2017 年,三大全球性恶意软件网络攻击事件——Petya、NotPetya 和 WannaCry——为世界各地的公司敲响了警钟。这几次攻击的影响波及150 多个国家的计算机系统。2017 年,美国专业保险咨询机构Property Claims Services(PCS) 增设了一项统计网络风险累计损失服务,据PCS估计,这三次恶意软件攻击事件合计造成的保险损失高达33 亿美元。
无论是承保人、客户、决策人,或是监管机构,都将网络风险视作一大困扰——且他们的担忧不无道理。未保险的网络风险可能造成的巨灾损失预计为550 亿美元左右。2018 年世界经济论坛在《年度高管意见调查》(Executive Opinion Survey)中访问了1.25 万名与会高管,不出意料,网络攻击被认为是在跨发达经济体经营业务面对的首要风险。
网络相关的保险是发展最快的细分板块之一。根据Orbis 研究报告,2017 年网络安全保险市场的体量约为45 亿美元,未来五年预计复合年增长率(CAGR)将达到25.4%,到2023 年市场规模将达175.5 亿美元。据欧洲保险监管机构——欧洲保险暨职业养老金管理局(EIOPA),网络安全保险的保费收入中,约85% -90% 来自美国市场,欧洲占比为5% -9%(大约1.5 亿至4 亿美元)。但发展速度最快的还要属亚太地区。决策者也非常关注数据保护和网络安全。2018 年5 月,欧盟公布了《通用数据保护条例》(GDPR),旨在更好地保护欧盟居民的隐私。根据欧盟委员会以及众多市场权威人士,GDPR 是最严苛,也是“全球最先进的数据保护条例”,并很快会演变为全球性的标准。
同时,其他监管机构,如英国审慎监管局(P R A)也开始提升监管力度,敦促承保人强化对网络风险评估和管理。
EIOPA 也对13 家主要(再)保险集团进行了一项类似调查,重点研究欧洲网络安全保险的作用、增长潜力、挑战和风险。该调查随后被纳入E I O P A 的2018 年保险压力测试。在亚洲,中国、日本、韩国等国家也已具备相应的网络安全法律,对网络犯罪、隐私、数据保护以及电子交易进行监管。
90% 的理赔可能与沉默网络风险相关
对承保人和监管机构而言,一个反复出现的重要问题是在传统财险和责任险保单中隐含或嵌入的大量隐藏或沉默网络风险。保单中既未明确排除这类风险,也未对其做出合理定价。尽管从网络风险诞生之日起,沉默网络风险就已经随之出现,但在2017 年Petya 和Non-Petya两个高调案例发生并凸显出90% 的理赔与沉默网络风险相关后,监管机构和评级机构对于这类风险的关注度不断提升。
最近,劳合社公开表态要采取措施控制沉默网络风险。劳合社要求旗下辛迪加(syndicate)的所有保单都要就沉默网络风险做出清晰说明,或者在除外条款中列明,或者提供明确的(再)保险保障。眼下,劳合社市场担心沉默网络风险会令承保人面临出乎意料的风险。
沉默网络风险无法估量
一次针对发电厂控制系统的网络攻击可能引发爆炸,造成重大财产损失,进而导致可能更加严重的经营中断损失。集装箱跟踪系统被恶意控制,或者计算机系统被黑客攻击,也可能带来海上损失。这些场景都是现实存在的。随着人工智能、物联网和机器人等技术的大量使用,沉默网络风险将不再仅限于财产理赔,还有可能演变为产品责任险承保范围内的一个重大风险。
沉默网络风险不仅难以识别或做出合理定价,还会对承保人构成威胁。
发生损失时,沉默网络风险的不公开或难以预料的性质,可能会引发股东索赔和集体诉讼。此外,由于沉默网络风险难以追踪或识别,承保人又难以将其转化为确定性风险。
虽然现在承保人正在尝试用合适的条文框定网络风险和阐明何种条件下保单囊括或剔除网络风险,但这一过程并不简单,因为无论是保单持有人还是保险经纪都不欢迎这些新增的除外条款。
即便能够清晰界定相关除外条款,要确定一个多方共识的损失原因也非常困难。
显然,并非只有欧洲或美国的网络风险面对上述挑战,在亚太区,这些挑战也同样存在。未来较长一段时间内,保险行业可能仍要与沉默网络风险共存。鼎睿致力于为面临沉默网络风险的客户提供支持,与其合作监控和减轻沉默网络风险带来的损失。
累积风险难以控制
除了沉默网络风险以及风险变化,网络的累积风险也是一项重大挑战。尽管对承保人而言,这一现象并不陌生,但不同价值链上数据交换和数据流动带来的不同行业间的互联互通,让我们难以控制风险。独立的网络攻击事件的影响可能会迅速蔓延到全球范围。
2016 年发生的Dyn 网络攻击事件就是由一系列分布式拒绝服务(DdoS)攻击所引发的。结果导致欧洲和北美的大批用户在几小时内无法访问主要的网络平台和服务。
基于地域分析保险累积风险的传统方式已经不再适用于网络累积风险。不过,AIR、RMS 这类模型公司和Cyence、Cyber Cute 这类专业网络服务公司已经针对网络累积风险设计模型。虽然这些模型的可靠性尚未经过测试,而且有可能永远也无法得到验证,但从这方面来看,保险行业至少已经有所进步。鼎睿可与客户分享他们在不同场景下面对的网络累积风险,以协助他们了解并评估这类风险。
网络风险具有显著地域差异
美国在网络安全保险板块的市场份额很大程度上反映了其严格的信息通告法律及好诉的法律环境。高管在意识到网络风险和潜在的股东索赔后,希望限定自身责任。鼎睿的资料显示,大约50%的网络损失与数据和隐私泄露有关——董事会尤其希望避免的一类风险。而在亚太区,对多数行业而言,首要担忧是营业中断,反映出该地区生产流程紧密交织的特点。
同样,日本作为目前亚太区最大的网络安全保险市场,营业中断也是市场上主要的买方——汽车制造商和 IT 公司的首要顾虑。虽然日本信息通告法律的严苛程度不及美国,但发生事故时,日本公司的名誉将面临严重损害,迫使其提供所谓的“致歉金”补偿,对客户表达歉意。
作为一家总部位于香港的国际再保险公司,鼎睿将为再保险分出人提供遵循本地监管要求的服务。
