印度航空信息泄露一事,将航空公司用户信息安全话题再次推上风口浪尖。5月23日,北京商报记者梳理发现,随着线上化的加速推广,近年来各行各业均有受到黑客攻击,从航空公司、金融机构、成品油管道运营商,到线上教育机构不一而足,重复上演的网络安全事故再次凸显网络安全保险的重要性。业内人士认为,网络安全保险有助于减少企业损失、转移剩余风险、助力企业发展,与此相伴相生的诸多数据监测管理方案亦可能从根源上拔除信息泄露风险;同时,保险行业数据依赖性较强,一旦消费者隐私方面出现问题将严重制约行业可持续发展,因此在保险科技发展过程中,保险业面临数据保护和隐私的责任,必须尽责地使用数据。
图片来源:壹图网
网络安全事故频出待服保险“定心丸”
印度航空公司5月21日晚发表声明称,该公司大约450万名客户的数据遭黑客窃取,黑客窃取的数据包括客户姓名、信用卡账号和护照信息,目前印度航空已着手采取补救措施,与外部专家和信用卡公司合作加强数据安全。
印度航空公司的数据泄露,实际上只是网络信息安全事故的冰山一角。在此之前,2018年、2020年英国航空公司、英国易捷航空公司分别遭黑客攻击而泄露40万名客户和900万名客户的数据信息。
除了航空工业外,日前美国较大的成品油管道运营商ColonialPipeline在当地时间5月7日因受到勒索软件攻击,导致部分IT系统停机,管道运营中断。此外,金融机构、在线教育机构等各行各业均有数据泄露造成用户信息“裸奔”。
重复上演的网络信息安全事故,愈发凸显了网络安全保险的重要性。所谓网络安全保险,保障的是由于网络安全事件给企业带来的直接财产损失以及第三方客户提出的索赔责任。
全国政协经济委员会委员、原保监会副主席周延礼此前表示,网络安全保险是分散网络风险的有效工具。保险公司通过承保其他的风险管理的手段无法处置的风险为企业提供风险管理服务。同时,网络安全保险能够帮助这些企业解决事故责任,提高风险防范水平。网络安全风险是相对的,可以通过保险的方式转移不确定的风险。
对此,国内各保险机构“八仙过海,各显神通”。如日前数据安全厂商北京亿赛通科技发展有限责任公司与太保财险合作开展网络安全保险业务,为企业提供基于亿赛通“文件防火墙”产品的保险服务。
而早在去年,“源堡科技”亦与国任财险、网络安全公司美创科技共同推出行业专门针对勒索病毒的险种,企业可通过购买勒索软件防护保险来完善自身的风险管理体系,通过保险对未知的风险进行转移,并可通过核心技术对目标企业客户进行风险识别及安全能力评估,基于评估结果即刻生成“一兜到底”的专属定制化保险解决方案。
而在保险业本身数据信息安全的保护方面,如众安保险有数据安全管理矩阵,从能力维度、场景维度和管理执行维度建设安全管理;技术方面,从技术架构维度,包括网络层、终端层、基础设施层、业务应用等所有层面对所有数据进行分级分类控制,同时在技术执行层面会引入技术进行识别、保护、检测、响应及处置。
此外,信美人寿相互保险社亦在近日通过了国际权威认证机构挪威船级社审核,获得信息安全管理体系标准ISO27001及隐私管理体系标准ISO27701双认证。相关负责人称,这标志着信美在信息安全和隐私保护领域逐步实现了标准化、规范化和体系化管理,提高了组织应对信息安全风险的能力。
“风浪”中如何坚守网络安全“防汛堤”
随着线上化局面逐渐在国内打开,网络安全保险亦日渐风靡。
对于国内网络安全保险的发展现状和前景,中国科学院保险与经济发展研究中心副主任王向楠表示,国内网络安全的责任认定正在细化明确,事故的损失计算和赔偿标准正在完善,风险在经济上正在较快地做实。国内网络安全风险还在探索期,市场需求有,但组织还不太看重保险的作用,供给相对不足。发达国家这方面的市场转化是较缓慢的,国内的网络账户安全险发展较好,整体上的投保率提升还应当有耐心。
“我国保险业很重视网络安全建设,在数据安全标准、云计算应用标准、技术外包管理、业务持续性动态评价、网络安全事件汇报机制等方面的作为很多。保险业在运营连续性和信息安全性上均表现较好。”对于国内网络安全保险业现状,王向楠评价道。
清华大学五道口金融学院中国保险和养老金研究中心研究总监朱俊生亦指出,保险科技的发展很大程度上是互联网企业在业务和技术层面的推动,但风险管理并不是互联网企业的优势,而保险恰恰是一个极其关注风险的行业。
“例如一般的理赔都是由人来完成,经验丰富的理赔员往往能够从细节中发现欺诈线索,这种反欺诈的风险能力是目前利用人工智能等技术无法完全取代的。”朱俊生举例解释道。
不过,网络安全保险的发展亦面临诸多挑战。如王向楠指出,由于损失的无形性以及承担法律责任的标准尚不明确、尚不严重,所以损失程度不易确定,需求不足;受损机构往往不愿披露数据,以免损害声誉;造成事故的因素有时较为集中,风险事件可能传染,所以风险独立性差,有一定系统性;多属于人为风险,变化快;整体看,主动投保的机构的风险偏高,逆向选择较强。
针对上述问题,保险业应采取何等措施“查漏补缺”加固风险防火墙?王向楠建议,加强对互联网科技风险的了解,提升能力,并与网络安全方面的企业以及各行业性组织加强合作沟通,实现利用更丰富的数据设计网络产品;在提供保险的同时,逐步成为风险管理综合服务商,为投保的组织提供维护网络安全的建议。可以以数据密集行业的中小企业为突破口。
此外,王向楠还建议,保险行业还可以组织开展网络韧性压力测试,利用较新的网络威胁情报模拟真实网络攻击,不断调整更新现有的应急和恢复计划。保险公司可以根据情况,加强网络安全的责任划分,建设数据资产保护制度。
朱俊生亦提出,监管部门可以推动通过数据保护或隐私保护等法案,积极寻求立法手段规范数据使用,搭建基础性法律保护体系。监管部门通过对数据保护的监督和引导,可以推动消费者数据保护,规范商业数据应用行为。
记者丨陈婷婷 周菡怡
编辑丨张兰