前段時間一直占據網絡安全頭條的SolarWinds供應鏈攻擊事件，波及范圍極廣，影響了大量科技企業，黑客還獲取了微軟Azure等產品的部分源代碼。有報道稱，甚至連美國宇航局(NASA)和聯邦航空管理局(FAA)的網絡也被入侵。2月4日，美國紐約州率先給保險劃了一個框架，發布了美國第一個網絡安全保險風險框架。

這類大規模攻擊造成的損失難以估算，企業們復盤時看著一長串的損失數字，默默在網絡安全保險預算后加了個0。

遭遇大范圍黑客攻擊，企業是否只能自認倒霉?除了技術補救，還有什么方法可以將經濟損失降到最低?

保險也許是解決方法之一，給企業安全和數據財產上一重保險。

[[384579]]

惡意勒索、釣魚攻擊成2020年企業主要安全事件

將視線轉回國內，2020年我國也發生了不少網絡安全事件。釣魚郵件攻擊、惡意勒索軟件、供應鏈攻擊等層出不窮。

據安全服務商瑞星發布的《2020年中國網絡安全報告》顯示，其系統在2020年共截獲勒索軟件樣本156萬個，感染次數為86萬次;挖礦病毒樣本總體數量為922萬個，感染次數為578萬次。

同時，2020年截獲的病毒數量也比2019年同期上升43.71%，達到1.48億個，病毒感染次數高達3.52億次。

2020年病毒類型統計，來源：瑞星2020年中國網絡安全報告

除此之外，企業安全事件也頻頻發生。新型冠狀病毒疫情期間，多個APT組織利用疫情相關信息作為誘餌進行網絡攻擊，中國是頻繁攻擊目標之一。這些APT組織主要利用疫情相關話題的釣魚郵件，通過宏、0day或Nday等漏洞進行攻擊。尼日利亞網絡釣魚組織也通過郵件釣魚等方式對我國進出口貿易、貨運代理、船運物流等企業實施攻擊。

2020年上半年，7000多名武漢返鄉人員信息泄露，將公民個人信息安全問題再次暴露在大眾視線中。中國電信超2億條信息以每條0.01元至0.02元的價格被賣出、非法牟利2000余萬元。

網絡安全公司Deep Instinct最新研究報告顯示，2020年，全球惡意軟件總體增加了358%，勒索軟件增加了435%。

“特別是新型冠狀病毒疫情期間，許多公司加速了數字化轉型，在線業務體量變大，居家遠程辦公更易暴露安全問題，安全團隊難以及時響應各種攻擊。”Deep Instinct首席執行官Guy Caspi做出上述分析，他表示，除了攻擊量龐大，攻擊變得更加復雜也使檢測困難。

網絡攻擊體量之大令許多企業深受其害，除了從自身技術和安全團隊方面下功夫，一定程度上也催生了網絡安全保險需求，行業規模日益擴大。

我國的網安險：起步晚、險種少、歷史數據不足

自上世紀90年代中期首批互聯網網絡安全保險產品面世以來，行業發展緩慢，直到2010年后行業規模才開始有大幅度提升。

2012年，全球網絡安全保險規模達到5億美元，其中美國占據絕大比例的市場份額。相關市場調查統計，美國企業投保網絡安全保險比例高達70%。

歐洲網絡安全保險市場也在2018年5月歐盟《通用數據保護法案》(GDPR)實施以后迅速壯大。法案對數據保護要求嚴格、涉及企業多、罰款金額高，例如英國航空公司因泄露50萬客戶的個人及信用卡信息被罰款2億歐元。于是，很多企業開始借助保險工具來轉移風險。

亞洲等其他新興市場的網絡安全保險行業由于起步晚、法規不完善等原因，該行業依然處于緩步發展階段。

起步晚、險種少、歷史數據不足、主要面向企業端，是我國網絡安全保險行業的現狀。

2013年，蘇黎世保險在中國首次推出網絡安全保險，但反響平平。這種情況直到2016年11月《中華人民共和國網絡安全法》通過才有所改善，企業的安全保險意識開始提升，保險公司也開始推出相關險種。

某再保險公司調研顯示，目前中國市場上購買網絡安全保險的企業以國際性企業和世界500強企業為主。它們通常持有全球性的網絡安全保單，某些獨立保單的保障限額在人民幣3億元至10億元之間，有些甚至達到10億元以上。

中國本土企業中，電子商務行業由于業務對線上依賴程度高，所以對網絡安全保險的需求也更高。

有機構觀察到，在中國，中小型企業對網絡安全保險的投保積極性更高。據統計，2019年中小企業遭遇的網絡安全事件中，26%為勒索軟件、26%為虛擬挖礦、17%為蠕蟲病毒、14%為入侵事件。由于自身人力和應急響應機制不健全等原因，中小企業更傾向于借助保險工具轉移部分網絡安全風險。

中小企業網絡安全事件類型分布，來源：綠盟科技

網安險該如何突破現狀

2019年，工信部曾發布《關于促進網絡安全產業發展的指導意見》，提出要探索開展網絡安全保險服務。原中國保監會副主席周延禮也曾表示，解決中國的網絡安全問題，需借鑒成熟市場的有效做法，大力推動網絡安全保險市場發展。

雖然中國網絡安全保險行業正在逐步升溫，但其中還面臨不少困難。對于保險公司而言，難點在無法準確衡量網絡風險、系統性風險考慮不足、網絡攻擊事件的權責劃分和除外條款。對于企業而言，難點在于險種選擇少、保費高、賠付額度有限。

以2017年現象級的NotPetya網絡攻擊事件為例，美國制藥巨頭默克公司稱該網絡攻擊已致公司損失5.8億美元，且隨著時間的推移損失還將增加2億美元。但保險專家給出的理賠額度僅為2.75億美元，不到實際已產生損失的一半。

[[384580]]

NotPetya網絡攻擊，來源：網絡

如果說默克公司已算幸運，那同樣遭受NotPetya攻擊的食品巨頭億滋國際提出的賠償要求則被拒絕。蘇黎世美國保險公司以“任何政府或主權力量的敵對或戰爭行為免于賠付”為由拒絕賠付，因為在美國情報官員將NotPetya惡意軟件的來源認定為俄羅斯軍隊針對烏克蘭的攻擊。

相比于國外有公開的賠付案例，國內公開的案例則比較少，企業也會出于品牌形象考慮避免宣傳此類信息。

對于網絡安全保險來說，網絡風險很難理解，規避起來也很麻煩。威脅環境不斷變化也導致保險公司需要不斷調整整體保險計劃。網絡安全保險不像財產險等成熟的保險業務，市場上有豐富的歷史數據，在設計和購買產品時市場上有可參考的目標額度和實際情況。

例如，與2015年至2017年的安全事件相比，2020年勒索軟件大行其道。想要應對勒索軟件攻擊，保險公司就必須跟上行業發展或者選擇和網絡安全公司合作，開發出合適的產品。

對于企業來說，保費較高是面臨的問題之一。這也是全球所有企業面臨的網絡安全保險現狀之一，因為保險公司對網絡安全風險的認知不深，出于保守定價考慮，將保費定的比較高。

美國紐約州前不久發布了美國第一個網絡安全保險風險框架，給所有財產和意外保險公司提供指引。該風險框架主要有七個方面：

• 建立正式的網絡保險風險策略;
• 管理并消除沉默網絡保險風險敞口;
• 評估系統性風險;
• 嚴格衡量保險風險;
• 為被保險人及保險提供方提供教育引導;
• 獲取網絡安全專業知識;
• 向執法部門發布通報。

該風險框架對我國網絡安全保險行業同樣具有借鑒意義。一方面，我國應該制定關于網絡安全保險的法律法規，為網絡安全風險的評估和等級界定提供確切標準。另一方面，保險公司要提高風險衡量能力，可以選擇與安全廠商聯手設計保險產品，并且提高網絡安全保險的精算能力。

作為企業方，則應該加強網絡安全意識，提升自身技術能力或調整單一性業務架構，提高應對網絡攻擊能力。同時，企業還應該選擇一份合適的網絡安全保險，轉移部分風險。