时事分析 | 区域及经贸发展 | 2018-05-17 | 《经济日报》

企业网络安全新格局(二):有待开发的保险市场



网络安全已成为近年的国际热门话题,世界经济论坛今年的全球风险报告,也将网络攻击列为对全球影响第六大的风险。[1]面对重大风险,最好当然是防患于未然,但根据生产力促进局最新公布的调查,香港的综合企业网络保安准备指数仅为45.6(最高100),未达60的理想水平。[2]

不过,一些波及全球的网络安全危机,已令部分本地企业正视个中风险,也间接开启了相关保险市场的商机。去年恶意软件WannaCry肆虐全球网络后,便有保险公司称香港企业购买网络保险(网保)的数量有所增加。[3]

网保的作用,是为企业转移与网络及资讯科技活动相关的风险,保障的需求受行业性质及营业额影响,因此保费多按个案制订,通常不在传统的商业保险范围内。具体而言,网保可承保如数据破坏、勒索、盗窃、黑客攻击等损失;也可包括公司因其错误或疏忽、未能保护数据等原因而招致的他人损失;亦可能包括定期安全检查、发生事件后所需的公关费用及调查费用等其他范畴。[4]

网保不只是保险 也可推动更高安全标准

保险除了保障受保人外,亦有推动更高安全标准之效。这种功能并不是保险业的新角色。早在1666年的伦敦大火后,英国的保险公司就藉物业保险,引入更高的安全标准,其中包括设立消防部门,以及鼓励受保人安装洒水系统和其他消防技术。[5]

从本港网保的投保书中,也可见到鼓励企业采取更佳的网络保安措施。例如,三井住友保险的网络责任及资讯安全保障投保书,就向投保人查询关于加密私隐资料的方法、有否采用行内专业级别的防火墙和防毒软件,以及是否符合产业安全标准等问题。[6]

由于保险公司要支付网络损失,因此它们对企业的网络系统会有更高的安全要求,这些要求会与时并进、快速更新[7],企业必须合乎保险公司订下的标准,才会获得承保。加上采用更安全措施及作业系统的公司,往往可缴付较低保费,故此网保产品的出现,实有助推动企业投放更多资源发展更安全的网络系统,从而提高整体网络安全。[8]网保渐趋普及,其对网络安全的要求,亦会成为普遍采用的标准。

网保有商机 惟香港承保者寡

推动网保市场,对保险业界亦是庞大商机。根据估算,2014年的全球网保保费达15至20亿英镑(即约167.4亿至223.2亿港元)[9],较前一年增加五成。[10]除此以外,物联网应用近年炙手可热,而全球针对物联网的攻击,有高达34%在内地发生。[11]此外,内地去年正式实施《中华人民共和国网络安全法》,要求网络营运者履行义务,防止网络数据泄露或者被窃取及篡改。[12]各种因素,都令人相信网保市场有发展空间。

在香港,网保产品主要由数间国际保险公司提供。[13]为更了解本地网保市场,智经整理了四间本地保险公司的网上公开资料,对比保障范围。

大部分网保的核心保障范围,可分为第一方风险承保及第三方风险承保。前者包括资料外泄、业务中断及网络敲诈;后者则包括私隐责任及网上媒体责任[14][15]

对比后可以发现,香港的网保基本上包括大部分核心保障范围,在第一方风险中,有两间保险公司赔偿范围不包括业务中断;而在第三方风险上,则有一间保险公司不承保网上媒体责任。[16]

虽然香港目前的网保保障范围颇为广泛,不过,提供网保的保险公司依然是少数。截至2017年12月31日,香港共有159间获授权保险公司,当中可经营意外保险、车保、火险、产险等一般业务[17]及综合业务的,共有112间。[18]在数以百计的保险公司中,只有数间国际保险公司提供网保[19],反映香港网保市场尚待开发。

承保风险难料 网络飓风可「一铺清袋」

要发展网保市场,实非易事,业界面临如法律适用性、评估困难等众多挑战。首先,所谓的网络责任未有统一的法律定义及标准。再者,互联网无边无界,但法律管辖权却受地域限制,所以,一旦遇上网络跨境攻击,则可能遇到「各处乡村各处例」的问题。[20]

另一方面,不同企业出现网络事故时,后果可以截然不同,保险公司难以如其他保险般,利用风险测量及评估,预测不同可能性发生的机率,并计算其对业务的影响。此外,网络罪行属较新概念,缺少历史数据,亦令保险公司难以就应否承保及保费水平作出决定。[21]

但对保险公司最大的挑战,莫过于可导致大量索偿的重大灾难,又称网络飓风(Cyber hurricane)。[22]网络相互依存的特性,令一个系统漏洞既可影响到网络上所有电脑,亦可能影响到同一电脑上的其他软件及作业系统[23],意味保险公司或需为网络保安事故支付难以预计的巨额赔偿。[24]不少报告指出,又称累积风险(Accumulation risk)的网络飓风,是不少保险公司限制网保保障范围的主因。[25]

建构保险模型需时 难解当前需要

上述困难不易处理,但也不用过分悲观,毕竟面对如自然灾害及恐怖主义活动等同样难以预计的风险,保险公司也有办法处理。能否克服网保的挑战,可能只是时间问题。

保险公司为天灾及恐袭建构保险模型时,会收集不同的外部数据及专家分析,以科学方法评估风险。[26]例如,保险公司会从气象局、地质及水文机构,收集过去数十年的自然灾害事件资料;更实时监测气象站、卫星图像、地震仪及河流测量仪等设施,并参考与建筑物结构有关的工程研究以及多年理赔数据。[27]

参考数据后,保险公司就能为天灾建成模型。尽管模型不能完全准确地估计事件发生的可能性,以及事件带来的确切影响,不过,持续收集数据及定期改良,可为不同行业建立保险模型,有助推动相关保险产品。[28]

同样道理,假以时日,网保也可以借收集各种外部资料、密切关注网络状态,以及参考更多网络安全的研究等方法,逐步建立数据库,再以此为基础,建构保险模型。

由政府为网络飓风「包底」 鼓励保险公司投保?

然而,相信「时间会解决一切问题」,根本解决不了眼前的问题。网络安全风险迫在眉睫,一些人情愿相信,由政府担当再保险人,承接市场无法承受的风险,更能解决缺乏保险公司承保的问题。

再保险(Reinsurance)的作用,是通过协议将部分风险转移至他方,以减低保险公司因保险索偿而支付大额资金的可能。[29]欧盟2012年发表的一份报告提到,有九个政府正是以此作为稳定市场的最后手段。[30]

美国国会在911事件后,就制定了恐怖主义风险保险计划(Terrorism Risk Insurance Program, TRIP),以防止保险市场和房地产市场因恐怖袭击引起的大规模索偿而崩溃。TRIP将政府定位为联合保险人,一旦因恐袭而产生的损失超过一亿美元,计划就会启动,政府会根据既定方程式,为保险公司分担一部分赔偿。自2002年起,计划已经被更新三次。根据最新内容,计划会有效至2020年,启动计划的索偿额,每年会提升2,000万美元。[31]

英国在1993年建立的Pool Re,同样是为了确保保险公司有能力赔偿任何规模的恐怖袭击所造成的损失。与TRIP不同,Pool Re是由全国保险公司拥有的再保险公司[32],一旦赔偿金池内的钱被用尽,英国政府就会先为其「垫支」,再以Pool Re的未来收入付清账单。[33]经过多年运作,Pool Re目前已有60亿英镑的资金,处理超过六亿英镑的赔偿。[34]

美国和英国政府以不同形式为保险公司「打强心针」,目的都是鼓励保险公司推出与恐袭相关的保险产品。类似的制度能否套用在网保上,现时难以推断,但如果大规模的网络攻击一再发生,各地社会包括香港相信也要认真思考这个方案。

发展再保险投资工具 香港的机遇

除了由政府「包底」外,善用其他再保险工具,例如保险相连证券(ILS)[35],也可转移网保的巨大风险。ILS是一种金融工具,作用是在传统的再保险公司以外,寻找再保险的另类资金来源。[36]这些包括ILS投资基金、退休金基金、机构投资者、保险公司在内的另类资金,会透过购买由ILS架构发行的风险股票或债券,收取利息作为回报。他们所投资的本金,于投资期内会由第三方信托公司托管,并投资于ILS架构下的抵押帐户。[37]

ILS主要是为了解决巨灾风险而发行。[38]不过,随着数据供应商的Property Claim Services在去年推出新服务PCS Global Cyber,为重大网络保安事件估算损失及汇集索赔数据后,各地保险公司将更可能以再保险及ILS形式推出网保。[39]

香港金融发展局(金发局)在去年的一份报告中,提倡香港发展再保险市场,并视ILS为当中的重要推动力。金发局在报告中提及,2013年内地的再保险市场估值为2,739亿港元,更有望在2020年达到15,440亿港元。而现时内地流向如百慕达、欧洲、新加坡及英国等离岸市场的保费,不少其实可在香港进行再保险。报告估计,若计入非人民币再保险,香港相关新业务量可增加240亿港元至504亿港元,约为现时数额的两倍。[40]

伦敦已准备就绪 发展网保市场

除了放眼神州,香港亦可远眺海外。早已吸纳了全球一成网保保单的伦敦,目光也没有局限于本国市场,英国政府亦视网保为伦敦保险市场的发展重点[41],以迎合于本月25日开始执行的《一般资料保护规则》(General Data Protection Regulation,GDPR),以及随之而来的网保需求。[42]

GDPR为个人资料安全与私隐权设立更严格的保障标准,即使企业不在欧盟境内,只要其产品或服务在欧盟销售,并牵涉保存及处理欧盟公民的个人资料,就需要遵守法例,违者将面临巨额罚款。[43]

为了吸纳商机,英国最大的保险组织Lloyd’s,已计划与英国贸易投资总署合作,向世界各地推广伦敦提供的各种网保;与此同时,代表英国金融及相关专业服务业的机构TheCityUK[44],亦准备成立工作小组,协调伦敦不同行业的网保保价,期望令伦敦成为全球网保中心。[45]

尽管本港保险的市场规模,未必足以成为亚洲地区最大的再保险中心[46],不过,作为国际金融中心,香港亦可考虑采取与英国相似的方针,拓展海外网保市场。一带一路的沿线国家,相信不乏提升网络安全的需求[47],香港企业若能把握机会,发展网络保险及再保险服务,仍有望找到属于自己的位置。

1 "The Global Risks Report 2018, 13th Edition,"  World Economic Forum, 2018, p. 3.
2 「『SSH香港企业网络保安准备指数』首次发布」。取自香港生产力促进局网站:https://www.hkpc.org/zh-HK/corporate-info/media-centre/press-releases/7400-ssh-hk,最后更新日期2018年4月25日。
3 「港企购网络保险飙六成」。取自东方日报网站:http://orientaldaily.on.cc/cnt/finance/20170810/00202_013.html,最后更新日期2017年8月10日。
4 "Cyber-Insurance Metrics and Impact on Cyber-Security," Obama White House, https://obamawhitehouse.archives.gov/files/documents/cyber/ISA%20-%20Cyber-Insurance%20Metrics%20and%20Impact%20on%20Cyber-Security.pdf, accessed March 21, 2018.
5 Mark Camillo, “Cyber risk and the changing role of insurance,” Journal of Cyber Policy 2(1) (2017), doi: 10.1080/23738871.2017.1296878, p. 60.
6 「网络责任及资讯安全保险—投保书」。取自三井住友保险(香港)有限公司网站:https://www.msig.com.hk/upload/D4D13900-FFCF-4912-993E-9CA975497C52/DUALHKBrokerCyberProposalForm-chi.pdf,查询日期2018年3月22日,第4页。
7 同4。
8 同4。
9 按2018年3月27日的汇率,即1英镑等于11.2港元计算。
10 "UK Cyber Security: The role of insurance in managing and mitigating the risk," Marsh, March 2015, p. 25.
11 同5,第61页。
12 「中国通过《网络安全法》」。取自香港律师会会刊网站:http://www.hk-lawyer.org/tc/content/中国通过《网络安全法》,最后更新日期2017年1月。
13 智经在2018年4月6日以电邮向香港保险业联会及保险业监管局查询,两间机构分别于4月11日及4月20日以电话回复。
14 注:网上媒体责任(Electronic media liability)是指通过网站或其他电子通信方式向公众发布讯息的风险,例如,侵犯版权、侵犯私隐、商标侵权、虚假广告、诽谤等风险。资料来源:"Electronic Media Liability - A New Look To An Old Problem," Advisen Insurance Intelligence, October 2014, pp. 2-3.
15 "Cyber Insurance: Recent Advances, Good Practices and Challenges," European Union Agency For Network and Information Security, November 2016, p. 12.
16 「网络保险」。取自AIG网站:https://www.aig.com.hk/zh/business/products/financial/cyber-insurance,查询日期2018年3月29日;「金融保险」。取自三井住友保险(香港)网站:https://www.msig.com.hk/business/product.asp?productid=financial&tagID=3,查询日期2018年3月29日;「网络责任保险」。取自安达保险网站:https://www2.chubb.com/hk-zh/business/cyber-liability-insurance.aspx,查询日期2018年3月29日;「『网络保』责任及私隐保险」。取自苏黎世保险网站:https://www.zurich.com.hk/zh-hk/sme/cybercare-insurance-plan,查询日期2018年3月29日。
17 「经营长期业务须申请」。取自苹果日报网站:https://hk.news.appledaily.com/local/daily/article/20170421/19996426,最后更新日期2017年4月21日。
18 「市场概览」。取自保险业监管局网站:https://www.ia.org.hk/tc/infocenter/statistics/market.html,查询日期2018年3月27日。
19 同13。
20 Amit Jain and Sridhar Kalyanam, "Using Insurance to Mitigate Cybercrime Risk: Challenges and recommendations for insurers," Capgemini, https://www.capgemini.com/wp-content/uploads/2017/07/Using_Insurance_to_Mitigate_Cybercrime_Risk.pdf, 2012, pp. 11-12.
21 同20。
22 同4。
23 同20。
24 同20。
25 “Enhancing the Role of Insurance in Cyber Risk Management,” OECD Publishing, 2017, p. 96.
26 同25,第112页。
27 同25,第112页。
28  同25,第112页。
29 "Reinsurance," Investopedia, https://www.investopedia.com/terms/r/reinsurance.asp, accessed March 29, 2018.
30 Daniel Woods and Andrew Simpson, “Policy measures and cyber insurance: a framework,” Journal of Cyber Policy, 2(2) (2017), doi: 10.1080/23738871.2017.1360927, pp. 213 and 219.
31 Ian Adams, "The promise and limits of private cyber insurance," R Street Policy Study No.78, December 2016, pp. 5-6.
32 同31。
33 "How the Scheme Works," Pool Re, https://www.poolre.co.uk/what-we-do/, accessed March 29, 2018.
34 "Facts & Figures," Pool Re, https://www.poolre.co.uk/who-we-are/facts-figures/, accessed March 29, 2018.
35 「转危为机:香港作为保险中心 及在再保险、海事保险和 专属自保保险的发展」,香港金融发展局,2017年3月,第3页。
36 「转危为机:香港作为保险中心 及在再保险、海事保险和 专属自保保险的发展」,香港金融发展局,2017年3月,第3页;"What are Insurance Linked Securities (ILS), and Why Should they be Considered?," Swiss Re Capital Markets, accessed April 3, 2018, http://www.casact.org/community/affiliates/CANE/0912/Cat-Bond.pdf, p. 2.
37 "Insurance Linked Securities Provide Another Reinsurance Option for Captives," Marsh, https://www.marsh.com/us/insights/research/insurance-linked-securities-provide-another-reinsurance-option-for-captives.html, last accessed April 24, 2018.
38  同25,第129页。
39  “Enhancing the Role of Insurance in Cyber Risk Management,” OECD Publishing, 2017, p. 129; "PCS launches Global Cyber Index service for risk transfer industry," Artemis, http://www.artemis.bm/blog/2017/09/05/pcs-launches-global-cyber-index-service-for-risk-transfer-industry/, last modified September 5, 2017.
40 同35,第7至8页。
41 同10,第25页。
42 "GDPR Portal: Site Overview," EU General Data Protection Regulation, https://www.eugdpr.org/, accessed March 22, 2018.
43 "GDPR Key Changes," EU General Data Protection Regulation, https://www.eugdpr.org/key-changes.html, accessed March 22, 2018.
44 "About," TheCityUK, https://www.thecityuk.com/about-us/, accessed April 3, 2018.
45 同10,第25至26页。
46 同35,第7页。
47 陈月华、崔玉华,「借力“一带一路”加快我国网络安全企业走出去」。取自国家信息中心网站:http://www.sic.gov.cn/News/91/8414.htm,最后更新日期2017年8月30日。