据相关机构测算,2020年全球网络安全保险市场规模将达到78亿美元,未来5年将以20%以上的增速增长.在我国这个通信和互联网技术居于世界领先地位的国家,网络安全保险正在生根发芽,引发社会热议。尽管该市场在我国尚处于起步阶段,但未来潜力巨大,将助力我国数字经济持续健康发展。2021年5月,美国政府问责局(GAO)发布了一份关于网络安全保险市场的名为《网络安全保险:保险公司和投保人在不断变化的市场中面临挑战》的报告。报告指出,当前网络安全保险承保率提高,保险价格上涨,保险限额降低,网络安全保险内容更加明确。但与此同时,市场仍面临网络风险事故或损失的历史数据有限、网络风险定义不明确和不一致、企业网络风险意识和保险责任范围有限等多重挑战。针对上述问题,报告提出了一些政策建议。通过这份报告,GAO向保险市场发出了积极的信号。由于互联网全面融入企业发展,以及政府对网络安全的重视程度不断提高,网络安全保险的供求关系不断发展,促使网络安全保险的功能更加细化。在鼓励行业发展的同时,GAO也鼓励政府与企业、市场合作,共同克服尚未成熟的技术发展瓶颈和制度缺陷。网络安全保险的概念和规则网络安全保险是由私人保险公司向企业和其他实体提供的,以保护第一方(保单申请人)和第三方(保单申请人的客户)免受网络事件(如网络中断、数据盗窃等)的影响。)损失,例如对信息系统的机密性、完整性和可用性的损害。网络安全保险有两种形式,一种是单独的保单,只承保网络风险,另一种是一般保险的一部分(承保多种风险)(如一般商业责任保险)。全国保险审计师协会(NAIC)关注网络安全保险公司的偿付能力。监管对象包括网络安全保险在内的私人保险市场,确保保险条款公平合理并符合各州法律,不存在可能被消费者误解的保险责任范围,但一般不制定网络安全保险责任范围的最低标准。此外,美国财政部联邦保险办公室恐怖主义风险保险计划(TRIP)要求联邦政府在发生某些恐怖行为时与私人保险公司分担损失。如果网络攻击符合本条的标准,因网络攻击造成的损失可按TRIP进行赔偿。二、网络安全保险市场现状及发展趋势1、网络安全保险承保率总体上升,行业间存在差异。网络安全保险接受率是指符合网络安全保险条件的主体选择网络安全保险的比例。随着网络安全保险的发展,市场接受率不断提高,从2016年的26%上升到2020年的47%。网络安全保险接受率与主体规模密切相关。中小主体的网络安全保险承保率落后于大主体。可能的原因包括:中小企业低估网络风险,难以理解保险责任范围,认为当前责任范围足够,担心自身经济承受能力。此外,此保险的接受率因行业而异。在达信麦克莱南2016年至2020年的客户群中,采用率最高的行业是教育和医疗保健,因为它们需要收集、维护和使用大量个人身份和受保护的健康信息。由于也需要从客户那里收集支付卡信息,酒店和零售业的接受率也显着提高。同时,随着制造业对网络攻击潜在风险的认识不断加深,行业的接受度也在不断提高。图:2016-2020年各行业企业对网络安全保险的接受率2、企业关注网络安全保险的可获得性和可负担性网络安全保险的可获得性和可负担性是各行业关注的焦点。自2016年以来,大多数实体都负担得起网络安全保险。如果小型企业认为自己的风险较低或保险费过高,他们购买网络安全保险的频率就会降低。然而,网络安全保险将在多大程度上继续获得和负担得起仍不确定。根据保险代理和经纪人委员会、MarshMcLennan和A.M.Best的调查反馈,虽然承保率一直保持上升趋势,但保险公司承保网络风险的意愿和能力近期呈现萎缩趋势,尤其是某些高风险行业(如医疗保健)。、教育、公共部门)承保收缩趋势尤为明显。其原因包括网络攻击造成的损失增加、未来网络攻击的威胁以及整体保险市场环境等。与此同时,保险公司正在更密切地审查所有实体所面临的风险,无论其规模和行业如何。为了应对网络攻击频率和严重程度的增加,网络攻击成本的上升,以及未来攻击类型、范围和目标的不确定性,保险公司在承保高风险行业和实体方面更加积极,提高保费。谨慎。这都可能影响未来网络安全保险的可用性和可负担性。3、网络安全保险需求增加随着企业越来越重视网络风险,对网络安全保险的需求也随之增加。根据S&PMarketIntelligence和NAIC的数据分析,2016年至2019年生效的网络安全保单数量从220万增加到360万多,增幅约60%;总承保保费从21亿增加到310亿,增长了50%。超过60%的受访经纪人表示,网络安全保险增长的前两大驱动因素是遭受网络攻击和听说其他人在网络攻击中蒙受损失。图:2016-2019年网络安全险承保保费及保单数量变化4.网络安全险保费增长网络安全险保费在2017年和2018年保持相对稳定,2020年将呈现显着增长趋势。超过一半的券商报告称,从2020年第三季度到第四季度,其客户支付的网络安全保险保费增长了10%到30%;只有15%的经纪人表示,在此期间客户保费没有变化。网络安全保费上涨的原因有二:一方面是客户需求增加;另一方面,由于更频繁和更严重的网络攻击,尤其是勒索软件攻击,保险公司的损失增加,这种攻击会阻止用户访问系统或数据,直到支付赎金。图:2017-2020年网络安全险保费变化。影响保费增长的因素包括公司规模、行业、公司对网络安全的内控力度。专门为中小型实体提供网络安全保险的经纪人表示,对于具有强大网络控制和低风险行业的小型实体,目前网络保险的平均保费在1,400美元到3,000美元之间。根据公司和行业的风险,保费可能是平均水平的许多倍。2021年,高风险行业和大中型主体的保费增幅预计高于网络管控强度较高的小企业(保费增幅约5%至10%)。五是网络安全保险机构数量增加。通过NAIC补充网络数据分析发现,2016年至2019年,提供网络安全保险的保险公司数量增长了约35%。但2016年后新入局网络安全险市场的保险公司2019年仅占市场总保费的9%左右。可见网络安全险市场整体集中度高于财险和意外险市场.结合S&PMarketIntelligence的市场份额报告和网络补充数据分析,2019年美国10家保险集团占网络安全总保费的近70%,但仅占当年财产险和意外险总保费的18%。6.更多网络风险专项保险政策网络风险专项保险的提供方式主要有以下三种:单机网络安全保险;将网络安全保险与职业责任保险相结合;为其他保险责任范围提供网络担保。网络风险保险政策的增加反映出公司希望保险范围与数据或系统的机密性、完整性和可用性相关联;他们还希望网络安全保险的覆盖范围更清晰,这有助于减少网络攻击事件纠纷和诉讼中的索赔。此外,独立保单亦有助保单持有人获得更高的保障限额。7.改变网络安全保险的承保范围网络攻击(尤其是勒索软件攻击)的频率和严重程度不断增加,导致保险公司降低了对医疗保健公司、教育公司和国有企业等实体的承保限额,并增加了限额保险的承保范围关于勒索软件保险责任范围。8.更多免责条款和更严格的保险条款保险公司不断收紧网络安全保险条款和赔偿条件,并在传统保险范围和一揽子保单的基础上增加网络保障免责条款,避免出现歧义。这些限制旨在取消对潜在网络风险的承保范围,这些风险可能损害多家企业并导致保险公司遭受重大不可预见的损失,甚至造成偿付能力不足。虽然短期内不太可能被淘汰,但网络的进一步独立性和相关术语的澄清将是有益的。网络安全保险行业面临的多重挑战和政策建议1.网络风险事故或损失的历史数据有限一般情况下,保险公司利用历史损失数据来量化风险,设计保险产品的费率。然而,关于网络损失的历史数据目前非常有限、不完整或质量很差。这些局限性导致保险公司难以建立网络攻击损失概率预测模型,也没有全面集中的网络攻击信息供保险公司获取和使用。关于网络事件的不完整或不准确的历史数据会降低精算模型的可靠性,从而导致损失估算的不确定性增加。如果没有这些数据,网络安全保险的价格可能无法准确反映网络风险。如果网络安全保险的定价过低,保险公司可能没有足够的资金来补偿投保人,甚至导致保险公司倒闭;如果保险定价过高,则很少有企业和消费者能负担得起网络安全保险。因此,全行业对网络攻击信息的收集和共享,将有助于提高国家收集网络事故数据的能力。国会可以创建一个专门收集数据的实体,以更好地了解网络风险并帮助保险业建立更好的风险模型。此外,可以在美国国土安全部内部建立一个公私合作小组,与保险公司和网络风险建模公司合作,汇集可用数据,为网络风险建模的创新进展提供信息。2、网络安全保险缺乏统一定义。构建标准化保单模板和保单语言的保险服务办公室表示,网络保单使用的语言千差万别。保险金额超过500万美元的保单与标准化语言和模板有很大不同。运营商在其定义中可能会使用略有不同的语言。由于全球对网络攻击和网络恐怖主义的定义缺乏共识,保险公司也可能对勒索软件攻击做出不同的定义。不一致的保单术语,包括关键保单术语的定义,可能会给保险业带来挑战。如果没有对关键保单条款的一致行业定义,将不清楚哪些风险属于承保范围,哪些风险不属于承保范围,从而使保险业难以制定广泛的保单标准。此外,这种歧义可能导致保险公司和保单持有人之间的误解和诉讼。通用条款将有助于塑造更具可持续性的网络安全保险市场。网络安全保险的可持续性意味着保险公司可以明智地选择保险范围,投保人可以了解相应的责任范围。一些行业利益相关者建议提高保险语言的清晰度和透明度,包括关键保险条款的统一定义。联邦、州政府和保险业可以共同制定一个共同的定义。3.企业对网络风险和保险范围的认识有限许多实体,尤其是小型企业,可能低估了他们面临的网络风险以及减轻这些风险所需的网络安全保险范围。投保不足和覆盖范围不足的保险会造成保护缺口,从而增加公司的财务风险敞口。在全球范围内,网络事件的年平均经济成本几乎是自然灾害年平均损失的两倍。商业改善局的一项调查发现,87%的小企业受访者认为他们容易受到网络攻击。然而,一些较小的实体可能没有完全意识到他们面临的网络风险的规模以及网络攻击对其业务的潜在影响。一些企业对购买网络安全保险犹豫不决,因为他们看不到其中的价值,认为它无法修复对其公司的网络攻击,或者认为它包括太多的除外责任。保险代理和经纪人委员会建议保险业帮助实体了解网络攻击对其运营造成的风险和潜在损失,并了解他们购买的承保范围和除外责任。一些中小型企业的技术资源有限,或者员工的网络安全专业知识有限,因此没有充分利用网络安全保险公司的服务。4.?(TRIA)对网络攻击的适用性不足由于美国财政部从未根据TRIA对任何事件进行认证,网络攻击的特征可能不容易满足该法案的认证要求,无论是网络攻击-可以定义攻击恐怖主义行为存在不确定性。财政部要考虑的恐怖主义行为必须是对人类生命、财产或基础设施的暴力行为或威胁,这些行为通常会对美国造成损害,并且胁迫美国平民或通过胁迫手段影响美国政府。但是,网络攻击可能并不暴力,可能会对位于美国境外的计算机服务器造成损害。此外,网络攻击可能是为了经济利益,而不是对政府或美国人民的胁迫。如果TRIA想要更广泛地涵盖网络攻击,国会可以修改认证标准以:包括电子数据和基础设施相关的损失;扩大地理参数(包括美国以外的国家所遭受的伤害);除了意图的其余部分之外的强制)。然而,扩大TRIA的覆盖范围可能会对保险市场产生短期影响。如果保险公司认为他们无法承受这种风险水平,他们可能会撤回他们提供的财产和责任保险。同时,对电网的大规模网络攻击可能造成超过TRIA规定的1000亿美元限额的损失,超过限额的损失没有保险。此外,人们担心私营部门保险公司承担风险的能力,而国会对TRIA的重新授权通常会将风险从联邦政府转移到私营部门。根据财政部风险分担机制咨询委员会的说法,2020年5月的一份报告表明,由于损失风险的变化,TRIA可能不再是确保保险稳定性的有效框架,并建议财政部重新评估改变上限的决定。潜在影响。5、网络风险不断演变,可能涉及巨大损失。随着技术和网络攻击方法的变化,网络风险不断演变,使保险公司难以承保。恐怖主义方法的复杂性和灵活性正在上升,技术进步和数字设备与互联网或云计算的连接性增加对承保网络安全保险提出了挑战。德勤最近的一份报告指出,即使保险公司收集更多数据并根据以前的网络数据训练改进的预测模型,潜在的风险敞口仍在变化,因此不清楚支线攻击的位置。在没有目标、策略或技术的情况下,很难构建可靠的预测模型。此外,一次网络攻击可能会损害多家公司的业务并造成重大损失,而且许多企业可能同时提出索赔,给保险公司带来财务挑战。网络攻击可以迅速传播并造成巨大损失。根据剑桥风险研究中心2016年的一份报告,大多数保险公司因此选择不扩大其网络安全覆盖范围。Marsh说,对系统性风险和此类攻击可能造成的巨大损失的担忧,促使保险公司寻求对超出先前存在的非大规模投资组合损失的损失进行建模,包括灾难性网络事件的影响。预测。随着网络投资组合的不断增长和建模水平的成熟,保险公司预计将更加依赖数据分析来为承保策略、产品定价和再保险购买提供信息。
