1992年����,安德魯颶風席卷佛羅里達州的南海岸,導致了數(shù)十人傷亡的慘劇�����,并給當?shù)卣斐闪烁哌_250億美元的損失�����。這次颶風災難也暴露了財險公司的一個致命弱點——他們未能提前對自然災害的潛在損失進行量化計算。準備不足的保險公司在災難發(fā)生后幾個月的時間里�,陸續(xù)遭受到了嚴重的損失,其中甚至有幾家最后倒閉了����。
如今,保險公司希望對一個全新領域的潛在巨災做好全方位的�����、特別是經(jīng)濟方面的準備�����,這個潛在的風險就是網(wǎng)絡災難���。對于這種人為創(chuàng)造的災難��,1992年颶風災難的部分經(jīng)驗和教訓依然有用��,但從本質上來看���,網(wǎng)絡災難和自然災難是兩個完全不同的問題。
包括AIG和丘博在內(nèi)的大型保險公司自上個世紀90年代后期就已經(jīng)開始提供網(wǎng)絡安全保險服務了。到如今�����,已經(jīng)有80余家保險公司提供此類服務���,網(wǎng)絡安全保險產(chǎn)品的重點大都集中在數(shù)據(jù)安全領域。隨著近些年重大網(wǎng)絡安全事故的頻繁發(fā)生��,大型企業(yè)的領導開始意識到��,黑客已經(jīng)對企業(yè)的網(wǎng)絡安全形成了不可忽視的威脅��,網(wǎng)絡安全險的熱度也因此上升���。據(jù)普道永華的估算����,全球企業(yè)的網(wǎng)絡保險保費支出在2015年達到了27.5億美元��,這一數(shù)字在2020年將達到75億美元��。
但是保險公司依然還在探尋網(wǎng)絡安全風險的本質����,依然在優(yōu)化保單條款��,希望為潛在的網(wǎng)絡災難做好萬全準備���,從而不會在網(wǎng)絡災難爆發(fā)之時暴露自己的弱點。
創(chuàng)業(yè)公司Cyence是一家創(chuàng)立于三年前���,致力于幫助保險公司進行網(wǎng)絡風險建模的公司��,其CEO���,Arvind Parthasarathi表示:“人們已經(jīng)開始將網(wǎng)絡安全風險視為一種商業(yè)風險,而非單純的技術問題了����。這意味著大家已經(jīng)認識到,網(wǎng)絡安全風險并不是一個有著明確解決方案的難題���,而是一個需要通過管理來防范的風險?����,F(xiàn)在企業(yè)領導人們的問題是‘對這個風險應該防范到何種程度��?’”
保險公司在為網(wǎng)絡風險保險產(chǎn)品定價時���,也在問著相同的問題?,F(xiàn)代的網(wǎng)絡風險非常復雜�����,而且進化速度極快�。對于保險公司來說,最迫切的任務是量化網(wǎng)絡災難波及到所有投保人時的損失��,估算最壞情況下的最大損失����。這也是1992年安德魯颶風災難發(fā)生前���,大多數(shù)財險公司沒能做到的�����。
但是在網(wǎng)絡風險領域中量化安德魯颶風這種級別的大型災難是很難的��,因為這類網(wǎng)絡大災難還沒有發(fā)生過����。或許我們可以從去年的一場網(wǎng)絡災難中一窺網(wǎng)絡巨災的威力�����。去年十月����,黑客感染了網(wǎng)絡攝像頭、數(shù)字錄像機以及其他物聯(lián)網(wǎng)設備��,對美國的域名服務器管理服務供應商Dyn發(fā)起了DDoS(分布式拒絕服務)攻擊��,導致了Amazon�、Netflix以及Spotify等網(wǎng)站宕機,幾百萬美國網(wǎng)民在長達幾個小時的時間內(nèi)無法訪問平時的常用網(wǎng)站�����。
Dyn遭受到的這次攻擊造成了多大的損失���,我們還不清楚����。但是根據(jù)Cyence的估算,今年2月28日�����,持續(xù)了4個小時的Amazon S3(亞馬遜云端資料儲存服務)中斷事件����,導致美股上市公司遭受到了至少1.5億美元的損失,而這次事件還不是網(wǎng)絡攻擊�,僅僅是一次意外事故。由此看來��,大規(guī)模網(wǎng)絡攻擊恐怕會造成數(shù)十億美元的損失��。
針對基礎設施的網(wǎng)絡攻擊也不容忽視�����,比如去年十二月��,一次黑客攻擊造成了烏克蘭首都基輔的大部分電網(wǎng)癱瘓��,有人認為該事件幕后主謀是俄羅斯政府�����,是他們雇傭了黑客發(fā)起的這次攻擊�。倫敦勞合社最近模擬了一個假設情景,并對其進行分析�。在該情景下,整個美國東北部地區(qū)的供電設施因網(wǎng)絡攻擊而癱瘓�,導致9300萬人無電可用。勞合社表示�����,這種類型的災難給保險公司帶來的損失將在210億至710億美元之間波動����,如此大范圍的波動也表明,為網(wǎng)絡風險精確定價非常困難�。
從上個世紀90年代開始,保險公司花了15年的時間來收集數(shù)據(jù)��,才建立了自然災害風險模型����。面對網(wǎng)絡災害,保險公司要做的事情與當時非常相似���,雖然數(shù)據(jù)的收集速度更快了���,但是現(xiàn)在的數(shù)據(jù)太雜太亂����,這樣讓保險公司很難高效地整合信息以及判斷行業(yè)趨勢����。
自然災害和網(wǎng)絡災害有很多的不同,其中最主要的一點就是����,網(wǎng)絡災害是人為的,而非自然現(xiàn)象�。黑客會不斷改變其戰(zhàn)術、技術以及攻擊目標來擊潰網(wǎng)絡防線�。Cyence公司認為,網(wǎng)絡安全保險的難點在于理解對手的思維����。該公司利用博弈論和行為經(jīng)濟學中的理論來對黑客攻擊者的行為進行了建模分析�。
對于保險公司來說,掌握數(shù)據(jù)的地理分布也是評估網(wǎng)絡攻擊的關鍵環(huán)節(jié)�。BitSight是一家數(shù)字資產(chǎn)地圖公司,他們?yōu)榛ヂ?lián)網(wǎng)虛擬資產(chǎn)的分布繪制地圖�����,并會對擁有這些資產(chǎn)的組織進行安全評級。其首席技術官Stephen Boyer表示:“保險公司需要提前知道����,那些有價值的數(shù)據(jù)存儲在哪里,以及數(shù)據(jù)的主人是否配備了周全的保護措施����。”
最后�,保險公司還需要從1992年安德魯颶風事件中吸取的一個教訓是,不要為佛羅里達州海岸線上的所有人提供同一份保險����。在網(wǎng)絡安全險的情景下,就是調(diào)查清楚所有投保人面臨的潛在風險是否一致���,比如不要為所有使用亞馬遜AWS(亞馬遜公司旗下云計算服務平臺)的公司都提供相同的保險服務����,否則一旦亞馬遜AWS遭到攻擊��,所有的客戶都會進行理賠�����。
