勞合社：極端網路攻擊事件可能造成高達530億美元的經濟損失

7月17日，勞合社發布了一份最新的全球網路安全保險研究報告。該報告稱，一起全球的極端性網路攻擊事件有可能引發高達530億美元的經濟損失，這與2012年超級颶風桑迪造成的500億美元的損失相當。而目前逾80%的損失尚未被保險覆蓋，保險缺口達數百億美元。

該報告由勞合社和矽谷網路風險數據模型公司Cyence共同研究製作，旨在幫助保險公司更好地理解網路安全風險敞口，特別是加深對風險累積和責任覆蓋的考量，從而為全球保險市場提供更加專業和創新的網路安全保險解決方案。

該報告通過模擬兩種不同情境，對網路攻擊可能造成的潛在經濟損失進行了量化分析：

情境一

雲服務提供商遭到黑客惡意攻擊。該情境假設：一群老道的黑客準備對一家雲服務提供商及其客戶發起攻擊。黑客對控制雲服務基礎設施的管理程序進行了惡意修改，導致了許多以雲計算為基礎的客戶的伺服器崩潰，造成大面積服務和業務中斷。

在這種雲服務中斷的情境中，大型網路攻擊事件的平均經濟損失約為46億美元，而極端事件的平均經濟損失可能高達530億美元。但這只是平均值，由於網路攻擊風險累積的不確定性（比如參與的組織不同和雲服務中斷持續時間長短不同），實際上這個數字可能會在150億美元至1210億美元之間。然而，其中被保險覆蓋的損失平均在6.2億美元至81億美元之間。

情境二

大規模軟體漏洞攻擊。該情境假設：一名網路分析師無意間將公文包遺忘在列車上，包內有一份研究報告的複本，該報告涉及一個佔有全球45%市場份額的操作系統的所有版本的網路漏洞問題。這份報告在「暗網」上被一些身份不明的犯罪團伙購買，他們開發系統並加以利用，準備向抵抗能力較弱的企業發起攻擊以非法獲取經濟利益。 在這種情境下，大型事件到極端事件的平均經濟損失從97億美元至287億美元不等。而被保險覆蓋的損失平均在7.62億美元至21億美元之間。

由此可見，雲服務中斷的保險缺口在40億美元（大型事件）至450億美元（極端事件）之間，這意味著只有不足五分之一（14%-17%）的經濟損失被保險覆蓋；而大規模軟體漏洞攻擊的保險缺口在90億美元（大型事件）至260億美元（極端事件）之間，或者說僅有7%的經濟損失獲得了保險保障。通過比較當前網路安全保險市場的保費數額與遭受網路攻擊的損失預估不難發現，單個大型和極端網路攻擊事件可以分別造成19%和250%的保險行業賠付率，這顯示出網路安全風險有相當於巨災風險的經濟破壞力。

「這份報告模擬了網路攻擊可能對全球經濟造成的破壞規模的真實情況。就像一些最嚴重的自然災害，網路事件可能會對企業和經濟造成嚴重影響，引發多項理賠，並大幅增加保險公司的賠付成本。承保商需要充分考量網路風險的責任覆蓋，確保保費計算與網路威脅的現實情況相匹配。」勞合社首席執行官英格·碧爾說：「我們提供了不同的情境分析，以幫助保險公司更好地了解他們的網路安全風險敞口，這樣他們就可以更好地管理投資組合風險敞口和進行風險定價，設定適當的限制，從而更加自信地開展這一快速增長的新型保險業務。」

「這篇研究報告指出，網路攻擊事件造成的經濟損失可能達到相當於大型颶風的量級。我相信這篇報告應該有助於承保人在這兩種不同的情境下思考網路保險的覆蓋面，對所有累積的風險和損失進行充分考量，從而給被保險人提供確切的承保額。網路風險仍處於不斷地變化中，為了達到這樣的目標，整合有效數據是關鍵問題。」 勞合社「市場創新」團隊負責人特雷弗·梅納德說。