隨著網絡犯罪變得越來越普遍，所有組織的網絡風險持續增加，網絡保險也日益流行起來。

　　網絡保險在管理和降低網絡風險方面發揮著關鍵作用，但目前大部分保險公司在制定網絡保險過程中風險意識不強，可能對保險業形成巨大的風險敞口。為此，美國紐約州金融服務部發布《網絡保險風險框架》，面向所有財產和意外保險公司提供指引。

　　經過長期研究，美國紐約州金融服務部認為網絡保險風險主要體現在三個方面：

　　首先，目前大部分保險公司可能無法準確衡量網絡風險。為某個組織提供網絡保險并進行定價取決于對其風險的仔細評估，而網絡風險通常由該組織網絡安全項目的水準所驅動。不同組織之間差異可能很大，如果缺乏有效的風險衡量能力，網絡事故成本將轉嫁到保險公司身上。

　　其次是系統性風險考慮不足，面對網絡黑天鵝比如NotPetya、SolarWinds等大規模網絡事件時，受害組織規模巨大，保險公司要承擔驚人的保險成本。

　　再次是警惕沉默風險敞口，即網絡保險中并未明確提及應由保險公司承擔、但確由網絡事件所造成的損失風險。

　　以2017年的NotPetya事件為例，NotPetya惡意軟件在全球范圍內肆掠，破壞了大量組織的網絡，造成30億美元的保險理賠，其中27億美元是基于網絡沉默風險產生的。

　　《風險框架》為保險公司提供了7步的網絡保險制定流程，以保證各保險公司都能符合行業最佳實踐。

　　《風險框架》還建議，不要向勒索軟件方支付贖金。

　　《網絡保險風險框架》

　　一切提供網絡保險服務的授權財產/意外保險公司均應采取以下特定實踐，借以持續有效管理其網絡保險風險。各項最佳實踐整理自我們與業界及多位專家的交流意見。

　　各保險公司的網絡保險風險將受到多種因素的直接影響，包括保險公司自身規模、資源儲備、地理布局、市場份額以及被保險行業等。各家保險公司應采取與風險相稱的實施方法。

　　ONE

　　1、建立正式的網絡保險風險策略

　　提供網絡保險的保險企業，應制定一項由高層管理團隊、董事會或理事機構（若無董事會）指導并批準的，用于衡量網絡保險風險的正式策略。此項策略應包含明確的風險定性與定量目標，并應定期將與各項目標相關的進展報告交付至高層管理團隊與董事會。若未設有董事會，則應上報至理事機構。此項策略應包含以下六項經過明確指定的關鍵實踐。

　　TWO

　　2、管理并消除沉默網絡保險風險敞口

　　提供網絡保險服務的保險公司，應確定自身是否正面臨沉默或非肯定性的網絡保險風險，即網絡政策中并未明確提及應由保險公司承擔、但確由網絡事件所造成的損失風險。即使是并未明確提供網絡保險的財產/意外保險公司，也應著力評估其沉默風險敞口，并采取適當措施以減少此類敞口。在各類合并性承保政策與獨立的非網絡政策中可能存在多種沉默風險，包括錯誤與遺漏、盜竊與竊取、一般責任與產品責任保險等。網絡風險可能尚未在保單定價中得到明確量化或歸納，因此可能給保險公司帶來意外損失。

　　總而言之，保險公司應在一切可能引發網絡安全事件索賠的保單中，明確描述此保單是否覆蓋與網絡事件相關的損失，借此消除隱性風險。鑒于多數現有保險政策可能覆蓋沉默網絡風險，徹底消除這類風險往往還需要一段時間。因此，保險公司應采取措施緩解現有沉默風險，例如選擇購買再保險產品。

　　THREE

　　3、評估系統性風險

　　作為網絡保險風險策略的組成部分，提供網絡保險的保險公司應定期評估系統性風險并規劃潛在損失。如今，隨著各類機構越來越多地依賴于第三方供應商，系統性風險也隨之一路飆升。這些供應商高度集中于特定關鍵領域，特別是云服務與托管服務供應商。保險公司應了解被保險人所使用的關鍵第三方機構，并模擬災難性網絡事件經由此類關鍵第三方可能給多位被保險人造成的同時損失。此類事件包括以NotPetya為代表的自傳播惡意軟件，以SolarWinds木馬事件為代表、同時感染眾多客戶組織的供應鏈攻擊，以及可能導致大型云服務商陷入癱瘓的重大網絡事件。這類災難性的網絡事件可能給保險公司造成巨大損失，甚至一次性超出其賠付能力上限。

　　保險公司還應根據發生幾率極低、但仍有可能出現的災難性網絡事件，立足內部場景執行網絡安全壓力測試。理想的壓力測試應兼顧到沉默風險與肯定性風險。此外，由于災難性網絡事件敞口在不同行業中表現不同，同時受被保險人業務類型與實際規模影響，因此保險公司應持續跟蹤壓力測試方案對當前不同保單各隊以及被保險人所在行業的實際影響。網絡保險風險策略應明確考慮到壓力測試所提供的明確潛在損失。

　　FOUR

　　4、嚴格衡量保險風險

　　提供網絡保險的保險公司應制定一項全面的數據驅動計劃，用以評估各被保險人以及潛在被保險人面臨的網絡風險。制定計劃的第一步，在于通過以下各主題的調查與訪談收集相關機構的網絡安全計劃信息，具體包括公司治理與控制、漏洞管理、訪問控制、加密、端點監控、邊界防御、事件響應計劃以及第三方安全策略等。這類信息應足夠詳盡，確保保險公司能夠對被保險人網絡安全體系內的潛在漏洞與既有漏洞做出嚴格評估。此外，外部網絡風險評估等第三方資源也屬于極具價值的信息源。保險公司應將這些信息與過往索賠數據分析結果進行比較，借此發現與網絡安全控制體系中特定漏洞相關的具體風險。

　　FIVE

　　5、為被保險人及保險提供方提供教育引導

　　提供網絡保險的保險公司，應在為被保險人提供網絡安全教育、著力降低網絡事件風險方面發揮重要作用。保險公司應努力提供關于網絡安全舉措及其相關價值方面的完備信息，并敦促被保險人實際采取相關措施。保險公司還應根據各被保險人現有網絡安全計劃的有效性調整保費政策，借此激勵客戶采取更好的網絡安全措施。

　　目前，已經有多家行業領先的保險公司為被保險人提供指導服務、網絡安全服務優惠折扣、甚至網絡安全評估與改進建議。我們高度贊賞這方面舉措，并支持保險公司不斷擴大此類方案的類型、范圍與覆蓋面。

　　保險公司還應鼓勵并協助保險產品設計師理解潛在網絡風險，引導其妥善設置產品中的網絡覆蓋類型與范圍、以及網絡保險政策中給出的賠付限額。應保證設計師們充分理解網絡保險的需求、收益與限制，并將這部分信息準確傳遞給被保險人與潛在被保險人，由此推動網絡保險市場的不斷發展壯大。

　　SIX

　　6、獲取網絡安全專業知識

　　提供網絡保險的保險公司應具備適當的專業知識，借以正確理解并評估網絡風險。保險公司應招聘具有網絡安全經驗與技能的員工，著力制定培訓與發展計劃，并在必要時招聘外部顧問或供應商。

　　SEVEN

　　7、向執法部門發布通報

　　網絡保險政策應要求受害者向執法部門發布通報。部分提供網絡保險服務的保險公司目前已經開始采取這方面最佳實踐。向執法部門發布通報可能給受害者本身乃至公眾群體帶來助益。執法部門往往掌握著大量私營部門無法獲取的寶貴信息，可在收到通報后及時分享以指導受害者快速采取應對措施。此外，執法部門還可協助恢復丟失的數據及資金。例如，若企業因電子郵件泄露而導致資金失竊時，執法部門往往可以及時通報事件并阻止或撤銷電匯操作。在受害者、股東、監管機構乃至公眾對于受害者的網絡事件應急反應做出評估時，及時向執法部門發布通報的行為將顯著提高受害者的商業聲譽。最后，執法部門收集到的這方面信息可用于起訴攻擊者、提醒其他各方關注現有網絡安全威脅，進而阻止未來可能發生的網絡犯罪活動。