印度航空信息泄露一事，將航空公司用戶信息安全話題再次推上風口浪尖。5月23日，北京商報記者梳理發(fā)現(xiàn)，隨著線上化的加速推廣，近年來各行各業(yè)均有受到黑客攻擊，從航空公司、金融機構、成品油管道運營商，到線上教育機構不一而足，重復上演的網絡安全事故再次凸顯網絡安全保險的重要性。業(yè)內人士認為，網絡安全保險有助于減少企業(yè)損失、轉移剩余風險、助力企業(yè)發(fā)展，與此相伴相生的諸多數(shù)據監(jiān)測管理方案亦可能從根源上拔除信息泄露風險;同時，保險行業(yè)數(shù)據依賴性較強，一旦消費者隱私方面出現(xiàn)問題將嚴重制約行業(yè)可持續(xù)發(fā)展，因此在保險科技發(fā)展過程中，保險業(yè)面臨數(shù)據保護和隱私的責任，必須盡責地使用數(shù)據。

網絡安全事故頻出待服保險“定心丸”

印度航空公司5月21日晚發(fā)表聲明稱，該公司大約450萬名客戶的數(shù)據遭黑客竊取，黑客竊取的數(shù)據包括客戶姓名、信用卡賬號和護照信息，目前印度航空已著手采取補救措施，與外部專家和信用卡公司合作加強數(shù)據安全。

印度航空公司的數(shù)據泄露，實際上只是網絡信息安全事故的冰山一角。在此之前，2018年、2020年英國航空公司、英國易捷航空公司分別遭黑客攻擊而泄露40萬名客戶和900萬名客戶的數(shù)據信息。

除了航空工業(yè)外，日前美國最大的成品油管道運營商ColonialPipeline在當?shù)貢r間5月7日因受到勒索軟件攻擊，導致部分IT系統(tǒng)停機，管道運營中斷。此外，金融機構、在線教育機構等各行各業(yè)均有數(shù)據泄露造成用戶信息“裸奔”。

重復上演的網絡信息安全事故，愈發(fā)凸顯了網絡安全保險的重要性。所謂網絡安全保險，保障的是由于網絡安全事件給企業(yè)帶來的直接財產損失以及第三方客戶提出的索賠責任。

全國政協(xié)經濟委員會委員、原保監(jiān)會副主席周延禮此前表示，網絡安全保險是分散網絡風險的有效工具。保險公司通過承保其他的風險管理的手段無法處置的風險為企業(yè)提供風險管理服務。同時，網絡安全保險能夠幫助這些企業(yè)解決事故責任，提高風險防范水平。網絡安全風險是相對的，可以通過保險的方式轉移不確定的風險。

對此，國內各保險機構“八仙過海，各顯神通”。如日前數(shù)據安全廠商北京億賽通科技發(fā)展有限責任公司與太保財險合作開展網絡安全保險業(yè)務，為企業(yè)提供基于億賽通“文件防火墻”產品的保險服務。

而早在去年，“源堡科技”亦與國任財險、網絡安全公司美創(chuàng)科技共同推出行業(yè)首款專門針對勒索病毒的險種，企業(yè)可通過購買勒索軟件防護保險來完善自身的風險管理體系，通過保險對未知的風險進行轉移，并可通過核心技術對目標企業(yè)客戶進行風險識別及安全能力評估，基于評估結果即刻生成“一兜到底”的專屬定制化保險解決方案。

而在保險業(yè)本身數(shù)據信息安全的保護方面，如眾安保險有數(shù)據安全管理矩陣，從能力維度、場景維度和管理執(zhí)行維度建設安全管理;技術方面，從技術架構維度，包括網絡層、終端層、基礎設施層、業(yè)務應用等所有層面對所有數(shù)據進行分級分類控制，同時在技術執(zhí)行層面會引入技術進行識別、保護、檢測、響應及處置。

此外，信美人壽相互保險社亦在近日通過了國際權威認證機構挪威船級社審核，獲得信息安全管理體系標準ISO27001及隱私管理體系標準ISO27701雙認證。相關負責人稱，這標志著信美在信息安全和隱私保護領域逐步實現(xiàn)了標準化、規(guī)范化和體系化管理，提高了組織應對信息安全風險的能力。

“風浪”中如何堅守網絡安全“防汛堤”

隨著線上化局面逐漸在國內打開，網絡安全保險亦日漸風靡。

對于國內網絡安全保險的發(fā)展現(xiàn)狀和前景，中國科學院保險與經濟發(fā)展研究中心副主任王向楠表示，國內網絡安全的責任認定正在細化明確，事故的損失計算和賠償標準正在完善，風險在經濟上正在較快地做實。國內網絡安全風險還在探索期，市場需求有，但組織還不太看重保險的作用，供給相對不足。發(fā)達國家這方面的市場轉化是較緩慢的，國內的網絡賬戶安全險發(fā)展較好，整體上的投保率提升還應當有耐心。

“我國保險業(yè)很重視網絡安全建設，在數(shù)據安全標準、云計算應用標準、技術外包管理、業(yè)務持續(xù)性動態(tài)評價、網絡安全事件匯報機制等方面的作為很多。保險業(yè)在運營連續(xù)性和信息安全性上均表現(xiàn)較好。”對于國內網絡安全保險業(yè)現(xiàn)狀，王向楠評價道。

清華大學五道口金融學院中國保險和養(yǎng)老金研究中心研究總監(jiān)朱俊生亦指出，保險科技的發(fā)展很大程度上是互聯(lián)網企業(yè)在業(yè)務和技術層面的推動，但風險管理并不是互聯(lián)網企業(yè)的優(yōu)勢，而保險恰恰是一個極其關注風險的行業(yè)。

“例如一般的理賠都是由人來完成，經驗豐富的理賠員往往能夠從細節(jié)中發(fā)現(xiàn)欺詐線索，這種反欺詐的風險能力是目前利用人工智能等技術無法完全取代的。”朱俊生舉例解釋道。

不過，網絡安全保險的發(fā)展亦面臨諸多挑戰(zhàn)。如王向楠指出，由于損失的無形性以及承擔法律責任的標準尚不明確、尚不嚴重，所以損失程度不易確定，需求不足;受損機構往往不愿披露數(shù)據，以免損害聲譽;造成事故的因素有時較為集中，風險事件可能傳染，所以風險獨立性差，有一定系統(tǒng)性;多屬于人為風險，變化快;整體看，主動投保的機構的風險偏高，逆向選擇較強。

針對上述問題，保險業(yè)應采取何等措施“查漏補缺”加固風險防火墻?王向楠建議，加強對互聯(lián)網科技風險的了解，提升能力，并與網絡安全方面的領先企業(yè)以及各行業(yè)性組織加強合作溝通，實現(xiàn)利用更豐富的數(shù)據設計網絡產品;在提供保險的同時，逐步成為風險管理綜合服務商，為投保的組織提供維護網絡安全的建議?？梢砸詳?shù)據密集行業(yè)的中小企業(yè)為突破口。

此外，王向楠還建議，保險行業(yè)還可以組織開展網絡韌性壓力測試，利用最新的網絡威脅情報模擬真實網絡攻擊，不斷調整更新現(xiàn)有的應急和恢復計劃。保險公司可以根據情況，加強網絡安全的責任劃分，建設數(shù)據資產保護制度。

朱俊生亦提出，監(jiān)管部門可以推動通過數(shù)據保護或隱私保護等法案，積極尋求立法手段規(guī)范數(shù)據使用，搭建基礎性法律保護體系。監(jiān)管部門通過對數(shù)據保護的監(jiān)督和引導，可以推動消費者數(shù)據保護，規(guī)范商業(yè)數(shù)據應用行為。

北京商報記者陳婷婷 周菡怡

關鍵詞： 保險業(yè) 數(shù)據 風險 防風墻