5G网络安全风险与保险解决方案
在5G网络的推出与普遍后,势必会对网络安全提出更高的要求,而网路安全保险则是应对这一问题的有效方式之一。
人工智能技术的加持,5G建设的全面铺开,加速了工业互联网的普及,包括云计算、移动互联网、物联网/车联网、大数据、区块链、云存储、人工智能/人脸识别/自动驾驶等新技术在内的广泛应用,迅速带来互联网世界的新变化, 成为企业成长和转型的关键动力。
据IDC统计,全球数字信息在未来几年将呈现惊人增长,预计到2020年总量将增长44倍。另外一份调查显示,全球90%的数据都是在过去两年中生成的。每天,遍布世界各个角落的传感器、移动设备、在线交易和社交网络生成上百万兆字节的数据。目前有300亿台设备互联,2020年将有500亿台设备互联。
新科技带来变革的同时,新的风险也伴生而来。而保险业在引入人工智能等新技术进行承保、理赔时,必须考虑到可能出现差错带来的风险以及应对。
5G网络对安全提出更高要求
当前,5G正在开辟移动通信发展的新时代,加速经济社会数字化转型进程。与此同时,5G网络产生新的信任模型,新的服务模式,不断变化的威胁环境以及增加的隐私问题等特征,对安全提出了新的挑战和需求。
5G网络对安全提出了更高的要求,万物互联的应用场景、多样化的终端形态与接入技术、移动边缘计算技术、网络切片技术将产生新的安全问题,需要从机密性、隐私保护、伪基站防护、网间安全、完整性、认证类型这些方面,来提升5G背景下的网络安全。
据安联财险发布的网络安全研究报告显示,每年中国因网络袭击造成的经济损失高达3996亿元,损失额居亚洲第一;普华永道的调查报告也显示,过去两年间中国企业监测到的信息安全事件平均每年2577起。
网络安全事故包括:
- 企业信息系统数据遭到盗窃、篡改或损毁;
- 未经授权访问或使用企业的信息系统数据;
- 拒绝授权用户正常访问公司系统;
- 企业计算机系统被操控参与指向第三方计算机系统的拒绝服务攻击;
- 恶意代码、程序植入或传播;
- 或由于授权供应商发生以上事故导致企业应承担的法律责任和相应损失。
由此,网络安全的保障尤为重要,经济社会的发展要求个用户之间的通信和资源共享,这样就隐含着很大的风险,包含了极大的脆弱性和复杂性,很容易遭到别有用心者的恶意攻击和破坏。
网络风险与网络安全
网络风险
网络风险是指通过恶意行为影响或者瘫痪一个组织的信息科技系统使其遭受财产损失、经济损失、业务中断或者商誉损失的风险。网络风险遍布于各地区、存在于各类型、规模的企业。
随着5G时代到来,无人驾驶、智慧城市、智能工厂全面普及,人人互联、机机互联,甚至人机互联成为可能,而网络风险和威胁也与日俱增,漏洞和病毒造成的后果也更加严重,网络安全直接关系到人身安全、机构安全、城市安全和国家安全。
网络风险造成的损失多达13种,在竞争激烈的市场经济驱动下,每个企业对于原料配额、生产技术、经营决策等信息,在特定的地点和业务范围内都具有保密的要求,一旦这些机密被泄露,不仅会给企业,甚至会给国家造成严重的经济损失。
网络安全
网络安全从本质上讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到恶意的破坏、泄露和更改,系统连续正常的工作,网络服务不中断。网络安全的目的在于帮助企业建立和维持一个安全的可持续的商业运营。
网络安全不是仅仅依靠IT安全来实现的,是通过一套系统的风险管理制度来实现的,风险规避、风险控制和风险转移等手段之间不存在替代关系。网络安全的实现并不是仅依靠技术手段,它取决于企业的商业流程和企业雇员是否有能力有意愿去执行最佳实践的标准。
网络风险的解决方案:网络安全保险
从上世纪90年代诞生相关概念开始,网络安全保险至今也已经过了二十余年的发展。网络安全保险,即为客户规避诸如数据丢失、网络中断等互联网风险的保险。保障企业因发生网络安全事故或隐私泄露事故造成的第一方损失和导致的第三方索赔。
网络安全保险是健全的网络弹性风险管理方法的一种补充。每家企业都应通过将企业网络风险管理战略与企业文化和风险容忍度相结合的方式,来识别和保护其关键无形资产,以防止未编入预算的突发损失和资产负债表波动。
国内本土企业也有数家公司推出了网络安全保险,如人保推出的国内首款网络虚拟财产交易安全保险、阳光财险和众安在线推出的网络安全险等。
其中,众安在线先后通过与安恒信息和阿里云平台合作于国内首次推出网络信息安全综合险,该保险承保事件囊括了有害程序、网络攻击和信息破坏三大常见网络安全事件,用户投保前需要填写风险评估表并由安恒信息进行系统风险检测。并且在通过风险评估之后安恒信息公司将对其系统保持实时监测,发生问题后将及时反映,同时收集相应的风险数据和更新数据库。
网络安全保险不仅仅是一纸保障合同,更是一份服务合同。
网络安全保险市场的痛点
在市场调研机构NetDiligence发布的2016年网络安全保险赔案研究报告中,基于美国19家保险公司正在处理的176个网络安全保险赔案,统计出的一组数据:
- 98%的赔案中涉及到隐私侵犯费用的赔偿,总计1.14亿美金,最高单个金额1500万美金,平均值是66.5万美金;
- 大型企业处理一次隐私泄露事故发生的平均费用为597万美元;
- 91%的赔案中支付了危机响应服务的费用,最高单个案件金额710万美金,平均值为35.7万美金;
- 10%的赔案涉及到了法律费用和第三方诉讼,平均抗辩费用为13万美金,平均和解金额81.5万美金,最高为480万;
- 造成损失的原因排名前三位的是:黑客攻击(23%)、恶意软件/病毒(21%)、移动办公设备丢失(13%)。
目前来看全球网络安全保险的发展处于萌芽期,以保险市场最为发达的美国为例,2012年互联网安全保险保费规模仅为5亿美元,但2014年网络安全保险的购买数量同比增长32%。而在中国,提供网络安全保险的险企则屈指可数,究其原因,存在以下行业痛点:
1. 数据搜集挑战
建立一个网络风险模型的基础便是经验数据。
传统保险商建立风险模型时通常依靠官方数据提供者,比如自然灾害险可以寻求国家地震局、气象局的数据支持;但显然,目前尚不存在可以支持网络风险评估的官方数据源。
除此以外,网络风险是动态的、变化的,随着网络技术的更新而变动,因此网络风险数据的搜集同样必须是实时的、动态的,而这也区别于传统风险模型的相对静态的数据,并且前者的数量和处理难度也远大于后者。
2. 行为风险和风控质量的考量
与自然风险不同,网络风险不仅仅来自于外部事件,也来自于内部行为。
据2014年IBM调查显示,95%的网络犯罪都涉及员工行为错误,比如无意间丢失了储有重要信息的移动设备、账户密码安全等级弱等,甚至有内部员工故意偷窃并传播公司机密数据。
自然,相应的风险管理质量也同样关系着网络信息的安全。而风控质量和行为风险的量化和数据搜集成为了另一道难题。
3. 网络风险经济模型的建立
网络风险至少有以下特点:动态性、来源多样性和传导性,这导致了其影响因素复杂、数据搜集困难,同时网络风险的传导性也加大了保险商对潜在经济损失的预测难度。因而,网络风险经济模型的建立也是一项挑战。
很多保险机构毕竟不是专业网络安全厂家,其内部缺乏专业的安全人士。一方面,保险机构不能完全知晓当前不断演变的网络安全威胁,另一方面,保险机构也不十分清楚目标客户群的业务安全风险。这导致部分保险机构推迟参与该市场,而一些已推出产品的机构则对其产品一直保持担忧。
保险机构克服障碍的措施
1. 加强数据收集
网络安全风险数据是保险机构开展网络保险业务的基础。在这方面保险机构可以通过以下三种方式获得这些数据。
- 通过业务发展不断的积累数据和经验;
- 通过基于自身需求的网络安全建设来提取或反推获得相应的数据。有些保险机构就是通过自己公司的第一手网络安全经验来促进外部业务的发展;
- 向专业的咨询公司、安全厂商等第三方寻求获取相关的数据以充实自身的数据库。
2. 建立可行的风险管控机制
在缺乏更多有效数据的情况下,保险机构可建立一套基于风险管理成熟度模型的评估体系对客户开展承保前的安全评估,通过评估了解客户的安全投入及安全管控的持续性和有效性,评价客户安全需求与现有产品的吻合程度以及可能的产品灵活定价。
3. 仔细制定产品的风险覆盖
在产品制定的过程中,保险机构应考虑到两个因素:
- 不同的客户群因行业因素、发展因素、监管要求因素存在着不同需求。
- 网络安全风险内容繁多且不断的发生变化。因此保险机构需认真深入的了解其目标客户群的网络安全威胁和网络安全需求,避免产品出现安全风险覆盖不满足需求的情况。同时保险机构需保持对网络安全风险变化的持续跟踪,使产品能根据网络安全风险的变化而进行适应性调整,快速跟进并满足市场需求。
4. 提供更多的服务
国外保险机构由于较早开展该项业务,市场竞争也较为激烈,因此他们在商业活动中倾向于提供更多与网络安全相关的服务以增加产品的附加值。这些方式包括:
- 和知名的网络安全厂家进行合作,在客户进行产品采购前提供相应的安全咨询,承保评估;采购后提供安全应急服务、承保定损;甚至推销网络安全厂家的一些产品和服务。
- 保险机构寻求成为对某个特定网络安全领域非常熟悉的专业机构。这样可在对应领域向客户提供专业的网络安全建设咨询,增加客户粘性。
5. 扩大市场宣传
在以往网络安全市场的社会及媒体宣传活动中,政府机构、咨询机构、安全厂商以及网络服务商构成了网络安全宣传的四大主角。作为网络安全保险的提供者,保险机构也需要积极参与其中,一方面让社会全员更多的关心和了解网络安全风险,一方面也也有利于推动和扩展商业市场。
网络安全保险是一种切实可行的风险转嫁策略机制。在我国,该市场领域目前还处于探索初始阶段。而伴随网络安全建设的持续进行,一些机构已接受和认可这一安全策略并逐渐开始实施或准备实施该策略以进一步完善企业信息安全管理体系。
一方面,众多的国内保险机构纷纷试水,期待在该蓝海市场领域占据商业份额,另一方面,机构用户也期待该机制将帮助降低机构面临的监管压力和业务安全压力。关于网络安全保险的后续发展,还将持续观察。
本文由 @跳出树洞 原创发布于人人都是产品经理,未经作者许可,禁止转载。
题图来自Unsplash,基于CC0协议。
可以详细讲讲信息安全
也还没听懂
哪里没有懂,我再详细说
专门说信息安全一个模块不延伸,是这样吗
是的