時事分析 | 區域及經貿發展 | 2018-05-17 | 《經濟日報》

企業網絡安全新格局(二):有待開發的保險市場



網絡安全已成為近年的國際熱門話題,世界經濟論壇今年的全球風險報告,也將網絡攻擊列為對全球影響第六大的風險。[1]面對重大風險,最好當然是防患於未然,但根據生產力促進局最新公布的調查,香港的綜合企業網絡保安準備指數僅為45.6(最高100),未達60的理想水平。[2]

不過,一些波及全球的網絡安全危機,已令部分本地企業正視箇中風險,也間接開啟了相關保險市場的商機。去年惡意軟件WannaCry肆虐全球網絡後,便有保險公司稱香港企業購買網絡保險(網保)的數量有所增加。[3]

網保的作用,是為企業轉移與網絡及資訊科技活動相關的風險,保障的需求受行業性質及營業額影響,因此保費多按個案制訂,通常不在傳統的商業保險範圍內。具體而言,網保可承保如數據破壞、勒索、盜竊、黑客攻擊等損失;也可包括公司因其錯誤或疏忽、未能保護數據等原因而招致的他人損失;亦可能包括定期安全檢查、發生事件後所需的公關費用及調查費用等其他範疇。[4]

網保不只是保險 也可推動更高安全標準

保險除了保障受保人外,亦有推動更高安全標準之效。這種功能並不是保險業的新角色。早在1666年的倫敦大火後,英國的保險公司就藉物業保險,引入更高的安全標準,其中包括設立消防部門,以及鼓勵受保人安裝灑水系統和其他消防技術。[5]

從本港網保的投保書中,也可見到鼓勵企業採取更佳的網絡保安措施。例如,三井住友保險的網絡責任及資訊安全保障投保書,就向投保人查詢關於加密私隱資料的方法、有否採用行內專業級別的防火牆和防毒軟件,以及是否符合產業安全標準等問題。[6]

由於保險公司要支付網絡損失,因此它們對企業的網絡系統會有更高的安全要求,這些要求會與時並進、快速更新[7],企業必須合乎保險公司訂下的標準,才會獲得承保。加上採用更安全措施及作業系統的公司,往往可繳付較低保費,故此網保產品的出現,實有助推動企業投放更多資源發展更安全的網絡系統,從而提高整體網絡安全。[8]網保漸趨普及,其對網絡安全的要求,亦會成為普遍採用的標準。

網保有商機 惟香港承保者寡

推動網保市場,對保險業界亦是龐大商機。根據估算,2014年的全球網保保費達15至20億英鎊(即約167.4億至223.2億港元)[9],較前一年增加五成。[10]除此以外,物聯網應用近年炙手可熱,而全球針對物聯網的攻擊,有高達34%在內地發生。[11]此外,內地去年正式實施《中華人民共和國網絡安全法》,要求網絡營運者履行義務,防止網絡數據洩露或者被竊取及篡改。[12]各種因素,都令人相信網保市場有發展空間。

在香港,網保產品主要由數間國際保險公司提供。[13]為更了解本地網保市場,智經整理了四間本地保險公司的網上公開資料,對比保障範圍。

大部分網保的核心保障範圍,可分為第一方風險承保及第三方風險承保。前者包括資料外洩、業務中斷及網絡敲詐;後者則包括私隱責任及網上媒體責任[14][15]

對比後可以發現,香港的網保基本上包括大部分核心保障範圍,在第一方風險中,有兩間保險公司賠償範圍不包括業務中斷;而在第三方風險上,則有一間保險公司不承保網上媒體責任。[16]

雖然香港目前的網保保障範圍頗為廣泛,不過,提供網保的保險公司依然是少數。截至2017年12月31日,香港共有159間獲授權保險公司,當中可經營意外保險、車保、火險、產險等一般業務[17]及綜合業務的,共有112間。[18]在數以百計的保險公司中,只有數間國際保險公司提供網保[19],反映香港網保市場尚待開發。

承保風險難料 網絡颶風可「一鋪清袋」

要發展網保市場,實非易事,業界面臨如法律適用性、評估困難等眾多挑戰。首先,所謂的網絡責任未有統一的法律定義及標準。再者,互聯網無邊無界,但法律管轄權卻受地域限制,所以,一旦遇上網絡跨境攻擊,則可能遇到「各處鄉村各處例」的問題。[20]

另一方面,不同企業出現網絡事故時,後果可以截然不同,保險公司難以如其他保險般,利用風險測量及評估,預測不同可能性發生的機率,並計算其對業務的影響。此外,網絡罪行屬較新概念,缺少歷史數據,亦令保險公司難以就應否承保及保費水平作出決定。[21]

但對保險公司最大的挑戰,莫過於可導致大量索償的重大災難,又稱網絡颶風(Cyber hurricane)。[22]網絡相互依存的特性,令一個系統漏洞既可影響到網絡上所有電腦,亦可能影響到同一電腦上的其他軟件及作業系統[23],意味保險公司或需為網絡保安事故支付難以預計的巨額賠償。[24]不少報告指出,又稱累積風險(Accumulation risk)的網絡颶風,是不少保險公司限制網保保障範圍的主因。[25]

建構保險模型需時 難解當前需要

上述困難不易處理,但也不用過分悲觀,畢竟面對如自然災害及恐怖主義活動等同樣難以預計的風險,保險公司也有辦法處理。能否克服網保的挑戰,可能只是時間問題。

保險公司為天災及恐襲建構保險模型時,會收集不同的外部數據及專家分析,以科學方法評估風險。[26]例如,保險公司會從氣象局、地質及水文機構,收集過去數十年的自然災害事件資料;更實時監測氣象站、衛星圖像、地震儀及河流測量儀等設施,並參考與建築物結構有關的工程研究以及多年理賠數據。[27]

參考數據後,保險公司就能為天災建成模型。儘管模型不能完全準確地估計事件發生的可能性,以及事件帶來的確切影響,不過,持續收集數據及定期改良,可為不同行業建立保險模型,有助推動相關保險產品。[28]

同樣道理,假以時日,網保也可以借收集各種外部資料、密切關注網絡狀態,以及參考更多網絡安全的研究等方法,逐步建立數據庫,再以此為基礎,建構保險模型。

由政府為網絡颶風「包底」 鼓勵保險公司投保?

然而,相信「時間會解決一切問題」,根本解決不了眼前的問題。網絡安全風險迫在眉睫,一些人情願相信,由政府擔當再保險人,承接市場無法承受的風險,更能解決缺乏保險公司承保的問題。

再保險(Reinsurance)的作用,是通過協議將部分風險轉移至他方,以減低保險公司因保險索償而支付大額資金的可能。[29]歐盟2012年發表的一份報告提到,有九個政府正是以此作為穩定市場的最後手段。[30]

美國國會在911事件後,就制定了恐怖主義風險保險計劃(Terrorism Risk Insurance Program, TRIP),以防止保險市場和房地產市場因恐怖襲擊引起的大規模索償而崩潰。TRIP將政府定位為聯合保險人,一旦因恐襲而產生的損失超過一億美元,計劃就會啟動,政府會根據既定方程式,為保險公司分擔一部分賠償。自2002年起,計劃已經被更新三次。根據最新內容,計劃會有效至2020年,啟動計劃的索償額,每年會提升2,000萬美元。[31]

英國在1993年建立的Pool Re,同樣是為了確保保險公司有能力賠償任何規模的恐怖襲擊所造成的損失。與TRIP不同,Pool Re是由全國保險公司擁有的再保險公司[32],一旦賠償金池內的錢被用盡,英國政府就會先為其「墊支」,再以Pool Re的未來收入付清賬單。[33]經過多年運作,Pool Re目前已有60億英鎊的資金,處理超過六億英鎊的賠償。[34]

美國和英國政府以不同形式為保險公司「打強心針」,目的都是鼓勵保險公司推出與恐襲相關的保險產品。類似的制度能否套用在網保上,現時難以推斷,但如果大規模的網絡攻擊一再發生,各地社會包括香港相信也要認真思考這個方案。

發展再保險投資工具 香港的機遇

除了由政府「包底」外,善用其他再保險工具,例如保險相連證券(ILS)[35],也可轉移網保的巨大風險。ILS是一種金融工具,作用是在傳統的再保險公司以外,尋找再保險的另類資金來源。[36]這些包括ILS投資基金、退休金基金、機構投資者、保險公司在內的另類資金,會透過購買由ILS架構發行的風險股票或債券,收取利息作為回報。他們所投資的本金,於投資期內會由第三方信托公司托管,並投資於ILS架構下的抵押帳戶。[37]

ILS主要是為了解決巨災風險而發行。[38]不過,隨着數據供應商的Property Claim Services在去年推出新服務PCS Global Cyber,為重大網絡保安事件估算損失及匯集索賠數據後,各地保險公司將更可能以再保險及ILS形式推出網保。[39]

香港金融發展局(金發局)在去年的一份報告中,提倡香港發展再保險市場,並視ILS為當中的重要推動力。金發局在報告中提及,2013年內地的再保險市場估值為2,739億港元,更有望在2020年達到15,440億港元。而現時內地流向如百慕達、歐洲、新加坡及英國等離岸市場的保費,不少其實可在香港進行再保險。報告估計,若計入非人民幣再保險,香港相關新業務量可增加240億港元至504億港元,約為現時數額的兩倍。[40]

倫敦已準備就緒 發展網保市場

除了放眼神州,香港亦可遠眺海外。早已吸納了全球一成網保保單的倫敦,目光也沒有局限於本國市場,英國政府亦視網保為倫敦保險市場的發展重點[41],以迎合於本月25日開始執行的《一般資料保護規則》(General Data Protection Regulation,GDPR),以及隨之而來的網保需求。[42]

GDPR為個人資料安全與私隱權設立更嚴格的保障標準,即使企業不在歐盟境內,只要其產品或服務在歐盟銷售,並牽涉保存及處理歐盟公民的個人資料,就需要遵守法例,違者將面臨巨額罰款。[43]

為了吸納商機,英國最大的保險組織Lloyd’s,已計劃與英國貿易投資總署合作,向世界各地推廣倫敦提供的各種網保;與此同時,代表英國金融及相關專業服務業的機構TheCityUK[44],亦準備成立工作小組,協調倫敦不同行業的網保保價,期望令倫敦成為全球網保中心。[45]

儘管本港保險的市場規模,未必足以成為亞洲地區最大的再保險中心[46],不過,作為國際金融中心,香港亦可考慮採取與英國相似的方針,拓展海外網保市場。一帶一路的沿線國家,相信不乏提升網絡安全的需求[47],香港企業若能把握機會,發展網絡保險及再保險服務,仍有望找到屬於自己的位置。

1 "The Global Risks Report 2018, 13th Edition,"  World Economic Forum, 2018, p. 3.
2 「『SSH香港企業網絡保安準備指數』首次發布」。取自香港生產力促進局網站:https://www.hkpc.org/zh-HK/corporate-info/media-centre/press-releases/7400-ssh-hk,最後更新日期2018年4月25日。
3 「港企購網絡保險飆六成」。取自東方日報網站:http://orientaldaily.on.cc/cnt/finance/20170810/00202_013.html,最後更新日期2017年8月10日。
4 "Cyber-Insurance Metrics and Impact on Cyber-Security," Obama White House, https://obamawhitehouse.archives.gov/files/documents/cyber/ISA%20-%20Cyber-Insurance%20Metrics%20and%20Impact%20on%20Cyber-Security.pdf, accessed March 21, 2018.
5 Mark Camillo, “Cyber risk and the changing role of insurance,” Journal of Cyber Policy 2(1) (2017), doi: 10.1080/23738871.2017.1296878, p. 60.
6 「網絡責任及資訊安全保險—投保書」。取自三井住友保險(香港)有限公司網站:https://www.msig.com.hk/upload/D4D13900-FFCF-4912-993E-9CA975497C52/DUALHKBrokerCyberProposalForm-chi.pdf,查詢日期2018年3月22日,第4頁。
7 同4。
8 同4。
9 按2018年3月27日的匯率,即1英鎊等於11.2港元計算。
10 "UK Cyber Security: The role of insurance in managing and mitigating the risk," Marsh, March 2015, p. 25.
11 同5,第61頁。
12 「中國通過《網絡安全法》」。取自香港律師會會刊網站:http://www.hk-lawyer.org/tc/content/中國通過《網絡安全法》,最後更新日期2017年1月。
13 智經在2018年4月6日以電郵向香港保險業聯會及保險業監管局查詢,兩間機構分別於4月11日及4月20日以電話回覆。
14 註:網上媒體責任(Electronic media liability)是指通過網站或其他電子通信方式向公眾發布訊息的風險,例如,侵犯版權、侵犯私隱、商標侵權、虛假廣告、誹謗等風險。資料來源:"Electronic Media Liability - A New Look To An Old Problem," Advisen Insurance Intelligence, October 2014, pp. 2-3.
15 "Cyber Insurance: Recent Advances, Good Practices and Challenges," European Union Agency For Network and Information Security, November 2016, p. 12.
16 「網絡保險」。取自AIG網站:https://www.aig.com.hk/zh/business/products/financial/cyber-insurance,查詢日期2018年3月29日;「金融保險」。取自三井住友保險(香港)網站:https://www.msig.com.hk/business/product.asp?productid=financial&tagID=3,查詢日期2018年3月29日;「網絡責任保險」。取自安達保險網站:https://www2.chubb.com/hk-zh/business/cyber-liability-insurance.aspx,查詢日期2018年3月29日;「『網絡保』責任及私隱保險」。取自蘇黎世保險網站:https://www.zurich.com.hk/zh-hk/sme/cybercare-insurance-plan,查詢日期2018年3月29日。
17 「經營長期業務須申請」。取自蘋果日報網站:https://hk.news.appledaily.com/local/daily/article/20170421/19996426,最後更新日期2017年4月21日。
18 「市場概覽」。取自保險業監管局網站:https://www.ia.org.hk/tc/infocenter/statistics/market.html,查詢日期2018年3月27日。
19 同13。
20 Amit Jain and Sridhar Kalyanam, "Using Insurance to Mitigate Cybercrime Risk: Challenges and recommendations for insurers," Capgemini, https://www.capgemini.com/wp-content/uploads/2017/07/Using_Insurance_to_Mitigate_Cybercrime_Risk.pdf, 2012, pp. 11-12.
21 同20。
22 同4。
23 同20。
24 同20。
25 “Enhancing the Role of Insurance in Cyber Risk Management,” OECD Publishing, 2017, p. 96.
26 同25,第112頁。
27 同25,第112頁。
28  同25,第112頁。
29 "Reinsurance," Investopedia, https://www.investopedia.com/terms/r/reinsurance.asp, accessed March 29, 2018.
30 Daniel Woods and Andrew Simpson, “Policy measures and cyber insurance: a framework,” Journal of Cyber Policy, 2(2) (2017), doi: 10.1080/23738871.2017.1360927, pp. 213 and 219.
31 Ian Adams, "The promise and limits of private cyber insurance," R Street Policy Study No.78, December 2016, pp. 5-6.
32 同31。
33 "How the Scheme Works," Pool Re, https://www.poolre.co.uk/what-we-do/, accessed March 29, 2018.
34 "Facts & Figures," Pool Re, https://www.poolre.co.uk/who-we-are/facts-figures/, accessed March 29, 2018.
35 「轉危為機:香港作為保險中心 及在再保險、海事保險和 專屬自保保險的發展」,香港金融發展局,2017年3月,第3頁。
36 「轉危為機:香港作為保險中心 及在再保險、海事保險和 專屬自保保險的發展」,香港金融發展局,2017年3月,第3頁;"What are Insurance Linked Securities (ILS), and Why Should they be Considered?," Swiss Re Capital Markets, accessed April 3, 2018, http://www.casact.org/community/affiliates/CANE/0912/Cat-Bond.pdf, p. 2.
37 "Insurance Linked Securities Provide Another Reinsurance Option for Captives," Marsh, https://www.marsh.com/us/insights/research/insurance-linked-securities-provide-another-reinsurance-option-for-captives.html, last accessed April 24, 2018.
38  同25,第129頁。
39  “Enhancing the Role of Insurance in Cyber Risk Management,” OECD Publishing, 2017, p. 129; "PCS launches Global Cyber Index service for risk transfer industry," Artemis, http://www.artemis.bm/blog/2017/09/05/pcs-launches-global-cyber-index-service-for-risk-transfer-industry/, last modified September 5, 2017.
40 同35,第7至8頁。
41 同10,第25頁。
42 "GDPR Portal: Site Overview," EU General Data Protection Regulation, https://www.eugdpr.org/, accessed March 22, 2018.
43 "GDPR Key Changes," EU General Data Protection Regulation, https://www.eugdpr.org/key-changes.html, accessed March 22, 2018.
44 "About," TheCityUK, https://www.thecityuk.com/about-us/, accessed April 3, 2018.
45 同10,第25至26頁。
46 同35,第7頁。
47 陳月華、崔玉華,「借力“一帶一路”加快我國網絡安全企業走出去」。取自國家信息中心網站:http://www.sic.gov.cn/News/91/8414.htm,最後更新日期2017年8月30日。