保險業(yè)數(shù)據(jù)依賴性較強，如何“查漏補缺”加固風(fēng)險防火墻？

印度航空信息泄露一事，將航空公司用戶信息安全話題再次推上風(fēng)口浪尖。5月23日，北京商報記者梳理發(fā)現(xiàn)，隨著線上化的加速推廣，近年來各行各業(yè)均有受到黑客攻擊，從航空公司、金融機構(gòu)、成品油管道運營商，到線上教育機構(gòu)不一而足，重復(fù)上演的網(wǎng)絡(luò)安全事故再次凸顯網(wǎng)絡(luò)安全保險的重要性。業(yè)內(nèi)人士認(rèn)為，網(wǎng)絡(luò)安全保險有助于減少企業(yè)損失、轉(zhuǎn)移剩余風(fēng)險、助力企業(yè)發(fā)展，與此相伴相生的諸多數(shù)據(jù)監(jiān)測管理方案亦可能從根源上拔除信息泄露風(fēng)險;同時，保險行業(yè)數(shù)據(jù)依賴性較強，一旦消費者隱私方面出現(xiàn)問題將嚴(yán)重制約行業(yè)可持續(xù)發(fā)展，因此在保險科技發(fā)展過程中，保險業(yè)面臨數(shù)據(jù)保護和隱私的責(zé)任，必須盡責(zé)地使用數(shù)據(jù)。

網(wǎng)絡(luò)安全事故頻出待服保險“定心丸”

印度航空公司5月21日晚發(fā)表聲明稱，該公司大約450萬名客戶的數(shù)據(jù)遭黑客竊取，黑客竊取的數(shù)據(jù)包括客戶姓名、信用卡賬號和護照信息，目前印度航空已著手采取補救措施，與外部專家和信用卡公司合作加強數(shù)據(jù)安全。

印度航空公司的數(shù)據(jù)泄露，實際上只是網(wǎng)絡(luò)信息安全事故的冰山一角。在此之前，2018年、2020年英國航空公司、英國易捷航空公司分別遭黑客攻擊而泄露40萬名客戶和900萬名客戶的數(shù)據(jù)信息。

除了航空工業(yè)外，日前美國最大的成品油管道運營商ColonialPipeline在當(dāng)?shù)貢r間5月7日因受到勒索軟件攻擊，導(dǎo)致部分IT系統(tǒng)停機，管道運營中斷。此外，金融機構(gòu)、在線教育機構(gòu)等各行各業(yè)均有數(shù)據(jù)泄露造成用戶信息“裸奔”。

重復(fù)上演的網(wǎng)絡(luò)信息安全事故，愈發(fā)凸顯了網(wǎng)絡(luò)安全保險的重要性。所謂網(wǎng)絡(luò)安全保險，保障的是由于網(wǎng)絡(luò)安全事件給企業(yè)帶來的直接財產(chǎn)損失以及第三方客戶提出的索賠責(zé)任。

全國政協(xié)經(jīng)濟委員會委員、原保監(jiān)會副主席周延禮此前表示，網(wǎng)絡(luò)安全保險是分散網(wǎng)絡(luò)風(fēng)險的有效工具。保險公司通過承保其他的風(fēng)險管理的手段無法處置的風(fēng)險為企業(yè)提供風(fēng)險管理服務(wù)。同時，網(wǎng)絡(luò)安全保險能夠幫助這些企業(yè)解決事故責(zé)任，提高風(fēng)險防范水平。網(wǎng)絡(luò)安全風(fēng)險是相對的，可以通過保險的方式轉(zhuǎn)移不確定的風(fēng)險。

對此，國內(nèi)各保險機構(gòu)“八仙過海，各顯神通”。如日前數(shù)據(jù)安全廠商北京億賽通科技發(fā)展有限責(zé)任公司與太保財險合作開展網(wǎng)絡(luò)安全保險業(yè)務(wù)，為企業(yè)提供基于億賽通“文件防火墻”產(chǎn)品的保險服務(wù)。

而早在去年，“源堡科技”亦與國任財險、網(wǎng)絡(luò)安全公司美創(chuàng)科技共同推出行業(yè)首款專門針對勒索病毒的險種，企業(yè)可通過購買勒索軟件防護保險來完善自身的風(fēng)險管理體系，通過保險對未知的風(fēng)險進行轉(zhuǎn)移，并可通過核心技術(shù)對目標(biāo)企業(yè)客戶進行風(fēng)險識別及安全能力評估，基于評估結(jié)果即刻生成“一兜到底”的專屬定制化保險解決方案。

而在保險業(yè)本身數(shù)據(jù)信息安全的保護方面，如眾安保險有數(shù)據(jù)安全管理矩陣，從能力維度、場景維度和管理執(zhí)行維度建設(shè)安全管理;技術(shù)方面，從技術(shù)架構(gòu)維度，包括網(wǎng)絡(luò)層、終端層、基礎(chǔ)設(shè)施層、業(yè)務(wù)應(yīng)用等所有層面對所有數(shù)據(jù)進行分級分類控制，同時在技術(shù)執(zhí)行層面會引入技術(shù)進行識別、保護、檢測、響應(yīng)及處置。

此外，信美人壽相互保險社亦在近日通過了國際權(quán)威認(rèn)證機構(gòu)挪威船級社審核，獲得信息安全管理體系標(biāo)準(zhǔn)ISO27001及隱私管理體系標(biāo)準(zhǔn)ISO27701雙認(rèn)證。相關(guān)負(fù)責(zé)人稱，這標(biāo)志著信美在信息安全和隱私保護領(lǐng)域逐步實現(xiàn)了標(biāo)準(zhǔn)化、規(guī)范化和體系化管理，提高了組織應(yīng)對信息安全風(fēng)險的能力。

“風(fēng)浪”中如何堅守網(wǎng)絡(luò)安全“防汛堤”

隨著線上化局面逐漸在國內(nèi)打開，網(wǎng)絡(luò)安全保險亦日漸風(fēng)靡。

對于國內(nèi)網(wǎng)絡(luò)安全保險的發(fā)展現(xiàn)狀和前景，中國科學(xué)院保險與經(jīng)濟發(fā)展研究中心副主任王向楠表示，國內(nèi)網(wǎng)絡(luò)安全的責(zé)任認(rèn)定正在細(xì)化明確，事故的損失計算和賠償標(biāo)準(zhǔn)正在完善，風(fēng)險在經(jīng)濟上正在較快地做實。國內(nèi)網(wǎng)絡(luò)安全風(fēng)險還在探索期，市場需求有，但組織還不太看重保險的作用，供給相對不足。發(fā)達(dá)國家這方面的市場轉(zhuǎn)化是較緩慢的，國內(nèi)的網(wǎng)絡(luò)賬戶安全險發(fā)展較好，整體上的投保率提升還應(yīng)當(dāng)有耐心。

“我國保險業(yè)很重視網(wǎng)絡(luò)安全建設(shè)，在數(shù)據(jù)安全標(biāo)準(zhǔn)、云計算應(yīng)用標(biāo)準(zhǔn)、技術(shù)外包管理、業(yè)務(wù)持續(xù)性動態(tài)評價、網(wǎng)絡(luò)安全事件匯報機制等方面的作為很多。保險業(yè)在運營連續(xù)性和信息安全性上均表現(xiàn)較好。”對于國內(nèi)網(wǎng)絡(luò)安全保險業(yè)現(xiàn)狀，王向楠評價道。

清華大學(xué)五道口金融學(xué)院中國保險和養(yǎng)老金研究中心研究總監(jiān)朱俊生亦指出，保險科技的發(fā)展很大程度上是互聯(lián)網(wǎng)企業(yè)在業(yè)務(wù)和技術(shù)層面的推動，但風(fēng)險管理并不是互聯(lián)網(wǎng)企業(yè)的優(yōu)勢，而保險恰恰是一個極其關(guān)注風(fēng)險的行業(yè)。

“例如一般的理賠都是由人來完成，經(jīng)驗豐富的理賠員往往能夠從細(xì)節(jié)中發(fā)現(xiàn)欺詐線索，這種反欺詐的風(fēng)險能力是目前利用人工智能等技術(shù)無法完全取代的。”朱俊生舉例解釋道。

不過，網(wǎng)絡(luò)安全保險的發(fā)展亦面臨諸多挑戰(zhàn)。如王向楠指出，由于損失的無形性以及承擔(dān)法律責(zé)任的標(biāo)準(zhǔn)尚不明確、尚不嚴(yán)重，所以損失程度不易確定，需求不足;受損機構(gòu)往往不愿披露數(shù)據(jù)，以免損害聲譽;造成事故的因素有時較為集中，風(fēng)險事件可能傳染，所以風(fēng)險獨立性差，有一定系統(tǒng)性;多屬于人為風(fēng)險，變化快;整體看，主動投保的機構(gòu)的風(fēng)險偏高，逆向選擇較強。

針對上述問題，保險業(yè)應(yīng)采取何等措施“查漏補缺”加固風(fēng)險防火墻?王向楠建議，加強對互聯(lián)網(wǎng)科技風(fēng)險的了解，提升能力，并與網(wǎng)絡(luò)安全方面的領(lǐng)先企業(yè)以及各行業(yè)性組織加強合作溝通，實現(xiàn)利用更豐富的數(shù)據(jù)設(shè)計網(wǎng)絡(luò)產(chǎn)品;在提供保險的同時，逐步成為風(fēng)險管理綜合服務(wù)商，為投保的組織提供維護網(wǎng)絡(luò)安全的建議?？梢砸詳?shù)據(jù)密集行業(yè)的中小企業(yè)為突破口。

此外，王向楠還建議，保險行業(yè)還可以組織開展網(wǎng)絡(luò)韌性壓力測試，利用最新的網(wǎng)絡(luò)威脅情報模擬真實網(wǎng)絡(luò)攻擊，不斷調(diào)整更新現(xiàn)有的應(yīng)急和恢復(fù)計劃。保險公司可以根據(jù)情況，加強網(wǎng)絡(luò)安全的責(zé)任劃分，建設(shè)數(shù)據(jù)資產(chǎn)保護制度。

朱俊生亦提出，監(jiān)管部門可以推動通過數(shù)據(jù)保護或隱私保護等法案，積極尋求立法手段規(guī)范數(shù)據(jù)使用，搭建基礎(chǔ)性法律保護體系。監(jiān)管部門通過對數(shù)據(jù)保護的監(jiān)督和引導(dǎo)，可以推動消費者數(shù)據(jù)保護，規(guī)范商業(yè)數(shù)據(jù)應(yīng)用行為。

北京商報記者陳婷婷 周菡怡

關(guān)鍵詞： 保險業(yè) 數(shù)據(jù) 風(fēng)險 防風(fēng)墻