保險(xiǎn)業(yè)數(shù)據(jù)依賴性較強(qiáng)，如何“查漏補(bǔ)缺”加固風(fēng)險(xiǎn)防火墻？

印度航空信息泄露一事，將航空公司用戶信息安全話題再次推上風(fēng)口浪尖。5月23日，北京商報(bào)記者梳理發(fā)現(xiàn)，隨著線上化的加速推廣，近年來各行各業(yè)均有受到黑客攻擊，從航空公司、金融機(jī)構(gòu)、成品油管道運(yùn)營商，到線上教育機(jī)構(gòu)不一而足，重復(fù)上演的網(wǎng)絡(luò)安全事故再次凸顯網(wǎng)絡(luò)安全保險(xiǎn)的重要性。業(yè)內(nèi)人士認(rèn)為，網(wǎng)絡(luò)安全保險(xiǎn)有助于減少企業(yè)損失、轉(zhuǎn)移剩余風(fēng)險(xiǎn)、助力企業(yè)發(fā)展，與此相伴相生的諸多數(shù)據(jù)監(jiān)測管理方案亦可能從根源上拔除信息泄露風(fēng)險(xiǎn);同時(shí)，保險(xiǎn)行業(yè)數(shù)據(jù)依賴性較強(qiáng)，一旦消費(fèi)者隱私方面出現(xiàn)問題將嚴(yán)重制約行業(yè)可持續(xù)發(fā)展，因此在保險(xiǎn)科技發(fā)展過程中，保險(xiǎn)業(yè)面臨數(shù)據(jù)保護(hù)和隱私的責(zé)任，必須盡責(zé)地使用數(shù)據(jù)。

網(wǎng)絡(luò)安全事故頻出待服保險(xiǎn)“定心丸”

印度航空公司5月21日晚發(fā)表聲明稱，該公司大約450萬名客戶的數(shù)據(jù)遭黑客竊取，黑客竊取的數(shù)據(jù)包括客戶姓名、信用卡賬號(hào)和護(hù)照信息，目前印度航空已著手采取補(bǔ)救措施，與外部專家和信用卡公司合作加強(qiáng)數(shù)據(jù)安全。

印度航空公司的數(shù)據(jù)泄露，實(shí)際上只是網(wǎng)絡(luò)信息安全事故的冰山一角。在此之前，2018年、2020年英國航空公司、英國易捷航空公司分別遭黑客攻擊而泄露40萬名客戶和900萬名客戶的數(shù)據(jù)信息。

除了航空工業(yè)外，日前美國最大的成品油管道運(yùn)營商ColonialPipeline在當(dāng)?shù)貢r(shí)間5月7日因受到勒索軟件攻擊，導(dǎo)致部分IT系統(tǒng)停機(jī)，管道運(yùn)營中斷。此外，金融機(jī)構(gòu)、在線教育機(jī)構(gòu)等各行各業(yè)均有數(shù)據(jù)泄露造成用戶信息“裸奔”。

重復(fù)上演的網(wǎng)絡(luò)信息安全事故，愈發(fā)凸顯了網(wǎng)絡(luò)安全保險(xiǎn)的重要性。所謂網(wǎng)絡(luò)安全保險(xiǎn)，保障的是由于網(wǎng)絡(luò)安全事件給企業(yè)帶來的直接財(cái)產(chǎn)損失以及第三方客戶提出的索賠責(zé)任。

全國政協(xié)經(jīng)濟(jì)委員會(huì)委員、原保監(jiān)會(huì)副主席周延禮此前表示，網(wǎng)絡(luò)安全保險(xiǎn)是分散網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效工具。保險(xiǎn)公司通過承保其他的風(fēng)險(xiǎn)管理的手段無法處置的風(fēng)險(xiǎn)為企業(yè)提供風(fēng)險(xiǎn)管理服務(wù)。同時(shí)，網(wǎng)絡(luò)安全保險(xiǎn)能夠幫助這些企業(yè)解決事故責(zé)任，提高風(fēng)險(xiǎn)防范水平。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是相對(duì)的，可以通過保險(xiǎn)的方式轉(zhuǎn)移不確定的風(fēng)險(xiǎn)。

對(duì)此，國內(nèi)各保險(xiǎn)機(jī)構(gòu)“八仙過海，各顯神通”。如日前數(shù)據(jù)安全廠商北京億賽通科技發(fā)展有限責(zé)任公司與太保財(cái)險(xiǎn)合作開展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)，為企業(yè)提供基于億賽通“文件防火墻”產(chǎn)品的保險(xiǎn)服務(wù)。

而早在去年，“源堡科技”亦與國任財(cái)險(xiǎn)、網(wǎng)絡(luò)安全公司美創(chuàng)科技共同推出行業(yè)首款專門針對(duì)勒索病毒的險(xiǎn)種，企業(yè)可通過購買勒索軟件防護(hù)保險(xiǎn)來完善自身的風(fēng)險(xiǎn)管理體系，通過保險(xiǎn)對(duì)未知的風(fēng)險(xiǎn)進(jìn)行轉(zhuǎn)移，并可通過核心技術(shù)對(duì)目標(biāo)企業(yè)客戶進(jìn)行風(fēng)險(xiǎn)識(shí)別及安全能力評(píng)估，基于評(píng)估結(jié)果即刻生成“一兜到底”的專屬定制化保險(xiǎn)解決方案。

而在保險(xiǎn)業(yè)本身數(shù)據(jù)信息安全的保護(hù)方面，如眾安保險(xiǎn)有數(shù)據(jù)安全管理矩陣，從能力維度、場景維度和管理執(zhí)行維度建設(shè)安全管理;技術(shù)方面，從技術(shù)架構(gòu)維度，包括網(wǎng)絡(luò)層、終端層、基礎(chǔ)設(shè)施層、業(yè)務(wù)應(yīng)用等所有層面對(duì)所有數(shù)據(jù)進(jìn)行分級(jí)分類控制，同時(shí)在技術(shù)執(zhí)行層面會(huì)引入技術(shù)進(jìn)行識(shí)別、保護(hù)、檢測、響應(yīng)及處置。

此外，信美人壽相互保險(xiǎn)社亦在近日通過了國際權(quán)威認(rèn)證機(jī)構(gòu)挪威船級(jí)社審核，獲得信息安全管理體系標(biāo)準(zhǔn)ISO27001及隱私管理體系標(biāo)準(zhǔn)ISO27701雙認(rèn)證。相關(guān)負(fù)責(zé)人稱，這標(biāo)志著信美在信息安全和隱私保護(hù)領(lǐng)域逐步實(shí)現(xiàn)了標(biāo)準(zhǔn)化、規(guī)范化和體系化管理，提高了組織應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的能力。

“風(fēng)浪”中如何堅(jiān)守網(wǎng)絡(luò)安全“防汛堤”

隨著線上化局面逐漸在國內(nèi)打開，網(wǎng)絡(luò)安全保險(xiǎn)亦日漸風(fēng)靡。

對(duì)于國內(nèi)網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展現(xiàn)狀和前景，中國科學(xué)院保險(xiǎn)與經(jīng)濟(jì)發(fā)展研究中心副主任王向楠表示，國內(nèi)網(wǎng)絡(luò)安全的責(zé)任認(rèn)定正在細(xì)化明確，事故的損失計(jì)算和賠償標(biāo)準(zhǔn)正在完善，風(fēng)險(xiǎn)在經(jīng)濟(jì)上正在較快地做實(shí)。國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)還在探索期，市場需求有，但組織還不太看重保險(xiǎn)的作用，供給相對(duì)不足。發(fā)達(dá)國家這方面的市場轉(zhuǎn)化是較緩慢的，國內(nèi)的網(wǎng)絡(luò)賬戶安全險(xiǎn)發(fā)展較好，整體上的投保率提升還應(yīng)當(dāng)有耐心。

“我國保險(xiǎn)業(yè)很重視網(wǎng)絡(luò)安全建設(shè)，在數(shù)據(jù)安全標(biāo)準(zhǔn)、云計(jì)算應(yīng)用標(biāo)準(zhǔn)、技術(shù)外包管理、業(yè)務(wù)持續(xù)性動(dòng)態(tài)評(píng)價(jià)、網(wǎng)絡(luò)安全事件匯報(bào)機(jī)制等方面的作為很多。保險(xiǎn)業(yè)在運(yùn)營連續(xù)性和信息安全性上均表現(xiàn)較好。”對(duì)于國內(nèi)網(wǎng)絡(luò)安全保險(xiǎn)業(yè)現(xiàn)狀，王向楠評(píng)價(jià)道。

清華大學(xué)五道口金融學(xué)院中國保險(xiǎn)和養(yǎng)老金研究中心研究總監(jiān)朱俊生亦指出，保險(xiǎn)科技的發(fā)展很大程度上是互聯(lián)網(wǎng)企業(yè)在業(yè)務(wù)和技術(shù)層面的推動(dòng)，但風(fēng)險(xiǎn)管理并不是互聯(lián)網(wǎng)企業(yè)的優(yōu)勢，而保險(xiǎn)恰恰是一個(gè)極其關(guān)注風(fēng)險(xiǎn)的行業(yè)。

“例如一般的理賠都是由人來完成，經(jīng)驗(yàn)豐富的理賠員往往能夠從細(xì)節(jié)中發(fā)現(xiàn)欺詐線索，這種反欺詐的風(fēng)險(xiǎn)能力是目前利用人工智能等技術(shù)無法完全取代的。”朱俊生舉例解釋道。

不過，網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展亦面臨諸多挑戰(zhàn)。如王向楠指出，由于損失的無形性以及承擔(dān)法律責(zé)任的標(biāo)準(zhǔn)尚不明確、尚不嚴(yán)重，所以損失程度不易確定，需求不足;受損機(jī)構(gòu)往往不愿披露數(shù)據(jù)，以免損害聲譽(yù);造成事故的因素有時(shí)較為集中，風(fēng)險(xiǎn)事件可能傳染，所以風(fēng)險(xiǎn)獨(dú)立性差，有一定系統(tǒng)性;多屬于人為風(fēng)險(xiǎn)，變化快;整體看，主動(dòng)投保的機(jī)構(gòu)的風(fēng)險(xiǎn)偏高，逆向選擇較強(qiáng)。

針對(duì)上述問題，保險(xiǎn)業(yè)應(yīng)采取何等措施“查漏補(bǔ)缺”加固風(fēng)險(xiǎn)防火墻?王向楠建議，加強(qiáng)對(duì)互聯(lián)網(wǎng)科技風(fēng)險(xiǎn)的了解，提升能力，并與網(wǎng)絡(luò)安全方面的領(lǐng)先企業(yè)以及各行業(yè)性組織加強(qiáng)合作溝通，實(shí)現(xiàn)利用更豐富的數(shù)據(jù)設(shè)計(jì)網(wǎng)絡(luò)產(chǎn)品;在提供保險(xiǎn)的同時(shí)，逐步成為風(fēng)險(xiǎn)管理綜合服務(wù)商，為投保的組織提供維護(hù)網(wǎng)絡(luò)安全的建議?？梢砸詳?shù)據(jù)密集行業(yè)的中小企業(yè)為突破口。

此外，王向楠還建議，保險(xiǎn)行業(yè)還可以組織開展網(wǎng)絡(luò)韌性壓力測試，利用最新的網(wǎng)絡(luò)威脅情報(bào)模擬真實(shí)網(wǎng)絡(luò)攻擊，不斷調(diào)整更新現(xiàn)有的應(yīng)急和恢復(fù)計(jì)劃。保險(xiǎn)公司可以根據(jù)情況，加強(qiáng)網(wǎng)絡(luò)安全的責(zé)任劃分，建設(shè)數(shù)據(jù)資產(chǎn)保護(hù)制度。

朱俊生亦提出，監(jiān)管部門可以推動(dòng)通過數(shù)據(jù)保護(hù)或隱私保護(hù)等法案，積極尋求立法手段規(guī)范數(shù)據(jù)使用，搭建基礎(chǔ)性法律保護(hù)體系。監(jiān)管部門通過對(duì)數(shù)據(jù)保護(hù)的監(jiān)督和引導(dǎo)，可以推動(dòng)消費(fèi)者數(shù)據(jù)保護(hù)，規(guī)范商業(yè)數(shù)據(jù)應(yīng)用行為。

北京商報(bào)記者陳婷婷 周菡怡

關(guān)鍵詞： 保險(xiǎn)業(yè) 數(shù)據(jù) 風(fēng)險(xiǎn) 防風(fēng)墻