網絡保險是一項正在進行的工作，許多現有客戶實際上是“小白鼠”。

網絡保險業的基本問題很容易陳述，但很難解決。收入(保費)必須超過支出(索賠)約30%(運營成本+利潤)。如果索賠增加，保險模式的保費也必須增加，才能維持下去。

但網絡犯罪的成本正在急劇上升，而且多年來一直如此。不斷提高保費以應對不斷增加的索賠最終是不可持續的。遲早，本來是企業風險管理有效形式的保險，其成本會變得過于高昂。因此，網絡保險要想持續下去，就必須找到一種平衡成本收益的方法。

一個可能的解決方案是，降低成本(索賠)會比增加銷售額(保費)更快地提高損益率。這是保險業目前正在考慮的方案。首先，可以通過增加保險單中的除外責任來降低成本。當然，這會降低保險作為風險管理工具的價值，而且可保范圍也受限。其次，如果客戶的安全狀況能夠得到充分改善以減少索賠，那么保險成本也可以降低，或者至少保持在當前水平。

當前網絡保險的問題

根據研究機構Moody在2021年10月19日聲稱：“勒索軟件的激增已經導致網絡保險策略的損失，保險公司的損失在2021年可能會增加。雖然保險公司已經看到了勒索軟件的激升而逐漸提高網絡保險定價，并降低了保單限額，增加了免賠額，同時收緊了條款和條件。”

勒索軟件是目前業界和保險公司的一大難題。但這并不是唯一的威脅。BEC(商業郵件欺詐)也同樣能造成巨大且難以預測的損失。許多研究人員認為，隨著技術的進步(典型的如Deepfake)，BEC將在2022年繼續擴大。

在大多數保險市場，保險公司擁有數百年的航海、汽車、家庭和人壽保險損失及其原因的數據。這些數據作為精算表，提供了準確的證據，可以作為個案保費的基礎。但對于網絡空間來說，沒有這樣的精算表，而且也不太可能被編制成表。

“我認為保險業無法創建網絡安全精算表，風險是不可預測的。攻擊者很聰明，一直在尋找利用受害者的新方法。是的，我們正在變得更好，我們有更多的數據——但三年前的損失經驗與今天無關。保險業會像汽車業那樣獲得精算表嗎?我不認為會發生這種情況?！?-Cowbell保險主管克里斯·里斯

由于沒有歷史數據的幫助，保險公司無法主動設定準確的保費，而是被動做出反應。通過設定更高的保費和保險條件來應對不斷增加的索賠。簡而言之，購買保險變得越來越昂貴，續保變得越來越困難，有時甚至不可能。

但另一方面，盡管網絡保險的成本不斷上升，覆蓋范圍不斷縮小，但該市場仍在迅速擴張。2021年5月，美國政府問責制辦公室(GAO)發布了來自全球保險經紀公司MaSH的數據，表明客戶購買網絡保險的比例從2020上升到47%，2016年這個比例是26%。

主要原因就是網絡犯罪的持續增長。據一些調查報告估計，網絡犯罪已經給全球經濟造成了數萬億美元的損失，并且未來幾年還會繼續增長。保險業要想在更大的市場覆蓋越來越多的索賠，需要做的不僅僅是反復提高保費，因此一個可行的解決方案是通過提高客戶的網絡安全來減少索賠。問題在于，對于保險公司而不是網絡安全公司來說，該如何去做呢?

網絡保險的可能路徑

支付卡行業有一個安全標準(PCIDSS)，所有公司在接受銀行卡支付之前必須遵守該標準。提高被保險人安全性的一個途徑是制定類似的安全標準并要求其合規。

英國的汽車保險行業有先例。在駕駛員為機動車輛投保之前，車輛必須首先通過交通部(MoT)設計的測試，并獲得MoT證書。保險是法律要求的，所以測試也是法律要求的，保險業在受益的同時，也會因為客戶有證書而降低保費。美國的通常做法是，要求汽車保險覆蓋第三方責任。

目前還沒有法律要求企業必需購買網絡保險——但未來發生這種情況的可能并非不可想象。

合規要求的強制保險，其價值可以從證書上體現，如上文中的MoT證書，通過該驗證則證明客戶的高安全性，也因此保險公司會提供更低的保費。但這只是假設，在網絡保險這個領域，安全證書能否減少被保險人的索賠概念，并最終得以讓保險業將保費保持在當前或更低的水平，答案還是未知。

“PCI無疑提高了很多公司的網絡安全基準，但它并沒有神奇地解決這個問題。你可以通過PCI審核，但仍然會被入侵。支付卡行業的問題是，是否能讓攻擊成本大于收益?”--趨勢科技市場戰略和企業發展主管Eric Skinner

也許只有時間才能證明，保險業是否能夠開發、維護并要求遵守一個行之有效的可靠安全標準出來。

特殊控制是否可行

保險業的另一種做法是對不同的客戶進行不同的控制，這將比單一的通用的標準更加靈活。風險對于不同的行業不同的用戶不同的時期都是不同的，所以既可以不同用戶不同規定，也可以在續保時或每年對其進行更改修訂。

但這樣做意味著，保險公司會介入客戶的安全評估工作。比如，網絡保險業務人員會要求客戶提供一份關于其安全狀況的聲明。如同年度合規審計的調查問卷，但這種問卷在降低風險上的作用不大。比如，“您部署了EDR嗎?”一些保險經紀人表示，如果客戶的回答是“No”，他們就有很高的被拒絕或不續簽的風險。

但根本的問題在于，安全性并不是通過部署安全產品來增強的，而是通過正確地實施和充分地使用來增強，這是無法通過問卷調查來衡量的。因此，這就要求保險人員了解投保公司的業務，了解該公司CISO所掌握的安全狀況。先不說保險人員有沒有這種能力或意愿，客戶愿意嗎?

實施持續監控

第三種方法是保險業根據第三方安全評估公司的建議支付保費。這種建議以持續的安全態勢監測為基礎，也更容易被客戶接受。保險公司可以簡單地說，我們的掃描顯示你在某某方面很弱，加固這些方面就有可能獲得較低的保費。

但這種評估的缺點是大多數掃描只能看到客戶基礎設施的外部視圖，但也依然有效，因為絕大多數黑客也是這樣做的。收斂攻擊面，脆弱性加固都可以提升黑客的攻擊成本，使其很難找到切入點。

但如果能從外部監控逐步升級到對整個基礎設施的內部持續監控，無疑可以讓保險公司對客戶投保所需的保費進行更智能的評估。從某種意義上可以說，那些提供安全評估服務的公司就像保險經紀人的助手，為經紀人提供必要的信息，以在與客戶的協商中決定最合算的保費。

網絡保險業的未來

網絡保險是個正在嘗試的新險種，這意味著許多現有客戶實際上是試驗品。而且上文中提到的，當前不斷增加的保費和除外責任以抵消不斷上升的索賠的模式是不可持續的。保險公司已經意識到這一點，并正在積極尋求解決方案。雙方的目的是一樣的，提高安全性，降低網絡攻擊造成的損失。

Resilience首席執行官Vishaal Hariprasad認為，解決方案將伴隨著投保人、網絡安全和保險公司之間的新關系而產生。Hariprasad于2016年進入保險行業，此前曾擔任Palo Alto威脅情報架構師。他還有一個身份，美國空軍預備隊的網絡作戰官。

“在2016年，可以購買價值100萬美元的網絡保險。經紀人會問，你有IT人員嗎?你們買了防火墻嗎?但他們從來沒有問防火墻是否打開過，因為整個保險業都不在乎。但這是必須改變的，保險公司需要知道，你的防火墻打開了嗎?它是否一直在更新?是否不斷引入正確的數據源?是否在監控?”保險人和被保險人之間需要一種新的合作關系。

換句話說，保險公司通過與威脅信息共享機構的關系，要成為客戶的網絡安全顧問。投保人和保險人都在尋求同一個目的——更好的網絡安全，這可以通過雙方都能接受的方式來實現，而不是以官方強制的方式。

Hariprasad認為，成功的網絡保險業務，最重要的是共同參與和持續監控，即投保人和充分了解威脅狀況的保險公司雙方之間的共同參與，以及對網絡安全緩解措施的持續監控。

網絡保險和網絡安全必須學會協調工作，而不是被視為彼此的替代品。保險公司必須成為投保人董事會值得信賴的顧問，董事會也必須學會與保險公司合作，改善網絡安全措施，提升企業安全能力，盡可能地降低保費。