浅论网络安全保险及风险模型的应用

简介

世界上首次所谓的网络犯罪可以追溯到1834年，[1]当时一群罪犯通过“黑入”法国电报系统窃取了金融市场信息。1962年出现了另一起现代版网络犯罪， Allen Scherr通过打孔卡连接到麻省理工学院的计算机网络，从数据库中窃取了大量密码。21世纪10年代以来，网络攻击无论是规模、影响范围，还是复杂性和破坏程度都呈爆炸式增长。

在过去几年倍受关注后，网络犯罪和网络安全问题在2022年世界经济论坛重大风险列表中的排名有所下降，取而代之的是快速演变的地缘政治风险和对于全球缺乏气候危机意识的焦虑。然而实际上，网络风险仍然是第八大短期和长期风险。[2]对企业而言，网络风险也是第四大短期风险，仅次于生活成本危机、自然灾害和极端天气风险以及地缘经济对抗风险。

需要强调的是，风险排名下降并不意味着网络犯罪和网络安全的风险较低——事实上，网络攻击已经更为普遍。而提升网络安全也已经成为许多企业日常工作的一个重要组成部分。

全球及亚洲的网络犯罪和网络安全保险市场

全球网络安全保险市场的规模及现状

目前，我们很难获得有关全球网络安全市场规模的准确数据，无论是网络犯罪和网络攻击造成的损失规模，还是全球企业在网络安全或网络安全保险方面的支出均缺乏精准的统计数据。例如，网络攻击造成的损坏和损失表现为多种不同形式，可能是金钱损失和知识产权损失，也可能是声誉损失，而其中很多损失难以量化。成为网络犯罪受害者的企业也常常选择不公开事件。因此，任何市场规模估算的结果充其量只是网络安全问题的粗略近似值。

Cybersecurity Ventures预计到2023年，网络犯罪在全球范围内造成的经济损失总额[3]将高达8万亿美元（相当于每秒255,000美元或每天219亿美元）。预计到2025年，损失总额将增加到每年10.5万亿美元，而2015年这一数字仅为3万亿美元。另外，穆迪估计全球约22万亿美元的评级债务（占评级债务总额的28%）具有高或非常高的网络风险敞口。总体而言，公用事业的网络风险敞口非常高，银行、医院和电信网络也面临高风险。[4]

随着损失（和潜在损失）的增加，网络风险防御措施的推行也更为紧迫，2021年至2025年间，全球网络安全累计支出额有望超过1.75万亿美元。[5]与此同时，相关保险的购买量也呈增长趋势。例如，美国政府问责局的一项研究指出，购买网络安全保险的保险客户比例从2016年的26%增加到2020年的47%。[6]

近年来，独立网络安全保险一直是增长最快的业务条线之一。2022年，独立网络安全保险市场的规模约为90-140亿美元，其中美国是全球最大的市场。[7]劳合社预计到2030年，全球网络安全保险市场的规模将从2022年的120亿英镑（约合140亿美元）增长两倍至350亿英镑（410亿美元）。

随着新兴风险的出现和对策的落实，全球网络安全保险市场瞬息万变，当前的主要发展趋势包括：

• 近年来，网络攻击发生的频率更高，影响范围更广，促使保险公司降低对部分脆弱行业的承保限额。
• 与此同时，越来越多保险公司进入网络安全保险市场，产品更聚焦于网络风险（单项保险），而非与其他保险捆绑销售。由于需求强劲而供给有限，部分保险公司开始试水网络安全保险相连证券（ILS）。[8]2023年1月初，Beazley推出了全球首只网络巨灾债券。
• 初步兴起的网络安全保险市场仍面对缺乏数据以及行业定义和标准等问题的困扰。
• 新冠疫情迫使更多传统犯罪分子转向互联网，导致活跃网络攻击份子数量增加。
• 网络威胁正在缩窄信息技术和运营技术之间的差距，换句话说，信息技术风险和运营技术风险正在融为一体。这意味着，虽然过去信息技术网络风险事件不涉及物理损失，但随着自动化和运营流程数字化程度的提高，网络威胁导致的物理损失风险正在增加（参见下图1）。

图1：2022年遭受网络攻击的运营技术行业

资料来源：IBM Security 《2023年度X-Force威胁情报指数》（X-Force Threat Intelligence Index 2023）。数据代表2022年X-Force做出响应的运营技术行业个案数量占事件响应个案总数的比例。

亚洲网络安全保险市场的规模及现状

随着亚洲互联网普及度的提高，这里也逐渐成为网络犯罪的温床。就在几年前，新加坡、澳大利亚、日本、新西兰和韩国因严重依赖技术成为网络攻击的主要受害国，并被冠以“网络五国”之称。近期，东盟各国也成为关注焦点，一方面区内黑客策划发起的网络攻击数量持续增加，另一方面区内互联网普及度提高也导致其更易成为受害者。

图2：2020-2022年不同地区网络攻击事件数量

资料来源：IBM Security 《2023年度X-Force威胁情报指数》（X-Force Threat Intelligence Index 2023）。数据代表2022年X-Force做出响应的运营技术行业个案数量占事件响应个案总数的比例。

根据IBM Security的《2023年度X-Force威胁情报指数》，[9]亚太区仍是全球网络攻击事件最多的地区，2022年该地区遭受的网络攻击数量占全球攻击事件总数的31%，较2021年增加了5个百分点（参见图2）。报告还指出，制造业是受网络攻击事件影响最严重的行业，48%的网络攻击针对制造业，鱼叉式网络钓鱼是亚太地区最常见的攻击模式，占比高达40%。

尽管人们已经着力处理网络漏洞或薄弱环节，例如通过能力建设和向关键利益相关者灌输战略思维等合作模式来应对网络犯罪，但要有效管理网络风险仍然任重道远。此外，民族国家之间的“信息化”战略竞争令网络安全问题更为复杂。

同样，我们也无法获得有关亚洲网络安全保险市场规模的公开、可靠的数据。考虑到美国在网络安全保险市场占据主导地位以及亚洲普遍存在投保额度不足和未投保的情况，亚洲网络安全保险的保费可能不足5亿美元。地区文化以及缺乏类似美国的强制性披露要求，导致市场的透明度和保险意识相对较低。表1总结了不同市场的发展趋势。

表1：部分亚洲市场网络安全保险发展趋势

 

亚洲面对网络风险的脆弱性

亚洲之所以成为网络攻击和网络犯罪的首选之地，背后涉及多重因素。一个原因是亚洲正处于高速数字化进程中。2000年，中国的网民比例仅为1.78%，而2021年已经升至73.05%。[10]另一方面，亚洲盛行电子商务、网上购物和网上银行。麦肯锡的一项调查显示，88%的亚洲受访者是活跃的网络银行用户。[11]

新冠疫情爆发后，随着居家办公模式的流行和更多公共服务开通在线办理渠道，亚洲地区的数字化发展进一步提速。与此同时，东南亚和南亚国家的产品日益多样化也推动全球供应链发生变化。下表2简述了2022年的重大网络攻击事件。

表2：2022年亚洲重大网络攻击事件

资料来源 《金融机构在暗网的数据泄露》（Financial Institutions Data Breaches on Deep Web），SOCRadar 《IOTW：关于Medibank数据泄漏事件我们所知道的一切》（IOTW: Everything we know about the Medibank data leak），Cyber Security Hub 《IOTW：丰田承认GitHub发布访问密钥后发生数据泄露》（IOTW: Toyota admits to a data breach after access key is posted on GitHub），Cyber Security Hub 《Optus：大规模数据泄露如何令澳大利亚暴露于风险之中》（Optus: How a massive data breach has exposed Australia），BBC 《2022年东南亚五大数据泄露事件》（Top 5 data breach incidents in Southeast Asia in 2022），Techwire 《Fahmi确认网络攻击导致500万亚航乘客资料泄露》（Fahmi Confirms Data Leak Involving 5 Million AirAsia Passengers Result Of Cyberattack），Business Today

 

网络风险预测模型

网络风险模型的发展

尽管定义网络风险和推动网络安全保险市场的发展涉及多重因素，包括产品的标准化、提高网络风险的法律确定性、网络安全保险MGA的发展等，但网络安全保险模型的发展可谓是行业的首要任务之一，能够帮助行业深入理解网络风险的复杂性及其后果。

然而，与许多其他保险业务条线相比，开发网络风险分析模型并非易事，因为：

网络攻击事件及其造成的损失历史很短，往往不够完整，特别是在亚太地区。

网络风险的载体、媒介和参与方（国家、国有机构、私有机构、黑客等）和渠道都在快速发展。用芝加哥联邦储备银行（Federal Reserve Bank of Chicago）一份报告的话来描述就是，“昨天的攻击并不一定能让我们预知明天的风险”[12]。

网络攻击的可扩展性意味着保险公司和再保险公司可能面临跨地区和跨业务线的重大关联损失。对计算机病毒感染或沿供应链传播的风险进行建模对于全面理解网络攻击事件的后果至关重要。

此外，网络攻击事件的次生效应也可能引发损失，包括人才流失和声誉受损等无形损失。

 
上述因素可能导致有关损失事件频率严重性的传统假设不足以全面反映网络风险，特别是针对系统性网络风险。

---

CyberCube与鼎睿

网络风险可能是系统性和整体性的风险，因此，在评估潜在损失情境（包括累积风险）时使用概率模型非常重要。此外，保险价值链中的不同参与者（直接保险公司、保险经纪、再保险公司等）需要使用模型的不同功能。而且如今许多模型都已经应用了人工智能和机器学习技术。

2023年3月，鼎睿选择与网络风险分析专家CyberCube合作，量化客户的网络风险。CyberCube的模型帮助保险公司了解其累积网络风险，为其高管和专业团队提供分析见解，并能够对网络安全保险风险组合进行压力测试，以便识别损失驱动因素和潜在的风险累积事件。

与CyberCube的合作有助于提高鼎睿在网络安全保险市场的影响力。此外，基于数据的分析能够帮助鼎睿更深入地了解累积风险，在全球网络再保险持续增长的背景下，为客户提供更好的服务。

---

结论

有一件事是肯定的：网络威胁将持续演变和发展，并始终是所有利益相关者最关心的一个议题。因此，保险/再保险行业需要利用模型、情境、分析和数据不断加深对风险格局的理解。尽管如此，网络风险的有效管理还需要其他利益相关者（特别是政府）采取更多举措，例如政府在网络攻击事件数据收集方面的支持，政策标准化以及在法律上进一步明确风险敞口和保障范围。[13]



[1]参见《网络犯罪简史》（A Brief History of Cybercrime），北极狼（Arctic Wolf），2022年11月16日，以及《网络犯罪史：综合指南（2021）》（The History of Cybercrime: A Comprehensive Guide (2021)），unext，2021年2月13日。

[2]《全球风险报告2023》（Global Risks Report 2023），世界经济论坛（World Economic Forum）。

[3]网络犯罪成本包括数据损坏和破坏、金钱损失、生产力损失、知识产权被盗、个人和财务数据被盗、资金挪用、欺诈、网络攻击后正常业务运营中断、法证调查、恢复和删除遭黑客入侵的数据和系统以及声誉损失。参见《2022年官方网络犯罪报告》（2022 Official Cybercrime Report），eSwhole和Cybersecurity Ventures。

[4]资料来源：网络热图（Cyber Heat Map），2022年9月28日，穆迪投资者服务公司

[5]https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2021-to-2025/

[6]数据是指Marsh McLennan的获客率。资料来源：网络安全保险、美国政府问责局

[7]下限数据参见《全球网络安全保险市场更新》（Global Cyber Insurance Market Update），2022年8月21日，惠誉评级。上限数据参见《劳合社网络峰会执行摘要》（Lloyd’s Cyber Summit Executive Summary），2022年11月1日，劳合社。

[8]《报告称网络安全保险相连证券发展正当时》（Now is the time for cyber insurance-linked securities, report claims），2023年2月21日，Insurance Business Asia。

[9]资料来源：《2023年度X-Force威胁情报指数》（X-Force Threat Intelligence Index 2023），IBM

[10]资料来源：世界发展指标（World Development Indicators），世界银行

[11]资料来源：《亚洲的未来：金融服务的未来》（Future of Asia: The future of financial services），2021年10月11日，麦肯锡

[12]A Granato，A Polacek，《网络安全保险的发展遇挑战》（The Growth and Challenges of Cyber Insurance），Chicago Fed Letter，第426号，2019年

[13]例如，随着流通数据中被盗个人数据数量的增加，受影响的消费者越来越难证明特定的数据泄露事件导致了特定的经济损失。一些司法管辖区还认为，大量数据泄露不会自发导致需要赔偿的精神困扰。

---