只有来一场网络灾难，才能真正揭示保险行业的准备程度

黑客的频繁出击肆意破坏简直令人沮丧，保险行业不得不正视这一全新的风险领域。网络风险范围广泛，从零售商信用卡数据泄露，到乌克兰电网遭袭致大规模断电这种灾难性事件都涵盖在内。针对数据泄露的专门“网络保险”策略已经成了相对常规的险种。但保险公司其他保险策略担保的风险，也受到了网络风险的影响——而他们正苦于理解这一所谓的“沉默的”网络暴露面。

为受数据泄露伤害的公司提供保险的服务已经存在15年了。给被盗健康记录准确估值，可比给汽车一类的有形资产估值困难多了。保险公司通过只承担公司被黑的直接损失，来规避了这一问题。通常，这笔直接损失包括聘用专业取证公司、通知受影响客户、短期业务中断、罚款等开销。

2018年即将实施的欧盟数据保护新规，将对安全事件通告提出更严格的要求，对数据泄露的罚款也比以前严厉得多，这对保险行业形成了很大的震荡。有鉴于此，普华永道估测，2014年全球保费收入25亿美元的网络保险市场，到2020年将增至75亿美元。当然，与全球保费收益6700亿美元的汽车保险市场相比，还是极小的。

然而，数据泄露，大多数情况下只是可控的干扰，而不是灾难。尽管每年都有几百起数据泄露事件发生，2010年至今报给监管机构的美国公司数据泄露事件中，却只有90起是对公司业务有实质性伤害的。

更大的担忧是那些“沉默的”暴露面——可导致物理破坏或人身伤害而引发其他保险条款的网络攻击，比如寿险、房险、商业财产保险等等。通常，此类保险策略，尽管在制定时没有考量到网络风险，却也没有特别排除它们。有些案例中，是否排除了网络因素的保险条款触发，造成的区别几乎可以忽略不计；黑了智能门锁溜进屋的窃贼，未必会比破窗而入的盗贼偷得多。但2014年德国钢厂高炉被黑客搅乱所造成的巨大破坏，乌克兰电网被黑致大面积断电这种事，保险公司就得细细思量了。他们在理解、衡量和调整此类新威胁的暴露面上，加紧了脚步。

现实世界的前例太多稀少，不足以形成任何可靠估算的基准，保险业转向了采用假想情景进行估算。去年年末，专业利基市场和新兴风险保险公司英国劳合社(Lloyd’s of London)，首次邀请其保商和保险经纪人设想“似乎合理但极端”的网络攻击场景，然后报告他们估算的总体暴露程度。此举预计会成为每年常规动作。2015年5月，劳合社管理层就设想了黑客导致美国东北部整个电网断电的场景，估算这一情况会造成2220亿美元直接商业收益损失，并在随后5年对GDP造成超过1万亿美元的影响。

很多保险公司都转而寻求外部专家的帮助。像RMS和赛门铁克这种久负盛名的，提供建模能力帮助保险公司理解自身网络责任的分析公司，便陷入了“军备竞赛”中。(RMS已经是飓风建模界广受信任的专家了。)

但即便暴露面被更好地理解了，怎样限制它们也是很棘手的。比如说，划分网络战或网络恐怖主义和“常规”黑客活动之间的界限，就几乎是不可能的。网络犯罪可没有地域限制，不像佛罗里达飓风一样可测。保险策略至少需要明确承认网络风险是在覆盖范围之内，或者干脆排除掉它们——就像很多保险策略已经包括了恐怖主义或战争免责条款一样。

尽管保险公司已经帮助企业承担了平凡数据泄露的保险，但整个行业依然缺乏对大型网络灾难的明确规范化响应。不过，劳合社CEO对该市场持乐观态度，认为其严格的建模操练和独特的风险共享架构，会比大多数保险公司更有应对能力。但只有一场真实的灾难性网络攻击，才能检测其所有准备的有效性。

相关阅读

网络保险市场已达25亿美金，且在持续成长
关键基础设施遭受攻击数量上升 网络保险业务亟待发展