2016年,WTW进行了一项调研,即WTW运输风险指数,其中,网络和科技风险是运输业面临的关键挑战之一。自2017年以来,航空公司的网络风险环境发生了显著变化,这也导致航空公司在寻找网络安全保险保障时愈发艰难。
2022年1月,商业航空公司仍然被网络安全保险市场视为高风险行业,为此,WTW以全新的视角来观察该行业的网络安全风险和保险安排时面临的挑战,希望能够更好地解析航空公司网络保险,并制定专属的行业解决方案,为该行业提供支持。本篇文章总结并分析了目前保险市场对航空公司网络安全风险的诸多观点。
保险人认为目前航空公司面临的主要网络安全风险问题:
的确,从票务预订系统到信息通信,航空公司的日常运营都需要依赖第三方供应商的支持。然而,就像零售业依赖于支付处理服务供应商,银行业依赖于金融科技供应商。航空公司的风险敞口是否被合理的评估和量化?是否真的高于其他行业呢?
标准的网络安全保单通常会包括因为第三方信息技术供应商的中断而导致被保险企业的营业中断损失。针对这一保障,保险公司最关注的是第三方信息技术供应商可能引发的风险聚合效应。即如果许多航空公司共同依赖的供应商发生重大停机,保险公司可能会面临其航空业被保险人中的几个(甚至可能是全部)同时发生损失。不过,风险聚合效应可能发生于所有相互关联的被保险人,而不是只适用于航空公司。
航空公司属于关键基础设施企业。由于航空公司为大众提供基本服务的行业,其稳定运营就更加重要,很多国家和地区已为航空公司实施专门的立法,为其网络和信息系统制定网络安全要求的执行标准。
欧洲经济区推出了《网络与信息系统指令》(NISD),随后各个成员国家通过立法实施,包括英国的《网络和信息系统条例》(NISR)。其他地区也已经或正在推行类似的条例(例如《新加坡安全法》),全球都在加强对航空公司的网络安全监管。国内也推出了《网络数据安全管理条例(征求意见稿)》(2021),同时针对航空业数据治理也颁布了相应的规范标准,如《民用航空网络安全等级保护基本要求》等。
所以,我们对传统的看法提出质疑,航空公司是否真的比其他关键基础设施企业更容易成为黑客攻击的目标。针对航空业监管环境的改善,将促进整个行业网络安全建设成熟度的提高,使航空公司不再轻易被黑客攻击。
不可否认,新冠疫情对各行各业的企业都造成了影响,包括航空公司,但没有绝对数据显示这会影响企业对于网络安全建设的投入。通过我们与航空公司的交流发现,网络安全预算的确在疫情期间受到了限制,但公司并没有牺牲网络安全的支出来用于其他事项。相反,航空公司不仅面临着加强信息技术安全的内部压力,同时也面临着日益严格的外部监管环境,迫使航空公司更加关注其信息技术和网络成熟度的建设。
保险公司普遍认为,航空公司严重依赖系统和网络的可用性,一旦发生网络攻击导致系统中断,对其业务的影响一定是直接且重大的。WTW的理赔数据可以清晰地展示这一风险。根据WTW的数据,航空业企业的网络安全事件平均持续时间为10.5天,平均损失为1060万美元。(数据来源:WTW客户索赔通知,2015年1月1日至2022年6月1日)。
我们希望所有的航空公司都能够积极地分享手中的数据,展示真实的损失情况。因为如果没有航空公司的数据支持,保险公司将会以最坏的情况进行假设。损失量化分析一般不需要新的数据来源,只需要对传统风险(例如火山灰云)引起的飞行停飞的数据进行分析即可。
航空公司拥有并处理着大量的数据。航空公司常年累月地面向乘客收集大量数据,包括身份信息,信用卡信息,甚至是医疗信息,一旦发生数据泄露,将产生重大影响。航空业并不是唯一的数据密集性行业,酒店和医疗机构等其他行业也会收集和存储大量客户数据,这可能会使他们成为黑客眼中有吸引力的目标,并通过网络勒索从中获利。
航空企业需要做的三件事:
01
在过去的两年里,网络安全保险的市场变化巨大。日益增加的网络风险损失,使核保人对被保险人的网络安全建设成熟度格外关注。根据我们的市场经验,核保人通常会设定一个企业网络安全建设和控制的最低标准。如果被保险人不符合最低标准,保险公司通常会直接拒绝承保。
所以,对于航空公司来说,在进入市场询价之前通过经纪人进行“可保性审查”就显得格外重要。可保性审查将从核保人的角度检查企业是否存在“危险信号”,以便航空公司提前准备下一步的行动。被保险人可能需要在进入市场之前对其网络安全建设进行整改,当然,这一整改也需要企业申请一笔额外的预算。如果航空公司没有经过可保性审查,过早进入市场,可能会对未来向保险公司争取最优的承保条件产生负面影响。只有向核保人充分展示其一流的网络安全建设水平,才能让核保人更容易接受航空企业的网络风险。
02
网络安全保单并非流水线上的标准保障。我们鼓励航空公司与经纪人合作,了解基本保障和可选保障,并定制自己的专属保单。经纪人可以和航空公司一起,了解公司的风险敞口和风险偏好。通过识别和量化关键的网络风险场景,航空公司可以了解企业的薄弱环节,以便经纪人为其定制网络安全保障。
03
尽管购买保单这种传统的风险转移形式,会将航空公司认为是高风险行业,但对于拥有一流网络安全建设体系的航空公司,依然可以在保险市场上寻找到很好的保障条件,比如更高的保单限额或更多样的保障范围。
如果预算有限,航空公司会考虑提高自留风险。比如通过增加保单中的自留比例或免赔额的方式,减少其在市场中向保险公司购买的限额或保障范围,甚至完全退出网络风险保险市场。
除了传统的风险转移方式,航空公司还在考虑其他可以降低网络风险的解决方案。航空公司就算有了自保的方案可以选择,也会比较谨慎地考虑如何将其与传统的风险转移解决方案结合起来。
另一种正在探索中的风险转移方式是非传统风险转移(Alternative risk transfer,简称ART),用以解决传统的风险管理中无法解决的问题。当然,此类解决方案的可行性尚在探讨当中,但是,当航空公司无法通过保险市场寻找到合适的方案时,不妨尝试将目光转向传统保险市场之外,寻找自己的专属解决方案。
尽管面临着诸多挑战,我们还是看到了网络安全保险市场的转变。虽然保险人对于所有行业的网络安全风险仍旧相对谨慎,但随着新的承保能力的加入,增加了市场竞争,网络安全保险的保费也正在趋于保险人认为合理的水平。虽然市场对航空公司的网络安全风险态度依然没有明显变化,但这是一种向好的信号。
随着监管要求愈发严格,航空公司的信息和网络安全建设成熟度也在不断提升,市场正向着更加积极的方向转变,航空公司也正在考虑通过非传统的解决方案来转移其网络风险。或许,未来保险市场会对航空业的网络安全风险更加客观和接纳,又或许,航空业只能被迫通过其他方式来寻求解决方案?
对于网络安全风险复杂且市场普遍认为高风险的行业来说,与专业的保险经纪人合作尤为重要。展望未来,航空公司要选择合适的保险经纪人,从而得到最优的市场条件。WTW致力于协助引导保险市场,挑战任何不准确的认知,引导保险市场,并为我们的航空公司客户找到令人满意的风险转移解决方案。
