网络风险与保险概况

来源:发布时间: 2016年07月04日浏览次数:

  袁曦 吴德杰 田广宇

  第一部分  简介

  在科学技术爆炸式发展的基础上,网络早已从一个新兴高科技产物普化为一般生产生活中常用的基本要素。我国在新一轮的改革发展中,对创新的独特关注使得“互联网+”这一提法获得了空前的热度。与此同时,互联网相关的风险也逐渐潜伏到日常生产生活中来,纵观近年网络应用发展历程,网络风险造成的直接损失和间接损失的发生愈发频繁,其造成的损害和影响的范围也愈演愈烈,震惊全球、引起广大网民关注的网络安全风险事件时有发生:

  2002年,美国军方电脑系统被入侵,事涉90余台机密设备,造成近200万美元的直接损失。

  2007年,微软开发运营的windows操作系统升级服务器windows updates被劫持,windows操作系统使用者面临严重的恶意代码威胁和系统漏洞威胁。

  2008年,ATM系统漏洞被利用,世界范围内49个银行共900万美元现金被盗,至今悬案未决。

  2009年,韩国政府、金融界和媒体部分网站遭到攻击,许多重要网站无法打开或被访问。

  2014年,我国国内通用顶级域根服务器出险异常,部分DNS解析服务中断,部分地区断网数小时,约2/3的国内网站受到影响。

  2015年,安卓平台发现安全漏洞,用户隐私信息受到严重威胁,约9.5亿人的私人信息暴露在流失风险下。

  频发的网络安全风险事件暴露了各商业机构在应对此类风险中的不足之处。与之相应的,网络保险作为一种新兴产品,发展势头迅猛,市场前景广阔,其作为风险管理体系的重要成员,保险公司如何妥善应对日益提升的网络风险与保险需求,是财产险企业关注的核心问题之一。对此,本文从定义、范畴和分类等角度对网络风险与保险进行概括性的介绍,并对网络风险的管理提出了一些建议。

  第二部分  定义与范畴

  事实上,网络风险(Cyber risk)的定义随着技术进步在不断变化和完善。学界通常使用Cebula and Young (2010)的定义,将网络风险定义为“导致信息或信息系统失去可用性、保密性或完整性的信息技术资产相关的操作风险”,该定义将网络风险归为操作风险的一个子类别。而ABI的调查报告显示业界将网络保险的责任范围定义为“由于IT系统和架构的损坏或信息丢失引发的一切损失,包括主体的损失和对于第三方的损失造成的相应责任”,对损失归属进行了较为明确的界定。学界视角偏重风险归因,业界视角偏重损失补偿。

  计算机网络(Cyber)作为一种“风险”,对保险业而言并非新鲜事物,以网络责任险为例,许多险种已经将其中一部分作为附加险纳入保障范围,如一般责任险(General Liability)、董事责任险(Director & Officer)等。但是作为独立的险种,网络保险的历史较短,保障范围、费率等重要条件尚无规范统一的市场共识。

  受学界与业界接受较多的广义的网络保险的保障范围包括部分第一类和第三类风险。实务中的保险产品选择性地保障这些风险,其中:

  第一类保险覆盖企业自身资产,包括:

  1.    数据和软件等信息技术资产的损失

  2.    网络失效导致的经营中断

  3.    信息安全敲诈:第三方的以攻击信息系统为由敲诈

  4.    私人敏感信息储存单位的信息安全认证成本

  5.    由于数据丢失引发的客户或业务丢失

  6.    由于设备失窃或电子入侵导致的财产或信息丢失

  第三类保险覆盖第三方的损失,包括:

  1.    相关个体在事故中的损失和修复成本

  2.    多媒体在电子媒体或纸媒上的相关责任

  3.    由于系统崩溃导致的第三方数据丢失

  第三部分  风险结构

  有些学者从地区、行业、波及范围和主体规模的角度,对网络风险出险的频率和强度进行分类统计和分析。在地区方面,统计结果表明北美和欧洲地区的出险频率较大(未以风险暴露基数作为分母进行平均)而亚洲和非洲地区的损失强度较大;在行业方面,主要的损失记录出现在金融行业,而非金融行业的损失强度却较高。在波及范围方面,风险波及在单个公司范围内的损失占绝大多数,其平均损失强度反而偏高。在主题规模方面,大型公司的出险记录最多,中型公司的出险强度相对最低。具体的统计细节如下:

  影响风险的因子 

  

(单位:百万美元)

记录数

灾害占比

均值

中位数

地区

非洲

19

1.91%

38.99

3.20

亚洲

180

18.11%

122.18

2.63

欧洲

231

23.24%

28.06

1.85

北美

516

51.91%

19.86

1.68

其它

48

4.83%

17.18

1.38

行业

非金融

213

21.40%

61.74

5.00

金融

781

78.60%

34.75

1.44

波及范围

公司内

827

83.20%

44.51

1.83

多公司

167

16.80%

20.84

2.04

主体规模

40

4.02%

27.81

1.30

51

5.13%

10.33

1.33

754

75.86%

46.39

1.50

  可见网络风险在上述因子分类上均存在较为显著的异质性,因此上述因子均可考虑作为风险因子参与定价。其中波及范围这一因素为后验因素,无法在损失发生之前获得,可以考虑使用类似市场相关性或系统重要性程度等指标进行先验评估,因此,可能的风险因子包括:地区、行业、市场相关性、主体规模等。

  第四部分  风险管理建议

  对于涉及网络安全和网络风险的企业而言,妥善管理企业的网络风险是保障企业正常的生产经营的重要条件之一。如何进行合理的网络保险产品购买和进行自留风险管理是企业管理网络风险的关键性议题。我们对此议题进行了一定的研究。依据研究的初步结果,本报告一般性地对企业的网络风险管理提供    以下策略建议:

  1.    按照报告所列风险分类对企业自身面临的网络风险进行系统性评估

  2.    针对公司的生产经营性质和风险偏好特征,判断公司超出风险容忍度的剩余风险

  3.    针对剩余风险进行网络风险保险产品的购买与配置

  4.    建立系统性的监管机制对公司自留的网络风险的相关人员和相关业务进行监管防控

  5.    定期进行IT系统压力测试和安全性测试,定期进行网络风险监管系统维护和改进

  6.    建立完善突发事件应对体系,明确相关措施责任人员

  一般地说,企业的网络风险管理需要建立在政府相关部门、保险服务机构和企业自身三方面协同工作的基础上,即政府相关部门设立有效高效的规章制度和监管体系;保险服务机构开发合理优质的网络风险保险产品;企业自身加强网络安全意识和网络风险监管体系建设。我国第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,预期将为有效管理网络风险提供了良好的大环境,在三方面协调配合的作用下,企业的网络风险能够得到妥善 的管理,在发生相应的危机的时候也能够得到有效的应对。

  (袁曦,FIA,中国再保险集团股份有限公司精算与风险管理部副总经理,电子邮箱:yuanx@chinare.com.cn;吴德杰,ACAA,中国再保险集团股份有限公司精算与风险管理部,电子邮箱:wudj@chinare.com.cn;田广宇,工学博士,中国财产再保险有限责任公司国际业务部承保师,电子邮箱:tiangy@chinare.com.cn 。)

关闭