|
实现数字化:网络保险为企业提供保障
2022年5月11日
陈永健, 傅至乐, 胡力行
商业世界波诡云谲,变幻无常。如今,企业家正致力克服全球疫情带来的挑战,而科技则不断缔造新机遇。自疫情爆发以来,数字生活大行其道,虽然带来便利,却也打开了「潘多拉盒子」,招致新的风险。
疫情下,各地广泛实施社交距离和封城等措施,因此一些犯罪行为如盗窃、爆窃、欺诈和抢劫等也从现实环境转移到网上,形成各种网络威胁,当中以网络钓鱼、僵尸网络和恶意软件(包括勒索软件)最为常见。
据估计,去年全球有超过60%的机构至少曾遭受一种形式的网络攻击,每天平均有30,000个网站被黑客入侵,每39秒就有一家公司成为网络攻击的受害者,而每天新建立的恶意软件约有300,000个。令问题更为严峻的是,现时的网络攻击手法日趋成熟,超过三分之一为前所未见。
有见及此,业界已广泛采用不同的缓解策略来应对各种网络风险,例如零信任云端网络、虚拟专用网络(VPN)以及Wi-Fi存取保护2和3(WPA2 和 WPA3)等,以增强数据加密和网络防卫能力。
由于目前许多网络风险都不受传统保单保障,因此网络保险(cyber insurance)越来越受企业欢迎。香港贸发局环球市场首席经济师陈永健专访伟然保险顾问有限公司执行董事邱恺敏,以进一步了解香港的网络保险市场,以及这个领域的发展可对香港公司的网络防卫能力发挥甚么作用。
伟然保险顾问有限公司执行董事邱恺敏。
陈:网络保险对香港许多企业来说比较新鲜,尤以中小企业为然。网络保险在香港的渗透率有多高?有什么主要买家?
邱:无可否认,有关网络保险的查询越来越多,但香港目前的投保率仍然落后于西方许多主要市场。国际公司和大型企业已开始将网络保险纳入风险管理计划内,他们的上下游供应商及业务合作伙伴也越来越认真地将网络保险视为营运的重要一环。一些小型公司已建立基本的网络安全系统,且越来越乐意购买网络保险,相比之下,部分初创企业或微型公司只有极少或根本没有网络安全系统,因此会被保险公司视为高风险投保人,较难获得承保。中小企业若希望以合理保费获得网络风险保障,至少应先建立一个基本的网络安全系统,然后才向保险公司投保。
不过,就网络保险而言,目前我们未看到有哪个行业特别多企业投保。然而,为防范风险过高者逆向投保,保险公司一般会避免为一些被视为网络风险较高的行业承保。例如,从事数据处理和支付网关业务的公司通常较难购买网络保险,原因是保险公司往往认为承保风险太大。
陈:网络保险的一般申请和核保程序是怎样的?保险公司如何评估准客户的潜在网络风险?
邱:网络保险的申请程序与其他保单类似,不过会较为全面。客户通常需要填写问卷,内容涉及其网络安全基础设施,以及已实施的规程。保险公司也会就一些常见网络事故,例如勒索软件攻击等,要求客户填写一份勒索软件调查问卷,以评估客户对此类攻击的防卫能力,并确定他们有否制订业务持续运作计划,应对勒索软件触发的网络安全事故。
陈:核保过程平均需要多长时间?通常会有风险工程师参与吗?保费和免赔额(又称垫底费或自付额)有多高?网络保单在索赔后会否自动终止?
邱:核保过程的快慢,要视乎客户提供的网络风险资料有多详细及可靠,可能需要约一个月或更长时间。随着近年网络攻击和索赔次数持续增加,越来越多保险公司会在核保过程中要求客户与其风险工程师进行一次风险工程商谈。
保费和免赔额视乎客户的规模和风险程度而异,每百万港元保额的保费既可低至数千港元,也可多达过万港元。香港的网络保险市场仍处起步阶段,而近年的保费也呈上升趋势。不过,随着本地商界对网络保险的态度日渐开放,以及更多保险公司进入市场,保费往后的变化仍有待观察。
陈:网络保险的索赔个案多不多?索赔主要涉及哪些方面?
邱:勒索软件攻击是迄今最常见的网络威胁,占2021年所有网络入侵事件的10%,且次数更增加了一倍,其次是数据泄漏。根据全球市场信息公司—国际数据公司(IDC)的《2021年勒索软件研究》,2021年,大约37%的全球组织曾受到某种类型的勒索软件攻击。Sophos是提供新一代网络安全解决方案的全球领导者。该公司指出,虽然所有企业都有可能成为勒索软件的受害者,但一些领域往往较易遭受攻击,包括教育、零售、专业及法律服务、政府、信息科技、制造、能源和公用事业基础设施、医疗保健,以及金融服务业等。
许多保险公司已确认,大部分涉及网络保单的损失都是由勒索软件攻击所造成。正因如此,他们收紧了勒索软件攻击的保障范围,例如实施共同保险条款,或要求客户另填一份勒索软件调查问卷,以便更好地评估风险。
并非每个勒索软件受害者都会支付赎金。因支付勒索软件赎金而提出索赔的比例,从2020年第三季的44%下降到2021年第三季的仅12%。可是,现在歹徒未必只攻击单一受害者,而是攻击供应链,以扩大打击范围。一个典型例子是2021年,美国软件供应商Kaseya遭受勒索软件攻击,旗下至少1,500家托管服务供应商(MSP)被瘫痪,其中包括瑞典800家Coop超市,攻击者索取7,000万美元赎金。
今时今日,歹徒会不断改变攻略。很多时,他们会发动分散式阻断服务(DDoS)攻击,将敏感数据泄漏到不同地方,并威胁会连同其他认证信息一起出售或泄漏,借此迫使受害者返回谈判桌或支付赎金,以换取解密钥匙。
勒索软件现在是大生意,恶意软件开发者从中获利。资料来源:DarkTracer
数据泄漏也是最常见的网络风险事件,仅次于勒索软件攻击。黑客入侵和网络钓鱼仍然是制造数据泄漏事故的主要方式,加上自全球疫情爆发以来,人们纷纷转为在家购物、工作、学习、娱乐和健身,企业也推行遥距工作措施,令上述情况显著增加。即使大多数员工和机构都日益警觉网络潜藏的风险,提防开启钓鱼电邮和点击可疑连结,但歹徒仍可通过黑客入侵和网络钓鱼来窃取用户的名称和密码、信用卡凭证,以及从财务到健康等各类个人资料。如今,网络安全事故仍以惊人的速度增加,而人为错误依然是最薄弱的环节,约95%的事故都是由此所致。
在香港,2021年,三分之二以上的恶意软件都是经云端储存空间下载的。政府电脑保安事故协调中心(GovCERT.HK)是香港政府成立的电脑保安事故应变小组,专责为政府协调处理信息及网络安全事故。该中心预料,以上趋势在2022年仍然持续。
过去5年,美国联邦调查局(FBI)互联网犯罪投诉中心(IC3)每天收到超过2,300宗投诉,2021年的损失总额据报为69亿美元。资料来源:美国联邦调查局《2021年互联网犯罪报告》
陈:除了财务索赔外,网络保单有没有什么增值服务?网络保险与其他财产和意外保险产品有何不同?一般而言,网络保单会否与其他保险产品捆绑销售?
邱:网络保险全都包含一些由鉴证服务供应商或信息科技顾问提供的服务,而其他一般保险产品只在出现诉讼或索赔时,才由保险公司理赔,因此两者大为不同。当发生数据泄漏事故时,大部分保险公司都会派出信息科技顾问和网络安全专家小组,协助投保人诊断网络安全系统,修复错误和漏洞,防止日后再发生同类事故。换句话说,公司购买网络保单后,不仅可通过索赔获得经济赔偿,还可在出现事故时获取专业服务,协助解决网络安全问题。
以往,保险公司曾试图将网络保险与其他保险产品捆绑销售,例如办公室或投资管理保险等。然而,鉴于网络保险性质不同,且索赔越来越频繁,如今大多数保险公司都倾向把网络安全列为独立的承保类别。
陈:科技正以惊人的速度改变世界。各类新型网上业务可瞬间窜红,例如加密货币和非同质化代币(NFT)等。网络保单如何确保投保人可就所有网络安全风险获得足够保障?你认为这些趋势会如何影响网络保险的普及?你对新进入这个领域的公司又有何建议?
邱:网络保险会就网络安全漏洞造成的损失提供保障,范围涵盖发生网络泄漏事故时各项针对公司及其人员提出的索偿,以及处理监管机构调查所产生的法律费用。当发生网络泄漏事故时,公司的当务之急是找出网络安全系统中的漏洞,并恢复数据系统,这两点对那些十分依赖技术和互联网的公司尤其重要。网络保险可以将投保人与信息科技顾问和其他服务供应商联系起来,以便在网络遭受入侵后进行补救,同时就相关收入损失为投保人提供财务保障,让他们得以尽快恢复业务。
鉴于涉及勒索软件和网络犯罪的索赔与日俱增,保险公司在接受新企业投保时都变得更加保守。与加密货币和NFT相关的网络风险,通常与诈骗和欺诈等网络犯罪有关,这对保险公司来说是个新领域。由于性质独特,以及难以确定所有权,因此传统保险公司倾向拒绝承保。即使保险公司可以承保,也只会按保单设定的最高赔偿限额理赔。不过,现时新兴保险公司也会因应不断增长的需求,考虑承担此类风险。
因此,若公司面临的网络风险日增,便必须采取足够的网络安全措施,并制订相关的业务持续运作或应急计划,以保障业务正常运作。在核保过程中,网络保险公司会提出很多问题,以评估投保公司的网络风险。公司应将核保过程视为类似定期检查的自我评估程序,趁机检视网络安全系统和业务应急计划的稳健状况及有效性。
员工的网络风险教育也非常重要,因为许多网络泄漏事故都是由于员工培训不足或粗心大意,不慎点击网络钓鱼超连结、浏览可疑网站或误信诈骗电邮所造成。公司也应定期更新和测试软件及系统。
企业千万不要以为自己不会受到网络攻击。「预防胜于治疗」这句话同样适用于网络世界。企业一旦受到攻击,所面对的影响和后果均十分严重,无论是损失和索赔后的保费都是如此。一家公司若在购买网络保险前曾遭客户或业务合作伙伴提出网络索偿,日后投保就很困难。他们不仅先要解决索偿问题,准承保商开出的保费也会更高,所作的风险筛查也会更为彻底。
我们也留意到,现时越来越多公司要求业务合作伙伴购买网络保险。保险公司在核保过程中,往往会发现投保人的网络安全系统存在漏洞,但他们本身却不察觉。这些漏洞未有造成重大损失,很多时实属侥幸,而核保过程所作的网络风险筛查,则可使问题及时受控。由此可见,核保过程可为公司提供良机,彻底审视其网络安全风险并处理有关问题。任何人都可能成为网络攻击的受害者,所以公司无论规模大小,都应将网络风险视为一大威胁,必须定期审视。
陈:2020年,美国单独网络保单的直接损失和抗辩及费用限额(defence and cost containment,DCC)比率为70%左右,许多主要市场业者的损失率更超过100%。以受欢迎程度和盈利能力而言,你认为网络保险在香港的未来发展将会如何?
邱:有见消费者和企业越来越多参与数字活动,也日益依赖科技,网络保险只会更趋普及。保险公司进入网络保险市场面临的主要障碍,是如何在预期网络索赔将会增加的情况下,以合宜的价格发出保单。保险公司当然明白市场对网络保险需求殷切。然而,由于网络保险需要一个庞大的支援生态系统,例如与律师、服务提供者和申报系统的联系,准业者在发展中市场开展新的业务活动时,先决条件是确保有利可图。至于现时已有提供网络保险的业者,我们相信他们会长期发展下去。
2020年,网络保险市场前20大集团的平均损失率为66.9%。资料来源:美国全国保险监督协会(National Association of Insurance Commissioners)
此外,保险公司若在索赔、支付、保障范围和保费等方面拥有更多可靠的历史数据,以进行更佳的风险价值(VAR)评估,便会更有信心进入网络保险市场。我们希望在不久将来,网络保险的受欢迎程度和盈利能力能稳定增长,吸引更多亚洲业者涉足。这样,企业就有更多保险公司和网络保险产品可供选择。
从更广泛的角度来看,改善网络风险评估和管理政策可以加强公司的企业管治制度,从而强化其整体的环境、社会及管治策略(ESG)。不难料想的是,一家公司的ESG表现越好,发生事故和索赔的可能性就越低。换句话说,在ESG上取得成效,有助公司在各种保险计划中获得更好的条款,包括但不限于一整套的金融保险解决方案,以便在当今充满挑战和变化的商业世界中,为公司、管理人员和专业人士的潜在责任提供保障。
- 科技
- 香港
- 香港
