漸成為整個生態(tài)中的關鍵角色。以網(wǎng)絡安全廠商、保險科技公司為代表的第三方風險管理技術服務機構承擔風險評估相關能力，借助其數(shù)據(jù)、技術優(yōu)勢鏈接保險供需雙方，在保險流程中發(fā)揮重要作用。此外，在3.3產(chǎn)業(yè)融合發(fā)展挑戰(zhàn)全球網(wǎng)絡安全保險的快速上升期在近10年，我國保險公司陸續(xù)開始提供網(wǎng)絡安全保險服務則是在2017年前后。目前，我國網(wǎng)絡安全保險進入快速發(fā)展階段，正在以城市為單位發(fā)展區(qū)域試點、樹立標方面應用場景豐富，具備率先發(fā)展網(wǎng)絡安全保險的基礎條件。作為全球金融、經(jīng)濟中心，上海不僅擁有大量關鍵基礎設施、重要信息系統(tǒng)和海量用戶資保險公司為投保企業(yè)提供保單之前，上游和中游的各類市場主體也將根據(jù)網(wǎng)絡安全保險的特殊屬性，不僅在風險管理方面，還在網(wǎng)絡安全事件數(shù)據(jù)、網(wǎng)未來，仍然需要多元主體聚集，整合各方優(yōu)勢資源，深化跨行業(yè)合作，共同完善網(wǎng)絡安全保險的迭代、生態(tài)企業(yè)的涌現(xiàn)，使得這一行業(yè)亟待突破，與此同時，我國在網(wǎng)絡安全保險產(chǎn)業(yè)融合發(fā)展、產(chǎn)品及服務的市場化探索及發(fā)展過程中，存在的相應源，不論是針對特定風險場景的網(wǎng)絡安全保險還是風險量化評估、定價核保、理賠定損等，這些能力CyberSecurityInsurtechWhitePoper2022網(wǎng)絡安全保險科技白皮書24基礎。當前網(wǎng)絡安全保險行業(yè)所需求的數(shù)據(jù)包括：①保險數(shù)據(jù)，即相關行業(yè)、投保企業(yè)歷史在網(wǎng)絡安全領域的投保數(shù)據(jù)、理賠數(shù)據(jù)；②風險數(shù)據(jù)，即相關行業(yè)面臨的主要網(wǎng)絡安全風險挑戰(zhàn)、投保企業(yè)當前切實存在的風險點、過往發(fā)生的網(wǎng)絡安全事件信息以及風險造成的損失數(shù)據(jù)等；③公開數(shù)據(jù)，即在公開網(wǎng)絡上可以查詢和獲取的事件與數(shù)據(jù)。然而，在此背景下，網(wǎng)絡安全保險行業(yè)卻面臨數(shù)據(jù)的信息披露機制不足的問題。一方面，伴隨國內(nèi)網(wǎng)絡安全事件信息披露機制不足、信息不透明導致公開數(shù)據(jù)有限、風險數(shù)據(jù)不足、整體數(shù)據(jù)不完整或質(zhì)量較差，使得現(xiàn)有數(shù)據(jù)無法側(cè)寫投保人的風險畫像；另一方面，保險公司的既往保險數(shù)據(jù)與網(wǎng)絡安全公司所掌握的風險數(shù)據(jù)存在行業(yè)壁壘，導致保險公司無法獲取跨行業(yè)數(shù)據(jù)，使得數(shù)據(jù)無法有效共享和利用，繼而無法發(fā)揮價值。(2)行業(yè)標準：行業(yè)規(guī)范明顯缺乏行業(yè)標準規(guī)范體系是擴大市場規(guī)模的重要前提，《網(wǎng)絡安全保險服務規(guī)范》等標準規(guī)范的發(fā)布意味著網(wǎng)絡安全保險正在走向規(guī)范化。然而，網(wǎng)絡安全保險出于所承保風險的復雜性、風險場景的多樣性，在行業(yè)規(guī)范、產(chǎn)品標準等方面仍存在挑戰(zhàn)，需要加快推動完善規(guī)范體系。由于風險場景、業(yè)務需求的差異化，網(wǎng)絡安全保險難以制定通用標準類產(chǎn)品，市面上網(wǎng)絡安全保險在保單術語方面大多存在差異，針對投保企業(yè)的風險量化評估、索賠依據(jù)判斷也缺乏標準參考，這些問題為提升網(wǎng)絡安全保險社會認知、優(yōu)化客戶服務、打造示范效應行業(yè)案例帶來一定障礙。(3)產(chǎn)業(yè)協(xié)同：產(chǎn)業(yè)鏈空缺亟待填補網(wǎng)絡安全保險的理想產(chǎn)業(yè)生態(tài)角色應當涵蓋保險數(shù)據(jù)中介、大數(shù)據(jù)/人工智能等技術服務提供商、網(wǎng)絡安全廠商；保險科技公司、第三方風險管理技術機構、安全事件定責定損機構；保險公司、保險經(jīng)紀公司。目前，網(wǎng)絡安全保險的產(chǎn)業(yè)鏈存在角色缺失、角色不明晰等現(xiàn)象，從而使得網(wǎng)絡安全保險在產(chǎn)業(yè)化發(fā)展的過程中受到一定影響。譬如國內(nèi)缺乏定責定損缺乏專門機構組織，使得網(wǎng)絡安全事件判定模糊；缺乏數(shù)據(jù)源提供商，使得不同行業(yè)、不同領域的數(shù)據(jù)無法互通互利，為網(wǎng)絡安全保險產(chǎn)品設計及產(chǎn)業(yè)發(fā)展造成基礎設施層的阻礙，同時也一定程度上影響了網(wǎng)絡安全產(chǎn)業(yè)和網(wǎng)絡安全保險產(chǎn)業(yè)融合。(4)市場態(tài)度：社會認知有待提高從市場主體來看，部分市場主體對于發(fā)展網(wǎng)絡安全保險已經(jīng)形成一定共識。從社會層面來看，一些中小企業(yè)對于網(wǎng)絡安全保險的認知與接受度則還有待提高。圍繞網(wǎng)絡安全保險的認知不足導致企業(yè)對于投保存在擔憂，包括保險機構囿于自身業(yè)務累計，能否完全知曉并判斷當前不斷演變的網(wǎng)絡安全威脅，保險機構如何根據(jù)客戶不同類型安全成熟度及不同業(yè)務風險類型提供合適的產(chǎn)品等。造成這一問題的因素可能是網(wǎng)絡安全保險的市場推介力度不足、網(wǎng)絡安全保險的市場占有率不高、標桿案例缺乏等，因此導致部分企業(yè)對網(wǎng)絡安全保險持觀望態(tài)度?？萍贾抢L網(wǎng)絡安全保險新業(yè)態(tài)在網(wǎng)絡安全保險的新階段探索中在網(wǎng)絡安全保險的新階段探索中，無法繞開3個關鍵詞：保險、安全、科技。當保險公司和網(wǎng)絡安全企業(yè)無法通過簡單的產(chǎn)品與服務撮合的方式，升級網(wǎng)絡安全保險業(yè)態(tài)、解決行業(yè)發(fā)展面臨的瓶頸問題，科技就在其中起到了粘合、塑造、再耦合的作用。著眼現(xiàn)階段的創(chuàng)新，展望未來發(fā)展，科技將賦能網(wǎng)絡安全保險，智繪全新業(yè)態(tài)。基于公開信息，本報告案頭調(diào)研了國內(nèi)外8家網(wǎng)絡安全保險科技企業(yè)。調(diào)研對象均為成立5年及以上的大型網(wǎng)絡安全保險科技企業(yè)。根據(jù)公開信息，這些網(wǎng)絡安全保險科技企業(yè)基本具備的產(chǎn)品或服務能力包括：核保階段的風險評估、保險定價、整改建議，承保階段的風險監(jiān)測，出險/理賠階段的事故管理(響應/數(shù)據(jù)恢復/專家咨詢)、理賠服務。Guidewire-/13.5億美元24億美元35億美元/67億美元核保服多風險監(jiān)測其營其營銷投保企業(yè)保險類公司/B輪；約億元(2021)B輪；約億元(2021)1.85億美元1.85億美元系統(tǒng)風險監(jiān)測系統(tǒng)風險監(jiān)測可視化保險經(jīng)紀人保險經(jīng)紀人3500萬美元被Guidewire/8000萬美元投保企業(yè)風險狀況等數(shù)據(jù)源，對企業(yè)進行風險梳理與評估，一般以風險評估報告或安全評級結(jié)果為展示形態(tài)。以眾安科技為例，其基于眾安保險的海量理賠數(shù)據(jù)及公開情報數(shù)據(jù)形成風險數(shù)據(jù)庫，并根據(jù)行業(yè)監(jiān)測和風險動態(tài)對風險數(shù)據(jù)庫反復更新迭代。在風險數(shù)據(jù)庫的支撐下，得以構建風險評估模型，并通過資產(chǎn)風險核查、資產(chǎn)測繪、漏洞掃描、風險評估問卷等系列評估手段，對投保企業(yè)進行全面的風險摸排，進而形成風險評估結(jié)果。值得注意的是，納為企業(yè)風險評估的參考因素。保險定價是以風險量化、定級為參考基準，將風險結(jié)果轉(zhuǎn)化為核保依據(jù)與定價參考，實現(xiàn)自動化精準定價。不過，網(wǎng)絡安全保險的定價模型一般需要結(jié)合本國或本地區(qū)的風險數(shù)據(jù)，考慮到不同地區(qū)在法律法規(guī)、網(wǎng)絡安全成熟度水平、監(jiān)管水平上存在較大差異，網(wǎng)絡風險所呈現(xiàn)的損失形態(tài)也存在區(qū)別，因此網(wǎng)絡安全保險科技企業(yè)在設置定價模型的過程中，需要考慮到對應的風險因子。風險監(jiān)測是網(wǎng)絡保險科技服務的一部分，其有別于企業(yè)原有的安全風險監(jiān)測預警系統(tǒng)，更聚焦于承保風險狀況，并基于保險視角對承保范風險相矣的流量、日志、報警信息進行實時監(jiān)測和記錄。大多數(shù)風險監(jiān)測服務無需額外收費，且以SaaS模式部署。如果企業(yè)出于管控考慮，也可以不額外部署網(wǎng)絡安全保險科技企業(yè)提供的風險監(jiān)測系統(tǒng)，但也可能造成最后理賠階段，由于對承保風險的記錄和分析缺失或遺落，導致理賠依據(jù)不足的可能性。溯源追蹤、數(shù)據(jù)恢復、專家咨詢等服務。目前網(wǎng)絡安全保險科技企業(yè)更傾向于與網(wǎng)絡安全公司合作，引入第三方安全能力，協(xié)助投保企業(yè)完成7x24小時理賠是由保險公司根據(jù)保單進行賠付，而定責定損等理賠配套服務則由網(wǎng)絡安全保險科技企業(yè)提供。出險不一定意味著理賠，只要在確定責任、明確損失、確認相應損失屬于承保范圍后，才會進入除了圍繞保險各個流程環(huán)節(jié)的配套服務，部分網(wǎng)絡安全保險科技企業(yè)會提供針對保險經(jīng)紀人/經(jīng)紀商的專業(yè)分銷平臺。通過幫助保險公司構建網(wǎng)絡安全保險銷售工具，提高網(wǎng)絡安全保險的銷售效率。具體形式即保險科技公司基于多源數(shù)據(jù)構建自有企業(yè)風險數(shù)據(jù)庫，保險經(jīng)紀人可以通過工具/平臺快速了解對應企業(yè)的風險情況，并獲得針對該企業(yè)的保險方案，涵蓋推薦承保范圍、保險定價等信息。通過自動化的核保、即時報價和快速響應，使得保險科技公司為保險經(jīng)紀商和投保人、保險公司之間構建更快捷的承保通道。(1)案例1:SaaS提供商的數(shù)據(jù)泄露隱憂SaaS提供商的安全痛點：益于低成本和便捷部署的優(yōu)勢，SaaS(軟件即服務)服務已成為訪問重要業(yè)務應用程序的主要手段。與任何企業(yè)一樣，SaaS提供商同樣會遭受惡意攻擊與安全風險。不同的是，其一且遭受攻擊，往往會“殃及池魚”,引發(fā)案例背景：北京締聯(lián)科技有限公司作為一家典型的SaaS提供商，專注于企業(yè)費用管理和發(fā)票管理通行費電子發(fā)票管理系統(tǒng)等SaaS產(chǎn)品，為不同行業(yè)企業(yè)提供專業(yè)財稅服務。由于發(fā)票在企業(yè)經(jīng)營過程中是保證票、庫、賬、款、稅一致的紐帶，也是唯一商事憑證，因此，締聯(lián)科技服務的大型企業(yè)十分重視發(fā)票數(shù)據(jù)存儲的安全性。一且出現(xiàn)網(wǎng)絡安全事很可能面臨巨額賠償?shù)认嚓P風險，影響品牌信譽和業(yè)務進展，后果不堪設想。眾安保險對締聯(lián)科技的數(shù)據(jù)保密責任、數(shù)據(jù)安全責任承保。不僅對于發(fā)生在保單期限內(nèi)的意外事故導致的數(shù)據(jù)庫泄露以及相關客戶損失進行保單范圍內(nèi)供相應服務。承保前，基于數(shù)據(jù)科學開展數(shù)字資產(chǎn)風險核查、網(wǎng)絡安全資產(chǎn)測繪、資產(chǎn)漏洞探測、數(shù)字資產(chǎn)健康性評估等一系列風險評估，同時定制網(wǎng)絡安全風險評估問卷，完成締聯(lián)科技內(nèi)部管理和運營安全風控的全面摸排，此外在參考等保測評結(jié)果的基礎上，評估內(nèi)部系統(tǒng)的網(wǎng)絡安全。承保后，對承保風險進行綜合管控，通過采集關鍵安全日志，對企業(yè)的日常運維操作合規(guī)性、網(wǎng)絡安全健康度進行實時監(jiān)測。發(fā)生安全事故時，協(xié)助締聯(lián)科技開展網(wǎng)絡安全應急事件響應和排查，最大程度降低因網(wǎng)絡威脅導致的損失。基于完整的解決方案鏈接，協(xié)事后響應與補償?shù)臄?shù)據(jù)安全風險管理體系，形成風(2)案例2:勒索攻擊下的“安全困境”擊已成為困擾大多數(shù)企業(yè)的一大風險。雖然是否支付勒索贖金仍然是一個存在爭議性的問題，但勒索機系統(tǒng)和數(shù)據(jù)(包括公司客戶的數(shù)據(jù))在一場勒索同樣未能幸免。當勒索軟件攻擊者索要高達25比特幣(相當于約20萬美元)的贖金時，該公司基本無法負擔損失。然而，該公司此前通過網(wǎng)絡安全保險案例保單的承保范圍：網(wǎng)絡安全財產(chǎn)損失，涵蓋業(yè)務中斷損失，取證和數(shù)據(jù)恢復成本以及網(wǎng)絡勒索本身造成的直接損失。此外，該投保公司還從險。取得聯(lián)系，從而診斷損壞并最大限度地減少進一步保公司進行數(shù)據(jù)解密。在不到24小時內(nèi)，SIRT與特幣勒索威脅，還解密了公司文件。最后通過取證工作，幫助公司防范未來的攻擊。從入侵到問題解決的總時間僅為48小時。4.2I網(wǎng)絡安全保險前沿科技應用技術應用VR/AR技術數(shù)字孿生技術自然語言處理類模型計算機視覺模型龐大的數(shù)字信息資源，將為風險運營與管理提供啟示動態(tài)更新的風險庫風險概率描述區(qū)塊鏈保險+安全+科技風險危害描述數(shù)據(jù)科學利用科學方法、流程、算法和系統(tǒng)從數(shù)據(jù)中提取深層價值風險-評估模型風險-定價模型風險-定責模型風險-定損模型風險-定責模型網(wǎng)絡安全保險的科技創(chuàng)新點重點圍繞風險宇宙(1)風險宇宙風險宇宙是龐大的數(shù)字信息資源聚合，通過對風險信息的收集、匯總、分類梳理，將為整體風險運營與管理提供啟示。目前網(wǎng)絡安全保險領域的風險宇宙的落地形態(tài)最常見于風險庫/風險列表，通過動態(tài)更新的風險庫展示特定領域、特定企業(yè)的風險狀態(tài)，主要包括風險頻率及風險危害程度描述。在網(wǎng)絡安全保險的風險宇宙中，不僅涵蓋攻擊風險，也酒蓋企業(yè)其他經(jīng)營性風險，通過對風險庫進行不同顆粒度的劃分，形成圍繞行業(yè)、企業(yè)及場景等不同維度的風險描述，較粗的層次決定了風險庫可以覆蓋的范圍，較細的層次則決定了風險的落地性，能夠支持網(wǎng)絡安全保險在風險界定過程中有更為確切實際的解釋、指導和評估。目前眾安科技等國內(nèi)外網(wǎng)絡安全保險科技企業(yè)已經(jīng)形成了自有風險庫，預計隨著行業(yè)發(fā)展，基于融合保險考量的風險庫，網(wǎng)絡安全保險科技企業(yè)將進一步形成保險行業(yè)的類"ATT&CK"的風險描述性框架。(2)技術應用技術應用貫穿于網(wǎng)絡安全保險的產(chǎn)品設計、核保階段、承保階段、出險/理賠等各個階段，主要是利用人工智能、虛擬現(xiàn)實、智能終端等前沿技術及設備，提升保險全流程的智能化、自動化。產(chǎn)品設計階段：通過數(shù)字孿生技術，科技公司可以為投保企業(yè)及保險公司構建實時實景的虛擬空間。根據(jù)保險公司的組織結(jié)構生成數(shù)字副本，形成“組織數(shù)字孿生”(DTO),模擬組織的內(nèi)部運作與運營行為，從中核保階段：借助實時交互的視頻/聊天平臺改善風險評估效率，尤其適用于保險公司人力未覆蓋到的偏遠區(qū)壽保險、汽車保險、退休保險還是健康保險)成熟應用，再開展在網(wǎng)絡安全保險中的進一步探索適用。平臺(VRS)虛擬風險空間，提供了一個安全的視頻流通道，用于實現(xiàn)遠程指導、取證工作。承保階段：借助數(shù)字孿生技術，通過模擬數(shù)據(jù)流預測并評估投保企業(yè)存在的可能性風險情境，預測未來安全風險，同時為網(wǎng)絡安全保險服務的整體方案提供洞出險/理賠階段：索賠處理直接影響到網(wǎng)絡安全保險的運營效率與客戶滿意度，借助數(shù)字孿生、人工智能、區(qū)塊鏈等技術加快理賠流程將是科技賦能保險的重要方向。通過聊天機器人引導投保企業(yè)自主拍攝、上傳有關出險的視頻和照片，借助光學字符識別(OCR)設類模型，將視頻和照片即時轉(zhuǎn)換為損壞描述；通過機器學習(ML)模型，對投保企業(yè)相關網(wǎng)絡行為進行分析，判斷是否存在欺詐行為；基于區(qū)塊鏈技術創(chuàng)建智能合約，將小額保險政策嵌入到利用區(qū)塊鏈技術進行保護和記錄的數(shù)字交易中(例如CloudCover的CC/B1CyberSafety平臺已支撐實時區(qū)塊鏈承保流程),通過算法來分析網(wǎng)絡流量，進行風險評分態(tài)數(shù)據(jù)"的增量保險，并且在滿足理賠的情況下自動進入索賠。(3)數(shù)據(jù)科學數(shù)據(jù)科學及相應模型是保險公司及保險科技公司共同認定的網(wǎng)絡安全保險最重要的底層科技支撐。利用科學方法、流程、算法和系統(tǒng)從數(shù)據(jù)中提取深層價值，映射在網(wǎng)絡安全保險領域則體現(xiàn)為風險-評估模型、風險-定價模型、風險-定損模型、風險-定責模型。在風險模型中，確保其與傳統(tǒng)財產(chǎn)險的區(qū)別、對模型的科學性進行保障，這些是網(wǎng)絡安全保險科技發(fā)展的核心問題。簡而言之，數(shù)據(jù)科學是將數(shù)據(jù)轉(zhuǎn)化為決策和行動(tradecraft)的藝術，是人和計算機一起工作將數(shù)據(jù)轉(zhuǎn)化為知識發(fā)現(xiàn)的工具、技術和流程的整合。數(shù)據(jù)學科通過收集數(shù)據(jù)、描述數(shù)據(jù)、發(fā)現(xiàn)知識，進在網(wǎng)絡安全保險領域，數(shù)據(jù)科學的具體應用包括：據(jù)估計，保險欺詐為保險公司帶來的損失高達340億美元。在網(wǎng)絡安全空間，檢測保險欺詐的難度很大，厘清事件具體情況可能非常耗時，也無法得出明確的結(jié)果。但現(xiàn)在，隨著技術的不斷發(fā)展，保險公司基于防欺詐性索賠的工具，將網(wǎng)絡安全風險數(shù)據(jù)與數(shù)據(jù)科學相結(jié)合，通過算法，找到欺詐索賠和潛在欺詐索賠之間的相似性，從而及時發(fā)現(xiàn)潛在的欺詐行為，以便開展進一步調(diào)查。2.風險管理的預測分析過去，保險公司往往依靠大量網(wǎng)絡安全風險數(shù)據(jù)進行風險評估?，F(xiàn)在，使用數(shù)據(jù)科學技術，通過對外部網(wǎng)絡安全威脅數(shù)據(jù)及內(nèi)部風險數(shù)據(jù)進行分析、從