本文以2021年5月发生的美国科洛尼尔公司网络勒索事件为例,对照解读网络安全保险这一新兴险种。国内网络安全保险尚处于起步阶段,本文试图通过分析企业网络安全风险管理现状、国际网络安全保险市场发展趋势,提出针对国内网络安全保险发展的配套建议。
作者| 赵帅「中国人民财产保险股份有限公司特殊风险保险部」
文章|《中国保险》2021年第8期
美国东部时间2021年5月7日,科洛尼尔公司受到勒索软件攻击。受此影响,美国东部沿海各州输油管道被迫关闭,白宫因此宣布国家进入紧急状态。至5月12日,科洛尼尔公司才宣布逐步恢复燃油管道运输工作。科洛尼尔公司是美国最大的成品燃油管道运营商,每天运输超过1亿加仑的燃料。科洛尼尔公司遭到勒索软件攻击数小时后,该公司高层授权支付了440万美元的赎金,并表示:“做出此决定非常艰难,但是对于这个国家来说,这是正确的做法。”
案件最新进展
经过两个月的发酵,科洛尼尔公司网络勒索事件有了最新进展。其中,正面消息是美国司法部在6月通过技术手段追回了230万美元赎金,科洛尼尔公司的赎金损失由440万美元减少到210万美元。负面消息是在事故发生后的两个月内,科洛尼尔公司已面临两起集体诉讼。其中一起诉讼声称此次勒索事件造成的第三方损失超过500万美元,要求科洛尼尔公司进行经济赔偿。
网络勒索的前世今生
一、网络勒索黑历史
网络勒索是一种计算机恶意行为,世界上首起网络勒索发生于1989年12月,名为“AIDS木马”。以此命名是因为该恶意软件是针对1989年参加世界卫生组织艾滋病会议的代表。黑客向参会者发送了包含恶意代码的软盘,软盘内的恶意代码在MS-DOS系统运行后会对计算机启动进行计数。当计算机第90次启动时,该恶意代码加密驱动器上所有文件的名称会使计算机无法使用。受害者将收到一张据称来自“PC Cyborg Corporation”的便条,该便条说受害者的软件租约已到期,需要邮寄189美元到巴拿马的一个地址才能重新使用。只有支付赎金才能使受害者重新获得对计算机的使用权,这使“AIDS木马”成为第一个勒索软件。
如今,网络勒索的模式已全面进化:黑客劫持攻击目标的信息系统,植入勒索病毒导致系统或文件不可用,之后要求受害者支付赎金,在勒索得手后再向受害者发送密钥。由于加密货币交易难以追踪,黑客往往要求用加密货币支付赎金。另外,网络勒索正演变出更具破坏力的攻击方案,黑客除了对文件进行加密外,还会窃取文件、限定赎金缴纳的时限,被害者如未在规定时限内缴纳赎金,赎金的金额会加倍,并以泄露数据作为要挟。部分黑客还会主动向媒体、受害人的客户等曝光勒索事件,利用媒体、业务链压力迫使受害者支付赎金。在多重胁迫下,越来越多的被害者会选择通过支付赎金方式解决危机。
二、涉案黑客团伙简介
据美国联邦调查局确认,此次事故的袭击者为“黑暗面”黑客团伙,该组织于2020年8月被首次发现。在技术路线上,“黑暗面”的勒索方式较传统模式没有突破,但其强项是对攻击目标的深度调查,即在实施攻击前,该组织会分析目标公司的管理层构成、决策环节、公司规模、财务情况等信息,判断其支付赎金的能力和可能性。在确定攻击目标后,“黑暗面”会用漏洞检测工具扫描攻击目标的漏洞,建立初始访问权限。在一些活动中,当获取服务器权限后,“黑暗面”会将数据传到他们的内容分发网络(CDN)服务器上。随后,该组织会加密受害者的文件,将部分信息上传至其暗网博客,并声称若不交付赎金,将公布受害者的敏感数据。另外,“黑暗面”组织还试图通过网络攻击手段做空企业,让公司股价下跌,增加受害者的压力。
涉事客户网络安全保险情况
此次科洛尼尔公司遭受的网络勒索为典型的网络安全保险事故,网络勒索赎金、营业中断等已知损失均可触发保单索赔。
根据公开信息,科洛尼尔公司持有的网络安全保单由Beazley等公司承保,保单限额至少为1500万美元,保单责任范围、分项限额等信息尚未披露。根据Beazley在售的保单措辞,保障范围如表1所示。
在损失方面,此宗案件的主要损失集中在勒索赎金、营业中断以及集体诉讼导致的第三方民事赔偿上。其中:在赎金部分,科洛尼尔公司支付的赎金约440万美元,剔除已追回的230万美元,赎金的净损失约为210万美元;在营业中断部分,据英国路透社计算,该公司停运一周的净利润损失将近900万美元;在第三方民事赔偿部分,目前已知的集体诉讼提出的第三方索赔已超过500万美元,但索赔的具体内容尚未得知,暂不确定是否在保单责任范围内。
综上,我们大胆推断科洛尼尔公司持有的网络安全保单将面临巨大索赔,索赔金额将不低于1610万美元。
典型案件对企业客户的启示
科洛尼尔案件的发生凸显了网络安全的不确定性,而适时引入网络安全保险可以帮助企业管理网络残余风险、提升灾后复原能力。
一、基于网络风险环境
目前,传统企业普遍开始大量使用数字化、互联网等新技术提升业务效率,新技术的应用带来了如网络风险等诸多新兴风险。按照传统思维,应用网络安全技术可以使网络风险逐渐可控。但事实却是,即便在美国这种网络安全技术高度发达且具有国家级网络安全专业组织的国家,仍然发生了能源基础设施受网络攻击的事件,折射出现有的网络安全手段无法完全消灭网络风险。网络安全技术应用仅可能降低网络事故发生的频率,但无法消灭网络事故发生的可能性,更无法减轻后续带来的巨大损失。
二、基于企业内部管理
前文提到,即使是残余的网络风险亦可能引发受害方的经营波动及较大的财务损失。由于保险的损失补偿功能和经济杠杆特性,使持有网络安全保单的组织能通过有限的支出提升对网络灾害的对冲能力和灾后复原能力。因此,对于追求稳健经营的企业来说,购买网络安全保单是一种较好的网络风险管理实践。
案件对保险市场的影响
一方面,网络安全事故频发导致网络安全保险市场需求激增。2020年,北美的网络安全险保费规模超过27亿美元,年增长率约22%。同时,该险种的渗透率亦大幅上升,某国际保险经纪全球客户持有网络安全保单的比例由2016年的25%升高至2020年的近50%。另一方面,事故频发导致近期网络安全保险市场的经营状况堪忧。根据惠誉的数据,2020年独立网络安全保单的直接损失及防御费用比率提升至73%(之前五年的平均水平为42%),案均赔付从2019年的14.5万美元上升到2020年的35.8万美元。
对我国保险市场的启示
我国的网络安全保险产品体系处于起步阶段,需要进一步提升产品力和服务水平才能匹配日益增长的需求。
一、国内需求日益增长
网络风险没有地域限制,全球网络环境恶化,境内机构也无法独善其身。根据Macfee的数据,我国2020年因网络安全问题造成的损失高达600亿美元,居亚洲首位、全球第二。严峻的形势刺激了市场需求的增多,近两年除了外资或合资企业外,一些具有较高风险管理意识的央企、民企也尝试购买网络安全保险。
二、供给水平有待提升
国内保险公司在该领域起步较晚,各家主体在产品、定价、风控、理赔、服务等环节处于探索阶段,还没有形成完备的业务体系。要实现该险种的良性发展,笔者认为保险公司至少要在以下方面修炼内功、提升能力:
(一)合理设计产品
现阶段国内保险公司的网络安全保险条款主要借鉴外资公司的措辞。外资公司条款的侧重点(第三方责任和第一方损失并重)与国内客户(主要为第一方损失)的保障需求有一定差异。因此,保险公司在设计保障方案时要充分考虑国内客户的风险画像,合理配置保障范围,将事故响应、数字资产重置、应急费用等客户关注的第一方损失作为主要保障输出,与市场需求相匹配。
(二)科学定价
由于损失数据和理赔经验匮乏,国内保险公司尚未建立健全网络安全保险定价体系,会依赖国际再保人开价。国际再保人的定价模型基于全球的风险数据,但由于在法律法规、信息化程度、管理水平等方面有较大差异,网络风险在国内外所呈现的损失形态很不同。建议保险公司在定价时关注本地特有的风险因子(如参考信息安全等级保护评估结果等),才能保证定价与承保风险的匹配度。
(三)注重网络风险减量管理
从国际市场的发展趋势看,网络安全保险承保人正在从只提供保险保障,转变为提供包括主动防御在内的网络风险解决方案。例如,国际承保代理机构Volante Global在2021年的网络勒索保险产品中要求被保险人必须应用名为Trident Lockdown的多层网络安全解决方案,才能够获得保单保障。从国际市场的做法可以看出,用“风控服务+保险”的模式经营网络安全保险是业界的普遍共识。客户可以在锁定成本的情况下,获得网络安全能力的提升和处置网络灾害的灵活性。在把实施风控作为投保基线时,保险人用确定的风险防御投入降低了预期损失,进而获得承保收益。另外,保险人通过主动风险控制,还可以将一部分“不可保业务”转化为“可保业务”,进而扩大业务规模。
(四)提升产品灵活度,满足不同客户需求
网络安全保险推广中的一个主要问题是不同类型的企业在需求层面有较大差异,保险公司难以找到“广谱”的方案投放市场。其中:
中小企业对网络安全建设的投入有限,缺乏基本的防御、灾备能力,在面临网络灾害冲击时较为脆弱。针对中小企业,保险公司可考虑提供“小而精”的保障方案,即保额较低、保障简易但配备一定风控服务的组合方案,例如保前检测、防控系统升级、威胁监控、数据备份等。中小企业能在购买保险的同时获得基本的网络安全保障能力,从而有效降低出险概率,保险公司的应急服务和及时赔付也能提升投保企业险中、险后的复原能力,减轻网络安全事故对中小企业经营造成的冲击。
大型企业一般财务实力雄厚,会主动提升其自身的网络系统安全状态,降低网络安全事故的发生概率。但客观情况是100%的安全是不可能达到的,在安全可用性达到一定程度后,安全投入的边际效益会急剧递减,将安全可用性从99.90%提升至99.99%的成本将远超从99.0%提升至99.9%。而保险特有的杠杆机制能帮助企业用较少的成本换取对极端损失的风险转移,提高安全投入的边际效益。同时,大型企业对网络安全事故造成的经济损失有较高的容忍度,小额保障对其缺乏吸引力,客户对保险的需求是防范低概率下的巨额损失。另外,大型企业通常还面临着更大的第三方责任风险。上述特性要求保险公司只有提供“大而美”的网络安全保险方案,才能真正满足该类客户的实际需求。此外,在实务中,部分大型企业乐于借助保险公司的“中立视角”审视自身网络安全建设情况,也希望保险公司提供额外的应急响应资源作为企业既有能力的有益补充。因此,保险公司既要提供充足的保险保障,还要具备风险检验、事故响应、危机公关等服务能力,方能满足客户的多样化需求。
(五)组建网络安全保险理赔专业团队
网络安全保险理赔专业团队目前在国内尚属空白,现阶段更多是借助第三方的技术力量对外输出理赔服务。理赔是保险服务中最能体现保险公司技术实力和服务价值的环节。保险公司如果无法做到“自主、可控”,将很难实现理赔服务的保密性、时效性、可靠性,也难以有效帮助客户控制损失。另外,现代保险发展的潮流之一是将传统的赔付服务升级为风险减量服务。网络安全保险的赔偿责任(如应急响应)和风控服务(如保前漏洞发现和保中威胁监控)具有较强的风险减量属性,与先进的保险经营理念高度契合。这就要求保险公司必须具备独立自主的网络安全风控和理赔能力,才能有效输出“风险减量”服务。
综上,重复上演的网络安全事故预示着网络安全保险领域将有较大的业务发展空间。在日趋复杂的网络风险面前,保险公司需要输出“服务+科技+保险”的一揽子风险解决方案,打造先服务后销售的商业模式,提供专业化风险管理服务,以前端服务锁定后端保险产品供给,并把风险管理服务作为网络安全保险承保的必备要件,在满足客户需求的同时,获得长期而稳定的经营效益。
标签: 财产保险案例
