天创培训:您身边的信息安全培训专家!
行业动态
美国网络安全险的进化史

网络安全险作为新兴险种,在欧美地区较为发达,保观此前也多次分享过该险种的发展状况。随着5G时代的来临,物联网或将迎来重要的发展机遇,与此同时,网络风险也将更深刻地影响到每一个人。

本文将回顾美国网络风险及网络安全险的发展历史,希望能为各位读者带来一些关于网络安全险发展的启示。

1.

网络风险的历史

为了了解网络安全险的发展,我们必须先了解网络风险的历史。

风险萌芽期(1970-2000)

20世纪70年代,第一批黑客出现在了美国,其中的代表人物名为约翰·德拉浦(John Draper),他的攻击目标是当时的电话运营商AT&T。德拉浦利用一个玩具哨子朝电话吹哨,模拟出特定频率的音调,骗过AT&T的系统,从而免费获得了拨打长图电话的权限。

1982年,一名年仅15岁的学生创造出了史上第一个计算机病毒Elk Cloner,攻击对象是二代苹果电脑。

到了1985年,花旗集团任命了其史上第一位首席信息安全官,意味着大型商业公司开始注意到了其信息系统所面临的潜在威胁。

到了2002年,FBI成立了其第一个网络案件部门,如今该部门负责的领域已经涵盖网络诈骗、身份窃取、知识产权侵权、网络恐怖主义等基于网络的刑侦事件。

银行卡时代(2000-2010)

Trend Micro和美国特勤局联合曾联合编写了一份研究报告,报告中对网络犯罪的发展进行了总结。在21世纪的头十年里,组织松散的网络犯罪团体通过偷窃并倒卖银行卡数据,攫取了大量的财富,报告称,这些数据被倒卖到了俄罗斯犯罪团伙手上,团伙们转而将这些信息用于洗黑钱等不法业务。那段时期也别称为网络犯罪的“银行卡时代”。

网络犯罪团伙最开始的目标是电商、零售以及支付公司等拥有大量金融数据的企业。随后又将犯罪触角伸向了其他实业制造公司。

数据泄露大年(2011)

索尼等大型企业在2011年也陆续成为了网络犯罪的攻击目标,而被攻击后导致的用户数据泄露,也使得受害公司的名誉受损。

这一年,安卓手机系统也遭遇了超过35万次的恶意攻击。越来越多的黑客组织将网络攻击上升到了政治高度,他们通过攻击政府网站来宣扬其不被主流所接受的政治见解。

信息就是钞票(2013)

2013年,网络犯罪团伙开始将个人身份信息作为盗取目标,个人信息成为被直接兜售的产品。个人用户的银行账户、信用卡号、社交信息受到了网络风险的威胁,他们的密码和隐私不经意间就会被暴露。

邮件诈骗(2014)

2014年,出现了一种新型的网络攻击犯罪——邮件诈骗。简单来说,黑客通过侵入企业的邮件系统,通过商业来往邮件了解受害企业的业务概况,并锁定该企业的现有客户。

之后,黑客利用企业邮箱将错误的收款信息发给客户,不知情的客户就会毫无防备地将企业的应收款项打给黑客。


这一年,一家建筑公司因为受到邮件诈骗遭受到了100万美元的损失。

邮件诈骗与一般意义上的网络犯罪不同,这是以网络攻击为工具进行的经济犯罪。

勒索全球用户(2017)

2017年,WannaCry勒索软件挟持了全球范围内的Windows系统,超过20万名来自150个国家的银行、医院、学校深受其害。该勒索软件将受害电脑直接加密锁定,并要求使用者支付一定数额的比特币后才能恢复使用。

虽然在2017年,全球范围内有超过40%的企业经历过网络犯罪的威胁,但大部分企业主还是没有对网络风险给予足够的重视。即使在美国,大部分企业主也认为他们的企业主保险(Businessowners policy, BOP)已经足够应付网络风险了。

事实上,美国的BOP产品,仅限于保障网络风险带来的第三方责任,该产品并不会为营业中断、名誉受损等企业本身遭受到的损失提供保障。此外,BOP的保额一般局限在5-10万美元,并不是很高。

2.

网络安全险的历史

1977年,AIG推出了历史上首份网络安全险。彼时的产品只是一份第三方责任险,承保范围为美国以外地区,也被称为“黑客保险”。

到了2000年,入局网络安全险的保险公司越来越多。为了应对不断升级的网络威胁,保险公司持续地完善保单条款并加入了营业中断、公关协助、系统评估等服务。

2003年,加州政府颁布了第一部有关安全漏洞的法令,如今全美50个州都已经颁布了网络安全相关的法令,要求企业在用户个人信息被泄露时要及时披露和通知用户。

法令中的强制披露要求,使得企业不能在用户信息被泄露后隐瞒不报,因此事前的保障和防护就显得愈发重要了,这也极大地推动了美国网络安全险的发展。

2010年,全美已经有超过50家保险公司提供网络安全险产品,到了2016年,这一数字超过了60。

美国的网络安全险市场中,保费费率一直较为平稳,然而网络风险却在与日俱增,特别是个人信息泄露风险和勒索软件。


据媒体统计,美国个人信息所面临的风险包含以下几类:

邮箱被盗 – 黑客破解了受害者的邮箱,从而可盗取其身份对其同事与合作伙伴进行诈骗;

身份信息 – 如果黑客盗取了用户的身份信息包括身份证号、银行卡号、手机号等,用户的财产将面临极大的风险;

数据倒卖 – 黑客通过攻击公司的数据库,盗取用户的隐私数据;

自动转账 – 一些自动扣款系统如果被黑客攻陷,那用户每个月的固定缴费(比如水电费、会员费等)将被盗取;

电汇转账 – 黑客通过切入银行系统,将用户的电汇转账重新定向到了第三方账户。

如今,美国网络安全险市场的承保能力已经十分充足,甚至有点竞争过甚了。很多保险公司认为从历史水平来看,该领域的承保利润较高,因为出险事件发生的频率还是比较低的。但是一旦出险,一般都会比较严重,导致理赔额较高。

国内的网络安全险市场相较于美国而言,还处于发展的早期阶段。如果说美国市场的充分竞争是保险公司太多的话,国内还处于早期阶段则是因为客户太少,不论企业还是客户,对网络安全的需求并不迫切。

2003年加州立法规定用户信息泄露后必须披露,对于美国的网络安全险发展起到了至关重要的推动作用。

国内的相关立法工作还处于起步阶段,但随着国内监管机构对个人信息保护的重视程度日益加强,以及《个人信息保护法》正处于制订阶段,未来网络安全险的需求或将迎来巨大的增长。