印度航空信息泄露一事，將航空公司用戶信息安全話題再次推上風口浪尖。5月23日，北京商報記者梳理發現，隨著線上化的加速推廣，近年來各行各業均有受到黑客攻擊，從航空公司、金融機構、成品油管道運營商，到線上教育機構不一而足，重復上演的網絡安全事故再次凸顯網絡安全保險的重要性。業內人士認為，網絡安全保險有助于減少企業損失、轉移剩余風險、助力企業發展，與此相伴相生的諸多數據監測管理方案亦可能從根源上拔除信息泄露風險;同時，保險行業數據依賴性較強，一旦消費者隱私方面出現問題將嚴重制約行業可持續發展，因此在保險科技發展過程中，保險業面臨數據保護和隱私的責任，必須盡責地使用數據。

網絡安全事故頻出待服保險“定心丸”

印度航空公司5月21日晚發表聲明稱，該公司大約450萬名客戶的數據遭黑客竊取，黑客竊取的數據包括客戶姓名、信用卡賬號和護照信息，目前印度航空已著手采取補救措施，與外部專家和信用卡公司合作加強數據安全。

印度航空公司的數據泄露，實際上只是網絡信息安全事故的冰山一角。在此之前，2018年、2020年英國航空公司、英國易捷航空公司分別遭黑客攻擊而泄露40萬名客戶和900萬名客戶的數據信息。

除了航空工業外，日前美國最大的成品油管道運營商ColonialPipeline在當地時間5月7日因受到勒索軟件攻擊，導致部分IT系統停機，管道運營中斷。此外，金融機構、在線教育機構等各行各業均有數據泄露造成用戶信息“裸奔”。

重復上演的網絡信息安全事故，愈發凸顯了網絡安全保險的重要性。所謂網絡安全保險，保障的是由于網絡安全事件給企業帶來的直接財產損失以及第三方客戶提出的索賠責任。

全國政協經濟委員會委員、原保監會副主席周延禮此前表示，網絡安全保險是分散網絡風險的有效工具。保險公司通過承保其他的風險管理的手段無法處置的風險為企業提供風險管理服務。同時，網絡安全保險能夠幫助這些企業解決事故責任，提高風險防范水平。網絡安全風險是相對的，可以通過保險的方式轉移不確定的風險。

對此，國內各保險機構“八仙過海，各顯神通”。如日前數據安全廠商北京億賽通科技發展有限責任公司與太保財險合作開展網絡安全保險業務，為企業提供基于億賽通“文件防火墻”產品的保險服務。

而早在去年，“源堡科技”亦與國任財險、網絡安全公司美創科技共同推出行業首款專門針對勒索病毒的險種，企業可通過購買勒索軟件防護保險來完善自身的風險管理體系，通過保險對未知的風險進行轉移，并可通過核心技術對目標企業客戶進行風險識別及安全能力評估，基于評估結果即刻生成“一兜到底”的專屬定制化保險解決方案。

而在保險業本身數據信息安全的保護方面，如眾安保險有數據安全管理矩陣，從能力維度、場景維度和管理執行維度建設安全管理;技術方面，從技術架構維度，包括網絡層、終端層、基礎設施層、業務應用等所有層面對所有數據進行分級分類控制，同時在技術執行層面會引入技術進行識別、保護、檢測、響應及處置。

此外，信美人壽相互保險社亦在近日通過了國際權威認證機構挪威船級社審核，獲得信息安全管理體系標準ISO27001及隱私管理體系標準ISO27701雙認證。相關負責人稱，這標志著信美在信息安全和隱私保護領域逐步實現了標準化、規范化和體系化管理，提高了組織應對信息安全風險的能力。

“風浪”中如何堅守網絡安全“防汛堤”

隨著線上化局面逐漸在國內打開，網絡安全保險亦日漸風靡。

對于國內網絡安全保險的發展現狀和前景，中國科學院保險與經濟發展研究中心副主任王向楠表示，國內網絡安全的責任認定正在細化明確，事故的損失計算和賠償標準正在完善，風險在經濟上正在較快地做實。國內網絡安全風險還在探索期，市場需求有，但組織還不太看重保險的作用，供給相對不足。發達國家這方面的市場轉化是較緩慢的，國內的網絡賬戶安全險發展較好，整體上的投保率提升還應當有耐心。

“我國保險業很重視網絡安全建設，在數據安全標準、云計算應用標準、技術外包管理、業務持續性動態評價、網絡安全事件匯報機制等方面的作為很多。保險業在運營連續性和信息安全性上均表現較好。”對于國內網絡安全保險業現狀，王向楠評價道。

清華大學五道口金融學院中國保險和養老金研究中心研究總監朱俊生亦指出，保險科技的發展很大程度上是互聯網企業在業務和技術層面的推動，但風險管理并不是互聯網企業的優勢，而保險恰恰是一個極其關注風險的行業。

“例如一般的理賠都是由人來完成，經驗豐富的理賠員往往能夠從細節中發現欺詐線索，這種反欺詐的風險能力是目前利用人工智能等技術無法完全取代的。”朱俊生舉例解釋道。

不過，網絡安全保險的發展亦面臨諸多挑戰。如王向楠指出，由于損失的無形性以及承擔法律責任的標準尚不明確、尚不嚴重，所以損失程度不易確定，需求不足;受損機構往往不愿披露數據，以免損害聲譽;造成事故的因素有時較為集中，風險事件可能傳染，所以風險獨立性差，有一定系統性;多屬于人為風險，變化快;整體看，主動投保的機構的風險偏高，逆向選擇較強。

針對上述問題，保險業應采取何等措施“查漏補缺”加固風險防火墻?王向楠建議，加強對互聯網科技風險的了解，提升能力，并與網絡安全方面的領先企業以及各行業性組織加強合作溝通，實現利用更豐富的數據設計網絡產品;在提供保險的同時，逐步成為風險管理綜合服務商，為投保的組織提供維護網絡安全的建議。可以以數據密集行業的中小企業為突破口。

此外，王向楠還建議，保險行業還可以組織開展網絡韌性壓力測試，利用最新的網絡威脅情報模擬真實網絡攻擊，不斷調整更新現有的應急和恢復計劃。保險公司可以根據情況，加強網絡安全的責任劃分，建設數據資產保護制度。

朱俊生亦提出，監管部門可以推動通過數據保護或隱私保護等法案，積極尋求立法手段規范數據使用，搭建基礎性法律保護體系。監管部門通過對數據保護的監督和引導，可以推動消費者數據保護，規范商業數據應用行為。

北京商報記者陳婷婷 周菡怡

關鍵詞： 保險業 數據 風險 防風墻