保觀曾在2017年寫過一篇網絡安全險的文章，如今一年半過去了，這一新興險種的發展並沒有如我們之前預料的那樣一帆風順。

打開百度，再次搜索“網絡安全險”，搜索結果裏沒有一個保險公司的廣告，僅有的一頭一尾兩則廣告也是來自解決方案供應商。

“網絡安全險”這一概念在肅殺寒冬中跌入了冰點，綻放之日遙遙無期。

國內：產品寥寥

網絡安全險在國內，產品數量少、形態單一，基本是面向企業用戶，而且價格需要定製。

國內知名度較高的產品有兩款——衆安保險的網絡信息安全綜合保險（下稱“綜合險”）和美亞保險的企業網絡安全保險。其中，衆安的產品是由其和網絡安全公司安恆信息共同開發。

論數量，實在是少之又少，在國內八十多家財險公司中，僅有寥寥數家提供網絡安全概念產品。即使在以企業爲主要銷售對象的企財險市場，網絡安全險也是少數中的少數。

論保障，以衆安爲例，其綜合險的保障範圍爲數字資產及相關的第三方責任，而美亞的企業網絡安全保險的承包範圍則還包含了網絡營業中斷、數據恢復費用等方面。

後經保觀從安恆信息覈實，衆安的綜合險可以爲客戶定製專屬保險方案，數據修復、第三方責任、法律費用等也都可以加入保障範圍。

論理賠，保險公司會提供直接經濟賠償或等值安全服務賠償。

比如2018年12月份所曝光的萬豪酒店集團5億客戶信息泄露事件，如果萬豪曾投保了美亞的企業網絡安全險，美亞將能提供約定保額的直接經濟賠償，降低萬豪集團的經濟損失。

又比如今年1月份所發生的“拼多多被薅羊毛”事件。

我們假設拼多多購買了衆安的網絡安全險，在此假設前提下，安恆信息認爲：

“據媒體報道，拼多多薅羊毛事件是由於網站出現重大系統Bug，被黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券。在網絡安全保險責任中，利用信息系統配置缺陷、協議缺陷、程序缺陷等漏洞，對信息系統實施攻擊的信息安全事件，屬於網絡安全保險的風險範疇。

具體賠付項目視客戶所選保險方案及與保險公司的約定，可賠付數字資產損失、鑑定服務費用、數據恢復費用、行政調查費用、法律費用等損失。”

該案件中，比較敏感的賠償是數千萬元的優惠券如何定損。但就如安恆信息所說的，具體情況需要看客戶與保險公司的約定。

當然，目前拼多多事件還沒有最終定性，拼多多也沒有購買網絡安全險，這次事件造成的損失只能自己承擔了。

論價格，衆安的產品分爲面向大型企業（以及政府、事業單位）和中小企業兩類，價格分別是6萬元/年和2萬元/年起，保額180萬和60萬起，但因爲企業的網絡風險情況各異，投保時需要通過衆安保險的風險評估來確定保費檔次。

而美亞的產品，根據企業情況和風險大小，保費範圍在幾萬到幾十萬之間，保額最高7000萬元人民幣。

保觀在17年的文章中曾提到，網絡安全險發展的難點在於建模難、道德風險高、以及法律不完善。

就前兩個難點，安恆信息與保觀分享了他們的看法：

網絡安全風險建模和定價方式與傳統的風險有着很大的不同，主要表現在兩個方面：1、網絡風險屬於動態變化的風險，黑客的技術及戰術會不斷升級，保險公司缺乏相應的技術手段；2、一旦發生信息安全事件，數據泄露的數量和損失難以精確計算。

因此，保險公司可以通過與第三方安全公司合作，降低產品的開發週期和成品，並提升產品專業化水平。

至於道德風險，在用戶投保後，與保險公司合作的網絡安全公司會參與到系統維護的工作中，在不觸及客戶商業機密的前提下，提供相應防護。

國內的網絡安全險市場的確纔剛剛起步，安恆信息認爲，需要有一個用戶教育和意識普及的過程。

海外：預期向好

從全球範圍來看，網絡安全保險的市場規模在2017年時約爲45.2億美元，路透社預計在2023年將達到175.5億美元（約合人民幣近1200億），年複合增長率25.4%，預期向好。

網絡安全險市場的主要參與者有AIG、蘇黎世保險、安聯、慕再和信利保險等。除了提供產品，這些保險公司也在嘗試量化網絡風險，通過制定統一標準來促進該險種的發展。

AIG於2017年12月公佈了一款網絡風險標準模型，可以用於量化和評估投保人的網絡風險。該模型能通過分析11種常見網絡設備在10種常見網絡攻擊行爲威脅下的表現，來評估投保人的網絡安全狀況。

信利保險則在2018年3月和RedSeal合作，開發了一款網絡風險評分平臺，並提出了“數字化抗性評分”的概念。該平臺可以用客觀數據來評測用戶的網絡安全狀況，其參考數據包括了硬件參數到雲服務器等網絡設施的各個方面。

上述兩方面嘗試，都降低了保險公司對網絡風險的建模難度。

在理賠方面，丘博保險和AIG分享了幾個經典案例：

員工失誤導致的風險

一家醫療機構的HR在嚮應聘者發送資料時，誤將4.3名前員工的個人隱私信息（包括姓名、地址、身份證號）一併發送了出去。這一失誤所導致的信息泄露，潛在的影響包括造成事故應急成本、因人員信息泄露而招致監管調查以及法律訴訟等，潛在的經濟損失高達18.6萬英鎊。

其實人爲失誤一直是造成網絡事故的重要原因之一，雖然大部分情況都是因無心之舉造成的，但其所造成的損失不可小覷。丘博保險在醫療機構申請理賠報案後，派駐了事故應急小組，並提供了法律服務。

信息泄露導致網絡勒索

一家中型律師事務所的內網遭到了黑客侵入，多份客戶的敏感資料（上市公司收購目標、還未公開的專利申請書、以及一系列訴訟案件原告的隱私資料等）被黑客控制。事發後，事務所收到了來自黑客2.5萬美元的贖金要求，如若拒絕支付，黑客將會把所有資料放到黑市上出售。

所有受害者在面臨勒索時，都不應該主動支付贖金，因爲沒有人能保證在支付贖金後，黑客會信守承諾。但如果不及時採取行動，事務所所面臨的損失將高達20餘萬美元。

報案後，丘博保險公司派遣了專業IT調查人員和第三方律師團隊入駐現場，處理事故。不過丘博保險並沒有此案的最終結果。

網絡事故導致營業中斷

本案由AIG承保，被保險人爲從事生產製造挖掘機的工廠。

12月1日，被保險人的網絡被黑客劫持，廠內85%的電腦文件被加密，廠內的外包工程師無法正常工作。報案後，AIG聯絡IT維修公司派出應急服務人員。最終，上門服務人員和工廠決定，利用備份數據還原系統，解除風險。12月3日，工廠恢復正常。

因爲網絡事故，工廠於12月1日和2日被迫停工，但外包工程師的費用依然需要按天結算。爲了趕進度，工廠必須額外再支付兩天的費用給外包工程師，但工廠已經沒有足夠的預算了。在此情況下，AIG承擔了外包工程師額外兩天的費用，作爲保險理賠。

這幾個理賠案例中，當事故發生時，保險公司的角色並非是單純的理賠支付者，而更像是事故搶救協調者。在事故發生後，損失發生前，介入處理。這樣的處理方式，可以較好地規避道德風險。

未來展望

國內保險公司爲了在短期內擴大網絡安全險的份額，也做出了以下的一些嘗試。

形態上 - To C化與場景化

大部分網絡安全險在設計之初都是面向企業的，而因爲企業情況和麪臨風險不同，導致保險公司無法設計出標準化的產品。幾乎所有的企業網絡安全險保單，都需要經過雙方協商來敲定各項條款。

如果就特定網絡風險開發面向個人用戶的標準化產品，匹配用戶的特定場景，從而在產品端解決推廣難的問題。

市面上已有比較常見的網絡支付安全險等。

衆安的互聯網產品披露信息中，就有多類面向個人的網絡風險類保險產品，包括網絡支付賬戶資金損失保險、個人信息安全財產損失保險、網絡遊戲虛擬財產保險等。但這些產品都是幾年前開發和上線的，目前已經下線。

形式上 – 附險起步

以家財險附險或者小額贈險的方式來銷售網絡安全保險，這也是其場景化思路的一種。通過依附家財險等主流險種，提升網絡安全險的知名度和接受度。

思考

保觀認爲，網絡安全險作爲一個新興險種，是對財險市場上非車險品類的一個補充。隨着工業互聯網時代的發展，網絡作爲新經濟建設的基礎設施，其配套的保險市場是有機會能趕上企財險和工程險規模的。

而擺在保險公司面前的，無外乎兩條路，一是作爲早期參與者入場，培育市場習慣、參與規則制定、承受推廣成本；二是等待市場成熟後入場分羹。

而市場的成熟，如果沒有先行者開道的話，或許只能等待5G、物聯網等新技術來催化了。