全球電腦勒索病毒來襲 網路安全保險升溫

從5月12日開始肆虐的「史上最大規模」電腦勒索病毒，讓網路安全保險也愈發引起關注。

據瑞士再保險sigma報告統計，近年來發生了多起引人注目的數據和安全事故案件（包括由國家資助的網路攻擊），人們對網路風險的擔憂日益增加。世界經濟論壇等組織將網路攻擊列為當今世界面臨的最大風險之一。在商業活動中，網路相關事故造成的潛在財物損失（第一方和第三方損失）範圍非常廣泛，這也凸顯出相關風險的普遍性。

根據瑞士再保險分析，人們對網路攻擊/安全事故造成損失的擔憂，已不再局限於數據丟失、被盜或損壞，還包括對企業財產和聲譽造成的潛在損害，以及業務中斷或關鍵基礎設施遭受嚴重破壞的相關損失。損失可能來自組織內外部的惡意攻擊，也可能是設備意外或人為錯誤造成的。

AIG提供的一份報告里也對勒索軟體的數量做了統計，根據數據統計，勒索軟體2015年的數量比前一年增加了35%。

不僅是風險類型更加多樣，風險事件的數量也在不斷增長。普華永道一份調查報告顯示，2015年和2016年，內地及香港企業檢測到的信息安全事件平均數量高達2577起，與2014年相比上升了969%。360、阿里巴巴、騰訊等互聯網企業，以及公安部、工信部下屬機構的監測數據則顯示：2016年監測到的企業信息安全事件數量已超過萬起，較2014年增長了近十倍。

2016年的一項研究估計，數據事故造成的企業中位數損失約為20萬美元。但有些經濟損失事故造成的損失可能高許多倍，從而推升總體平均成本。多項其他研究試圖量化網路事故造成的更廣泛經濟影響，包括業務中斷損失、聲譽損害，以及未來客戶損失、物理損害成本等。例如據倫敦勞埃德估計，網路攻擊每年給企業造成的總損失高達4000億美元，包括損害本身以及對正常業務流程的後續破壞。

達信所做的網路風險管理狀況調研簡述也顯示，儘管每年目標明確的網路攻擊的數量在以兩位數的速度增長，許多中型及大型公司仍未能在網路風險管理中投入足夠資源。

達信《2016年MMC網路手冊》中分析，目前網路風險已成為全球風險全景中的一個嵌入特徵，並且由於股東、客戶、供應鏈合作夥伴及管理部門越來越關注公司如何管理網路風險，因此，預防性風險管理及事後補救措施的重要性越來越高。保險已成為幫助企業應對網路風險戰略的重要一環。

對於保險公司及再保險公司，網路保險均是發展最快的業務領域之一。在保險公司開發網路風險承保的定價工具的過程中，對總計風險的關注已提高。顯而易見的是，網路保險的需求正在上升，保費總額快速增加。

網路保險發展的現狀是，保單的限額一般在500萬至1億美元之間，市場相當集中，但有更多保險公司正尋求進入。另有數據顯示，從全球網路安全保險市場分佈來看，目前美國約佔90%，歐洲約佔8%，亞太地區佔比僅為1%。美國是網路保險的最大市場，佔2015年全球20億至30億美元保費的一大半，但美國網路保險中很大一部分是由國際保險公司承保的（如通過倫敦市場）。

據界面新聞記者了解，目前包括平安保險、美亞財險及一些第三方中介等均有提供網路安全保險這一產品服務。

以美亞保險為例，其業務主要內容分成三塊：第一塊業務主要集中於減少企業因黑客攻擊導致正常營業中斷而產生的經濟損失。保險可以賠償企業在系統安全失效期間，扣除正常營運開支而損失的部分經濟損失；第二塊業務則是在鑒定服務以及數據恢復上。承保那些因聘請鑒定服務顧問證實是否已發生數據安全事故並判斷原因，提供避免或降低數據安全事故的建議所產生的費用；第三塊業務則主要是幫助企業承擔法律成本，承保依法向資料所有人披露個人信息泄密或數據安全事故所產生的費用及支出。同時還包括修復企業受損名譽，承保向獨立的專業公關顧問尋求建議以減輕其名譽受損所發生的費用。

平安提供的網路安全綜合保險中，在保險責任中則包括第一方損失（營業中斷、法律費用、檢測費用、勒索費用等）、第三方損失（信息泄露、數據丟失、媒體侵權）以及檢測、風控、恢復和危機顧問服務。

據一位財險業內人士分析：「網路安全保險的需求很多，但挑戰主要來源於定價，定價又和量化網路風險息息相關，在缺乏全面的損失經驗信息的情況下，如何設定風險衡量的基準是量化網路風險面臨的一個挑戰。」