网络保险行业正在游说政府提供支持。政府原则上并不反对。但什么是保险支持,是必要的吗?
在2023 年 1 月末称,保险巨头慕尼黑再保险公司网络卓越中心负责人克里斯斯托勒证实,网络保险行业正在与政府对话,寻求网络保险支持。
2023 年 3 月 1 日,美国政府发布了《国家网络安全战略》。该战略第 3.6 节(探索联邦网络保险支持)指出,“政府将评估联邦保险应对灾难性网络事件的必要性和可能的结构,以支持现有的网络保险市场。”
业界已要求联邦网络保险支持,政府正在考虑。这个行业是否需要一个,它是否会得到一个,没有一个它是否可以生存,这是我们在这里要讨论的。
什么是后挡板?
“政府支持,”Storer 解释说,“本质上是政府的保证,在出现真正灾难性的无法控制的系统性风险时,他们将作为最后手段介入。”
简而言之,政府支持将是联邦政府的保证,如果该行业面临广泛的、破坏性的网络事件,可能威胁到该行业满足索赔要求和继续经营的能力,它将介入。
礼德律师事务所保险追偿诉讼合伙人 Andrew Moss 补充说:“政府成为保单持有人的最后保险人——它的目的不是为保险业增加资金,而是为了保护行业免受系统性风险的影响,并保护保单持有人在出现系统性风险的情况下。”
Capgemini 全球保险副总裁 Kiran Boosam 补充说:“它指的是政府提供的资源库,以帮助使某些保险范围在风险集中的地区更容易负担得起。”
在 IRA 轰炸波罗的海交易所后,1993 年建立了英国版的后备保障机制,称为 Pool Re。Pool Re 是一家相互再保险公司,由大多数在英国提供商业财产保险的保险公司和劳埃德辛迪加组成,并由英国财政部提供支持。该计划的成员资格保证任何相关损失的承保范围,无论规模如何。
就其性质而言,网络保险涵盖冲突——犯罪分子与其目标之间、民族国家攻击者或恐怖分子与其目标之间的冲突。“任何形式的冲突都会让保险公司感到紧张,”Qualys 的 EMEA North 医学博士 Matt Middleton-Leal 评论道。“在第一次世界大战期间,保险业曾考虑将与战争相关的损失排除在海事保单之外。这带来的负面影响是人们不想将船只出海,因此重要的海上贸易可能已经停止。为避免这种情况,英国政府提供了支持,有效地承担了因敌方行动而沉没的商船的经济责任。今天的网络安全部门正在寻找同样的网络安全方法。”
为什么保险坚持需要支持?
网络保险行业关注的是无法管理的风险——它称之为系统性风险。“系统性风险,”斯托勒告诉《安全周刊》,“是一个不仅会影响单一风险,而且实际上会影响投资组合的很大一部分的问题。无法控制的系统性风险造成的损失可能如此巨大,以至于它不仅会影响像慕尼黑再保险这样的公司的偿付能力,而且可能使整个保险业受到质疑。”
有理由认为,网络保险行业因NotPetya事件而对潜在的系统性网络风险发出红色警报。结果,索赔并非无法处理。受影响的拥有网络保险的公司的索赔由保险业处理。但一些公司没有单独的网络保险政策,并针对其商业保险的“所有风险”方面提出索赔。保险公司拒绝赔付,称该事件不属于商业政策中标准的“战争排除”条款。
结果是混乱。2022 年 1 月,新泽西州一家法院判给默克公司14 亿美元,以对抗 Ace American Insurance Company。法院认为,如果保险业希望将战争排除在政策中,则必须更加明确。劳埃德 (Lloyds) 于 2022 年 8 月发布了一份公告 ( PDF ),要求承销商加入“一项适当的条款,排除任何国家支持的网络攻击造成的损失的责任。”
“国家支持的网络攻击”的定义很可能在未来由法院决定——但与此同时,保险业已经意识到,一次网络攻击可能会产生广泛而巨大的后果——目前,他们的唯一的追索权是通过排除和/或增加保费。两者都不是良好的商业惯例。
一个真正的系统性风险的不同例子是当今流行的。它与网络无关,但与切线战争有关。弗拉基米尔·普京 (Vladimir Putin) 在入侵乌克兰后扣押了外国租赁公司拥有的 500 架商用飞机。业主现在正在起诉伦敦劳埃德保险公司,因为他们拒绝支付大约 100 亿美元的索赔。法庭案件定于明年进行。
Howden Group Holdings(一家国际保险集团)的创始人兼首席执行官大卫豪登告诉电讯报,“保险市场不能成为英国和俄罗斯之间战争的系统性支持。它不是设计成这样的。没有任何政策涵盖它。否则,如果我们全部覆盖,最终还是会落到政府头上——我们都会破产。”
网络保险行业担心,假设的未来网络事件如果未被排除在战争条款的有效范围内,可能会扩散并导致威胁整个保险行业的系统性风险。它争辩说,这不符合任何人的最佳利益。
它会被授予吗?
有几个与政府支持有关的问题需要讨论。第一是有效性,第二是效果,第三是资金。
有效性
Morrison & Foerster 全球风险和危机管理小组联席主席 Alex Iftimie 指出:“在美国建立网络保险支持有先例,恐怖主义风险保险计划帮助稳定了 9 年后的保险市场/11 并确保组织能够继续找到负担得起的恐怖主义风险保险。”
但是先例是否提供了当前的有效性——网络保险行业是否需要或应该得到支持?“作为一名网络安全纯粹主义者,”Middleton-Leal 告诉SecurityWeek,“我的直觉告诉我他们没有。” 他总体上不反对保险业,也不反对它盈利的必要性。“更令人沮丧的是,被破坏的组织,十分之九,是通过其网络防御中一些有据可查的漏洞暴露出来的,这些漏洞没有被修复。很难领先于威胁,但没有理由不做基本的事情。”
这种观点并不少见。许多网络安全专业人士认为,提高保费或政府支持都不是解决方案——解决方案是更好的企业网络安全实践。这可能是由于保险与安全变得更加紧密相关;公平地说,这正在进行中。如果保费是基于现实的安全状况,那么更好的安全性将导致更低的风险和更低的保费。
Cowbell 是坚定支持这一观点的供应商之一。它提供了一个基于人工智能的持续网络风险意识平台,专门设计用于向承保人展示可保性。2023 年 4 月 12 日,SecurityScorecard 发布了一项与 Marsh McLennan 全球网络风险分析中心联合开展的研究,该研究显示了最能预测数据泄露的七个风险因素。其含义很明确——更好的网络安全可以降低违规的可能性并导致较低的保险费,而糟糕的网络安全可能导致更高的保费或保险业拒绝不惜任何代价接受风险。
Middleton-Leal 继续说道:“对此的一个积极影响是,缺乏支持可能会使董事会更多地参与网络安全。” 尽管所有这些可能都是真的,但归根结底,它无助于解决假设的——但极有可能发生的——严重网络事件的威胁,造成超出保险承保范围的广泛灾难性损害。针对关键行业的灾难性勒索软件/擦除器攻击的潜在连锁反应使这些行业难以投保,无论其安全状况如何。
影响
“政府对网络漏洞等不可预测的风险提供广泛支持的问题在于,它往往会导致更多的道德风险和冒险行为。例如,政府支持的洪水保险往往会增加洪泛区的房地产开发,”Teleport 的首席运营官兼联合创始人 Taylor Wakefield 评论道。“政府应该跟上同类最佳的安全实践,制定要求并将责任转移给那些不遵守这些要求的人。”
顺便说一句,国家网络安全战略也提到了最后一点,但具体提到了安全供应商。第 3.3 节(不安全软件产品和服务的责任转移)指出,“我们必须开始将责任转移到那些未能采取合理预防措施来保护其软件的实体,同时认识到即使是最先进的软件安全程序也无法防止所有漏洞。”
引入网络保险支持的可能影响尚不清楚,需要进一步研究。“关键问题是这样的支持是否有助于降低网络保险成本并促进为消费者提供更全面覆盖的网络政策,”Iftimie 说。
“我们已经看到一些网络保险公司削减或限制了对国家支持的攻击以及某些广泛的网络事件的承保范围,这可能会导致在发生灾难性的国家网络事件时出现承保缺口,而这正是最需要保险的时候。”
支持的目的是让网络保险更广泛地为整个市场提供和负担得起——但目前尚不清楚这是否可以实现。莫斯警告说,逆止器本身可能会产生不利影响。如果在被保险人的安全状况和保费之间没有必要的联系的情况下提供支持,“保险公司的能力就会大大摆脱限制。突然间,可用的保险太多了——从承保的角度来看,结果实际上是一场逐底竞争。”
资金
在对“转移责任”的描述中,政府没有将供应商责任与保险责任联系起来。然而,任何支持都需要从某个地方获得资金。两个主要选项来自联邦基金(这实际上是对所有纳税人征税),或对相关利益相关者征收的特定税。
第一个解决方案在政治上是有问题的。第二种解决方案已用于 2002 年的恐怖主义风险保险法 - 为应对 2001 年 9 月 11 日的恐怖袭击而通过。这本质上是一种恐怖主义保险支持,由对私人保单持有人征税提供资金,涵盖范围广泛的不同保单.
网络保险的问题在于,对网络保险保单持有人征税会增加已经很高的保费,并且可能会阻碍而不是帮助网络保险行业。因此,“它可能最终由纳税人资助,而联邦银行却陷入困境,”莫斯告诉SecurityWeek。
也就是说,政府希望将安全性差的责任转移到安全性差的产品供应商身上,这开启了对安全供应商征税或收取不合规罚款的可能性,以抵消网络保险支持的成本。
政府显然不反对提供联邦网络保险支持的原则,但如何管理它、涵盖什么以及如何资助的细节都与是否可以提供它的决定有关。
没有后盾,网络保险行业能否生存?
面对保险公司可能面临系统性和灾难性风险的真正恐惧,设计、提供和资助网络保险支持的困难导致了一个不可避免的问题:如果没有支持,该行业能否生存?
如果它仍然可以盈利,答案是肯定的。但要实现稳定的利润,该行业将需要重新定义一个有限的网络保险竞争环境,通过增加拒绝接受某些客户、排除特定风险以及对满足索赔的更严格限制。
Boosam 描述了当前形势,并指出全球网络犯罪成本预计在未来三年内每年增长 15%,到 2025 年达到每年 10.5 万亿美元——高于 2015 年的 3 万亿美元。
他告诉SecurityWeek说:“虽然网络保险费因这种增加的风险而上涨,但这与承运人看到的损失增加不成比例。根据全国保险专员协会 (NAIC) 的数据,美国网络保险的直接承保保费同比增长 92%;但报告的索赔在过去三年(日期为 2021 年)中每年增长 100%。同期,已结案且已付款的索赔每年增长 200%,2021 年有 8,100 起已付款的索赔使重大损失准备金和盈利能力面临风险。保险公司确实需要一个单独的资金池来应对这些大规模的网络灾难,以便在当前的网络风险环境中更好地管理他们的风险。”
因此,在当前的竞争环境下,保险公司继续以当前保费为大型网络风险事件提供保险是不可行的。“迄今为止,网络保险公司实现增长的方式是通过再保险资本的可用性,”他继续说道。“由于再保险公司也希望实现账目多元化,这种资本流入将会放缓,而且与保险相关的证券可能是一种前进的方式。最近 [2023 年 1 月],ILS 市场最大的供应商之一汉诺威再保险完成了价值 1 亿美元的风险转移,”——在资本市场和保险业之间架起了一座桥梁。
问题是这种新的资本涌入并没有解决网络保险的根本问题。也不确定政府的支持是否会为网络保险提供公平的竞争环境。保险越来越多地融入被保险人的网络安全状况,也没有消除系统性风险的最终威胁。
唯一可以确定的是,保险公司、企业和政府等各方都在寻求解决方案。能否实现可行的支持是个问题。没有一个,网络保险很可能仍然可用——但仅限于能够证明他们并不真正需要它的少数人。
编译自:安全周刊
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
原文始发于微信公众号(河南等级保护测评):网络保险支持:没有网络保险行业能否生存?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论