网络安全保险——企业网络安全建设的最后一道防线

前言：网络安全保险作为企业网络安全风险管理的重要环节，是企业网络安全风险管理的最后一道防线，为企业在发生网络安全事件后提供损失补偿和风险兜底。目前网络安全保险市场持续走“硬”，保险公司往往依据企业的网络安全建设水平来考量是否要承保相应风险。很多企业面临“一险难求”的尴尬境地，而只有拥有完善的网络安全建设制度、严谨的IT团队和较高员工风险意识的企业，才能够在网络安全保险市场上获得较为理想的保障方案。

在前些年提及网络安全保险这一话题时，许多企业高管和风险管理者并没有充分意识到网络安全保险的价值，所以更多的顾虑集中在“要不要购买网络安全保险保障”。更多企业表示：“我们之前没有买过网络安全保险，不清楚到底有没有用。”“我们公司并不大量存储第三方敏感信息，所以并不需要购买网络安全保险。”“我们公司的IT团队可以很好的应对网络风险，就没必要再买保险了。”总之，网络安全保险对于企业而言似乎是一份可有可无的险种，所以一直没有得到企业应有的重视。

2020年一场突如其来的疫情席卷全球，人们的工作方式、生活方式及公司运营结构都发生了翻天覆地的变化。在这样的背景下，公司的IT团队承担了确保在远程办公环境下公司系统运行稳定性及安全性的关键角色。

在疫情大流行的背景下，企业面临的网络勒索事件层出不穷¹，由此产生的损失金额也水涨船高，这些迫使企业不得不重新审视网络威胁和相关网络风险对于企业的影响，尤其是网络风险对于企业造成的损失方面。

从保险公司的角度而言，频发的网络勒索事件带来的是激增的理赔案件，不断支出的赔偿金额在某种程度上极大影响了保险公司在经营网络安全保险业务的利润率。在亚太地区，我们已经观察到企业对于网络安全保险需求呈现增长趋势。

需求增长然而承保能力收缩对眼下网络安全保险市场意味着什么？

与其引用各种全球统计数据和数字，不如以韦莱韬悦在亚洲的服务经验来现身说法。基于在亚洲地区的网络安全保险业务，我们看到续保业务费率的增长幅度在50%到200%之间，而这样的增长幅度还是基于我们同保险公司经过多轮复杂及冗长的沟通之后，包括重新招标保险公司、搭建不同保险结构和调整保险条件等来实现保费降低的目的。

令人颇为感慨的是，在我们为节省保费成本重新招标保险公司时，新介入的保险公司的报价往往远高于既有保险公司的保费水平，而保险条件一般也不具备竞争力。除此之外，由于每一家保险公司的核保政策及风险审核的侧重点不同，重新招标还意味着企业有可能面临多家新介入的保险公司就企业网络安全风险提出不同的核保问题，而这些核保问题可能涉及企业网络安全风险管理的方方面面。

我们从节省保费的目的出发对保险公司进行重新招标，但很有可能的结果是投保人在经历了保险公司的层层“拷问”下，仍就无法获得一份更有竞争力的价格，主要因为新介入的保险公司缺乏连续性看待投保人网络安全风险的基础，故对于风险的审核更为谨慎，给出的报价和条件也就没那么有竞争力了。

有人可能认为，既然购买网络安全保险需要提供复杂且冗长的核保问卷信息，再加之保费不断上涨，那是否企业的购买意愿就没有那么强烈了？事实恰好相反，随着频发的网络安全事件给企业带来的巨大损失，董事会成员、风险管理部门及财务部门已经无法对这一风险敞口坐视不理，这些损失包含了网络安全事故取证费用、公关费用、律师咨询费和营业中断损失等，而单一网络安全事故的响应费用动辄需数百万美金。

目前仅韦莱韬悦亚洲团队过往及目前在处理的网络安全相关理赔案件涉及的金额就已经突破了百万美元的数量级别。虽然网络安全保费的费率在持续走高，但从长远考虑，没有获得网络安全保障的相关企业可能面临更高的机会成本，尤其是当企业曝露在当下变幻莫测的网络环境之中。

在当下的网络安全保险市场中，企业面临的问题已经不再是“是否需要购买网络安全保险？”而是“如何才能获得一份网络安全相关的保障？” 在保险公司提供报价之前，企业必须能够向保险公司证明其拥有较为完善的网络安全风险管理制度。我们也看到在目前的网络安全保险市场中，如果企业自身的网络安全管理不够完善，可能连一份报价都没有办法从保险公司手里获得。

面临网络安全相关风险企业应该如何选择？加强企业网络安全管理还是购买保险转嫁风险？

要知道这不应该是一个二选一的问题，一家网络安全技术公司的高管给出了这样的建议，“网络安全保险和网络安全管理并不是彼此的替代品。”² 一套全面可靠的网络安全风险管理制度至少需要包括以下要素：技术人员、严谨的企业管理流程、可以有效监测并应对网络安全风险的技术，企业需要在这几个要素进行合理的投资的和分配。

这些要素形成了企业网络安全风险的第一道防线，而保险是连接这些要素的最后一道防线。即网络安全保险是在第一道防线布局好后，对于仍无法避免发生的风险事件的最后一道损失保障，承担着事后损失补偿的重要角色，可以有效平滑企业因网络安全事故而遭受的财务损失。

没有任何两家企业的网络设置和IT环境是相同的，但保险公司在接受承保企业相关网络安全风险时，会尽最大可能了解企业在基本的网络安全管理中的实施情况。就像在财产险保障中，保险公司是无法为完全不设置防盗及防火措施的企业提供相关损失保障一样，保险公司也无法为没有基本网络安全风险管理制度的企业提供网络安全相关保障。

以下几点是我们观察到保险公司在审核企业网络安全风险时关注的要点：

关于韦莱韬悦网络安全保险团队：

• 拥有全球近50个国家超过1200个网络安全保险赔案处理经验，处理赔案金额超过3亿美金
• 在亚洲、北美、欧洲、拉丁美洲和澳大利亚地区，拥有超过100名专门从事处理网络安全风险的专家
• 在科技、制造、海运、金融等领域，拥有丰富的网络安全风险经纪和排分经验
• 擅长为国际企业设计具有行业针对性的全球保单，包括大型金融机构、航空公司、航运和能源企业客户
• 迄今为止全球最大单一网络安全保险单的经纪人，为一家全球Top5的零售银行安排了高达6亿美金限额的保单
• 帮助客户通过更低的成本来应对网络安全风险敞口，曾协助某一客户平均每年减少1200万美金的成本用于网络安全风险管理

如您希望了解更多关于网络安全保险的相关信息，欢迎与我们取得联系！

注释

¹ https://www.wtwco.com/en-IN/Insights/2021/08/dealing-with-ransomware

² https://go.crowdstrike.com/rs/281-OBQ-266/images/Whitepaper2021
CyberRiskReadiness.pdf

³ CrowdStrike是一家领先的端点检测技术供应商。如果您是WTW客户且对CrowdStrike服务的优惠价格感兴趣，请与我们取得联系。