高晓鹏:我是中国人民财产保险股份有限公司的高晓鹏,今天很多专家跟大家分享了网络安全是通过技术方面来分享的,我可能从另外一个角度,用保险的手段看能不能保障企业的信息安全。
大家也知道随着互联网+战略的不断推进,移动互联、人工智能、大数据的这种应用,网络安全越来越被重视。目前有很多企业仍然通过技术手段来解决网络安全问题,他们通过什么手段?据我了解,可能是通过技术手段,像咱们这些专家,增加技术管理的能力。第二个是通过增加一些新的硬件设备,通过设备的方式来管理网络安全。第三个,可能是通过管理流程来协调网络安全。大家有没有想到用保险的手段来助力解决网络安全?
由于信息安全事故的发生,具有普遍性,具有不确定性,还有客观性。发生信息安全事故,将会造成企业一定的财产的损失,这就非常契合使用保险的手段来解决风险分散的问题。通过保险的方式,保险补偿风险造成的损失,就能解决企业的这种问题。我今天分享的内容主要是三个方面,第一个方面,信息安全现状。第二个方面风险防范实践。第三个方面,人保财险解决方案。
首先第一个,信息安全的现状。看一下咱们国家的法律环境,从国家的层面非常重视网络安全,习总书记在中央网络安全和信息化领导小组第一次会议上就讲到没有网络安全就没有国家安全。2017年6月1日,我国网络安全法的实施进一步把网络安全提升到法制的层面,运用法律的手段来解决网络安全的主要问题,同时通过这种法律使企业和个人都对网络安全的意识不断的提升。在我国虽然有了这种网络安全法,但是缺乏相应的实施细则和具体的管理要求。参考欧洲和美国的做法,包括像欧洲在2016年通过了一项对于个人隐私保护的法案的升级,通过了一项一般数据保护法案就是GDPR,在今年5月25日实施了。GDPR对于企业的罚金是非常高的,一个企业如果违规罚金要达到2000万欧元,甚至企业全球收入的4%,相比较于我们国家的网络安全法,一些企业已经有了违法的先例,但是法律处罚少的多,基本上是几十万的人民币甚至是整改措施,没有像欧洲这么严格的处罚力度。所以从另一个层面来讲,我们也期待国家在安全网络法各项实施细则和配套措施的不断完善,这样就可以更好的保护我们企业和个人的网络安全。
第二个,刚刚也提到了网络安全事件的频发,2017年大家也知道一个非常出名的勒索病毒,对全球造成的损失比较大,主要攻击对象在我国来讲主要是事业单位和校园。包括陈工程师也分享了勒索病毒导致了台基电,由于他们装的是Windows7的后台,没有打补丁,所以导致病毒在局域网内做传播,造成了台积电大概是3个服务器2天的中断,影响面非常大,损失也非常惨重。还有一个事件是Pertya的勒索病毒,主要攻击对象是乌克兰的首都机场、国家储蓄银行以及一些商业银行以及部分私人公司、零售企业和商场。所以网络攻击还是非常厉害的。
为了降低网络风险,企业会越来越加大这方面的投入,从2017年的数据,我们可以看到中国在网络安全产业上的投入是457.1亿人民币。第二个数据,Gartner预测2018年全球安全支出将达960亿美元,第三个报告预测,2017年—2022年,网络安全产品和服务的全球指出将累计超过1万亿人民币。保险虽然不能抵御网络的攻击,但是可以通过保险的手段或者我们评估的技术,来减少网络事件发生的概率,还有一个保险的作用是补偿企业因为网络事件造成的相应损失,从而减少对企业生产的影响,让企业能够尽快恢复生产。
从我们了解的风险来讲,企业一般情况下我总结大概有三个方面,主要是从网络安全隐患。第一个是各系统之间的数据中心,各系统之间的软硬件故障。因为IT系统是一个非常复杂的系统,不像我们家里面用的电器电路那么简单,空调坏了不会导致冰箱发生故障,但是数据中心可能就不一样了,是非常复杂的。如果数据中心空调坏了,可能会导致数据中心温度升高,这样部分的服务器可能就会产生Down机。还有一个是UP使出现了问题,可能会引发火灾发生报警。第二个来自于漏洞攻击,来自于维护人员的误操作,一般情况下运维人员的小的失误,还有开发人员的小的BUG,还有网络管理员的粗心大意,都会造成企业信息化设备的服务不可用或者数据丢失的风险,不仅仅是小公司,一些大的公司也会造成这样的疏漏。
刚才几位讲师也提到了云头条发布了一个供应商的技术人员误操作,导致一家技术公司全部数据都丢掉了。其实操作人员的过失也可以通过保险的方式做一个转嫁,避免事件处理中双方扯皮现象的发生,一方面影响云服务商的声誉,另外一方面影响创业公司的再生产,该赔偿就赔偿,尽可能将双方损失都降到最低。
第三个网络攻击和漏洞,举一个比较简单的例子,原来传统企业来讲对身份和访问控制是一个比较成熟的安全领域,但是随着越来越多的访问控制和云端的交互,和传统企业、传统软件的交互,我觉得它会呈现出更多样化的这种组合,更多样化的风险,身份已经成为最重要的攻击对象。如何安全的管理身份认证,已经成为一个非常大的难题。很多公司就聘请了网络专家,投入巨资购买设备,增加病毒防护、Ddos攻击防护的软件设备,并做更新。但是我觉得没有一个完美的防御系统,系统总会是有一定的漏洞,总会有被黑客、病毒或者Ddos攻击的风险,所以这种风险我觉得都可以用保险的方式,通过保险的方式来去解决。
打一个比方,如同一个老司机在路上开车,但是总觉得我不会发生交通事故,但实际上从数据来讲,咱们老说女司机驾驶技术差,有一项数据说明,实际上男司机事故概率更高。虽然男司机都说自己是老司机,开车没问题,但实际上出事的往往都是男同胞,这是实际的数据。马路上开车,老司机的事件说明什么问题?说明网络风险的发生这种偶然性是存在的,虽然我们可以通过管理的手段,通过增强网络防御能力设备的手段,通过提升咱们技术人员技术能力的手段,来去控制一定的风险,控制一定事件的发生,但是更多的还是考虑能不能通过一种其他方式,比如说保险的方式来转移风险,减少自身的损失。
第二个介绍一下人保在风险防范的一些实践。在2015年的时候,我们与中国信通院组织开始了云保险方面的探索,我们人保财险是亚洲大的财产险公司,现在是在国内市场上来讲,我们的体量应该是比第二家的平安和第三家的太平洋公司两个加起来都多,在国内市场来讲应该是有很强竞争力的,不断是从专业力和基础设施来讲都是非常强的。在云计算和信息通信领域虽然我们也有自己的IT领域,但我们还依托了更专业的中国信通院和中国数据中心联盟,开展了对云计算、责任保险包括网络保险的相关研究合作,依托信通院对承包进行一些风险评估工作。特别是在2014年9月份开始,我们在信通院指导下成立了一个小的供保体,就是中国人保财险和渤海保险还有另外一家公司,在今年我们把三家供保体又做了升级,现在是中国人保财险、渤海还有大地保险,三家作为供保体为大家进行服务。成立这个工作组的时候我们通过调研了中国电信、联通、移动、曙光、UCloud、百度等十多家企业调研征求意见,研究制定责任保险,定在2016年的可信云大会上发布了云计算服务责任保险,是国内首个报备云计算服务责任保险的保险公司,2015—2017年我们还参与了中国信通院与中国保险学会成立的网络保险创新实验室,并担任了副理事单位。
与此同时我们根据可信云的推广要求,以及企业在网络锋线上的真实诉求,我们开始研究个人信息泄露责任保险、网络安全相关的产品险种的更新和完善,实践证明我们在云计算责任保险上,包括网络安全责任保险的一系列保险上,在企业管理上也发挥了一定的作用,做了一些探索。累计我们承保了大概2、3个亿的标的,支出的赔款也非常多,有大概将近1000万的赔款,近年来我们与中国信通院、相干的专家建立了网络安全的专家评估体系,将来可以为承保对象提供一套全套的体检,对风险进行分析,提示风险点并给予风险防控的相关建议。同时我们与我们的合作方,一定可以向企业提供一系列的网络安全、信息安全相关的风险管理的服务,包括风险评估、法律服务,我当时列举了很多,主要这些服务都有相应的合作伙伴来去帮我们完善。
第三个是我们介绍一下我们的保险产品,第一个云计算服务责任保险,当时设计的初衷就是针对云服务商设计的一款保险,主要保障云服务商的事故导致的服务中断或者数据丢失,保险的对象就是云服务商,保险赔偿基于服务商与用户签订的服务合同,按照合同的约定进行相应的赔偿。保险当时是分了大概四个大类,第一个是承保故障责任,包括软硬件故障、主机存储故障、自有网络故障、电力故障、空调设备故障,以及导致云服务商不可用。第二个是误操作责任,主要是技术人员的误操作,造成了主机存储、网络设备重启、关机、网络设备或者软件配置的变更导致的误操作故障。第三个是第三方责任,当时是外资保险公司来讲是有保险有再保险,外资是完全不接受的,但我们还是根据服务商的要求把这个责任定下来了,保了一个供电的故障,国家电网的供电故障导致服务不可用,还有一个是电信运营商线路的故障导致了服务不可用,都是在我们的保障范围内。特别是针对SAAS用户,因为有些SAAS用户是租用数据中心的,所以对于数据中心的网络和电力故障的也是在保险范围内的。这一块对于外资来讲觉得风险是不可控的,但是对于我们国家的基础设施信任,觉得这个风险还是可控的风险,所以我们主动把这个保险的风险做了承保。
第四个保数据丢失的风险,因为云服务商存储的故障导致客户数据丢失且无法恢复,我们按照规定赔偿。
第五个是保险通常讲的法律费用,因为是保险事故,是被提起仲裁或者诉讼,主要支付的相应的仲裁费用和诉讼费用。
第一个产品主要是针对云服务商当时的诉求提的一个产品,第二个产品是在第一个产品进行两年的梳理做了一个迭代升级,这个产品不仅仅保的是对云服务商做了保障,更广泛的是保了一些因为网络安全事故造成了第三者的损失,主要保障五大部分。
第一大部分是对第三者的损失,疏忽过失造成第三者的损失,这可能比以前的第一个条款要更广泛一些,包括恶意软件、黑客的行为、Ddos攻击、非法的访问、误操作、设备故障导致第三者的事故。
第二部分是法律费用,跟刚刚的那个也是相关的,只不过多了一个承保人依法向资料所有者披露个人信息泄露或者数据安全事故所产生的相干费用。
第三部分是承保企业修复企业名誉、恢复企业声誉,这部分包括了鉴定的费用,包括了通知的费用、监测的费用。建议的费用主要是聘请第三方机构,来确定事故发生的原因和影响的范围所做的鉴定的费用。第二个是通知的费用,主要是为恢复企业的名誉,通过新闻媒体也是聘请第三方机构来说明事故发生的状况、处理方式或者表示歉意、道歉的费用。监测的费用包括咱们提供的信用的监测和身份到期的监测,还有信用的冻结、欺诈这种监测的费用。
第四部分是外部服务商的责任。
第五部分是媒体责任,这是我们从国外借鉴过来的,因为国内可能发生的事件比较少,主要承保的是媒体,因为媒体内容侵犯他人的著作权,第一个是侵权的责任,第二个是侵犯他人的创意还有发布他人的错误信息等这种媒体的责任,我们也是作为保险责任的,主要国内这种情况发生的比较少,我们也会承接面向全球的业务,所以把国外通用的这部分借鉴过来了。
到这会想,这些都是保第三者的,造成第三者损失的。我们个人或者企业自己的损失,用哪些承保?我们其实还有一个云计算保险的2.0版本,叫信息技术应用服务保险,这是自己买了给自己的保障。这个险种我们当时开发的时候是一个指数性的保险,不同于我们理解的数学意义的指数,它这个指数的意义相当于我们预先设定一个参数,如果达到一定处罚条件我们就按照这个参数去赔偿,因为信息技术运用服务造成的软硬件故障、运营人员误操作、黑客攻击、系统泄露、软件BUG导致服务不可用,根据我们约定的时间,中断超过这个时间点我们按照约定价格进行赔偿,然后再乘上整体的时长,我们就按照这个时长做相应的赔偿。
第二个产品优势,针对事故的风险,只要事故原因清楚,事实清楚,我们就能判定损失。不同于国外通行的利润损失部分的保险,利润损失部分的保险可能会要求企业提供相应的你的利润情况,如果是上市公司还好,利润报表、年度报表都是可以公开查到的,我可以公开反算你的中断,比如说像台积电中断2天大概利润损失多少我可以算出来。但如果是一家稍微小一点的创业企业、创业公司,没有自己的利润核算单位,可能就没有办法去核算它的利润。还有一些企业可能说一年营收虽然很大,但是利润很小,对于这些企业来讲还是非常非常麻烦的。再一个是口径的不一致,包括不同的财务报表有可能不一样,对于我们来讲考虑到种种方面的原因,我们做了一个指数性的保险,让赔偿起来更加简单,只要把事故原因情况确定清楚,符合我们的要求我们就进行赔偿。
第二个承保的,除了服务中断之外,我们还提供数据丢失和信息泄露的保险。泄露包括所有正常的所管理的企业信息数据造成的泄露和损失我们都按照约定进行赔偿,信息泄露部分可能还包括了一部分损失,比如说名誉、通知、公告、公关的费用。在主险的同时,我们还提供了一个附加险,作为进一步的损失的保险,软件升级、优化软件版本的费用等等我们都做了保障。
以上是我们网络安全方面的产品,后续我们还会根据市场的需求,还有各类企业对企业信息安全的要求,我们对产品不断进行更新和迭代。未来的保险作为信息安全服务的一个重要的不可或缺的环节,就如我们开车都需要买一份保险一样,我们也需要推动企业在信息安全上投入相应的保险,在企业在信息的高速公路上能够走的更快更稳。以上就是我的分享,如果大家感兴趣这是我的微信,大家可以进行后续进一步的交流,谢谢大家!