Apache Log4j被曝出高危漏洞 安全事件警鐘不斷誰來保護網絡安全？

隨著數字信息技術深入應用到各行各業，相伴而來的是網絡安全事故多發。黑客網絡攻擊、數據信息泄露等事件層出不窮。近日，被全球廣泛應用的組件ApacheLog4j被曝出一個高危漏洞，攻擊者僅需一段代碼就可遠程控制受害者服務器。全球范圍的大多數科技公司都可能會受到影響。

全球網絡安全事故頻發，網絡安全保險作為分散網絡安全風險的有效措施，有望在網絡空間治理中大展拳腳。但目前網絡安全保險占財產保險保費規模不到萬分之一，市場仍需進一步挖掘。

網絡安全事件警鐘不斷，保險可構筑防線

12月10日凌晨，被全球廣泛應用的組件ApacheLog4j被曝出一個高危漏洞，攻擊者僅需一段代碼就可遠程控制受害者服務器，目前，該消息已在IT人士朋友圈刷屏。

一位計算機網絡安全從業人士告訴北京商報記者，該漏洞可以導致很多系統被直接入侵控制，全球范圍內的大多數科技公司都可能會受到影響，如百度、蘋果公司等。

上述事件僅是網絡安全事故的冰山一角，據外媒報道，5月美國主要燃油、燃氣管道運營商ColonialPipeline遭黑客攻擊，不得已向黑客支付了近500萬美元的贖金;8月日本加密貨幣交易所Liquid遭網絡攻擊，價值9400萬美元的加密資產被竊取。據CybersecurityVentures預測，2021年因網絡犯罪造成的全球經濟損失預測將達到6萬億美元，逼近世界經濟的10%。

網絡安全是全球性問題，有媒體引用安聯財險發布的有關報告顯示，每年中國因網絡襲擊造成的經濟損失高達3996億元。

全球網絡安全事故愈演愈烈，網絡安全保險作為防范網絡安全風險的有效措施，在網絡空間治理中有望大展拳腳。

所謂網絡安全保險，是承保與網絡空間風險等相關風險為目的的保險產品，保障的是由于隱私事件或者安全事件給被保險人造成的第一方損失及第三方責任索賠。

網絡安全保險并非新生事物，《我國網絡安全保險產業發展白皮書(2021年)》(以下簡稱《白皮書》)指出，目前國內市場在售網絡安全保險產品超過50款，承保方既包括蘇黎世財產保險、東京海上日動火災保險等外資保險公司，也包括人保財險、平安產險、太保產險、國壽財險在內的約20家中資保險公司。

網絡安全保險具體保障內容有哪些?以綠盟科技與前海財險聯合發布的“網絡安全綜合保險”為例，據了解，該產品保障內容包括事故鑒定服務費用、數據恢復費用、計算機勒索贖金、數據泄密責任、外包商導致的數據泄密責任、數據安全責任、法律服務費用，共7項，涵蓋大多數當前網絡安全風險點。

網絡安全保險規模小，市場需求尚待挖掘

隨著網絡安全風險不斷演變，網絡安全保險未來的發展市場將是一片藍海。瑞士再保險預測，到2025年中國網絡安全保險保費規模將達到5億元。

但目前網絡安全保險產品并不“叫座”，《白皮書》指出，我國網絡安全保險市場已邁入初步探索階段，保費規模突破7080萬元，最高保額超4億元，僅占財產保險保費規模的不到萬分之一，也不足網絡安全產業規模的千分之一。

北京聯合大學管理學院金融系教師楊澤云分析稱，當前網絡安全保險市場規模較低，需求不足是主要原因。一方面，大多數企業并未認識到網絡安全帶來的潛在風險;另一方面，部分認識到網絡潛在風險的企業，但可能面臨較高的風險敞口，要獲得足額的保險保障，需要支付的對價較高。在此情形下，可能基于僥幸心理而未投保或保額有限。

“企業還可能因為擔心遭遇網絡安全保險理賠難而放棄投保，相較于一般企業財產損失保險，網絡安全保險的很多損失難以明確，如數據修復費用、信息泄露責任等，損失難以確定，理賠也會遭遇較多糾紛，從而影響投保。”楊澤云坦言。

除了市場需求不足，網絡安全保險也面臨定價和核保方面的考驗，零壹研究院院長于百程指出，網絡安全問題技術性強，充滿了變化性，單次危害可能巨大，但損失的數據價值又缺乏評估標準，用傳統方式難以對網絡安全風險進行定價和核保。

機遇與挑戰并存，“保險+科技”協同構筑保護屏障

雖然定價難、市場需求不足等因素制約著網絡安全保險的發展，但網絡安全保險市場前景十分廣闊。原保監會副主席周延禮曾表示，網絡安全保險是數字化轉型的安全基石，是風險管理的重要工具。網絡安全風險在某種程度上防不勝防，面對這種風險產生的經濟損失如何進行防護，要通過保險來進行風險轉移。

于百程也認為，在數字經濟之下，數據已成為核心生產要素，未來網絡數據將成為最重要的資產之一，市場會不斷增大。同理，網絡安全保險的市場空間寬廣。

“近幾年出臺的《網絡安全法》《數據安全法》和《個人信息保護法》，加強了企業的網絡安全意識，對相關市場打下了法律基礎。”于百程補充道。

未來保險公司該如何挪開定價難等“絆腳石”？

實際上，對于解決定價、核保難等問題，目前行業內已進行了一些探索，包括眾安保險、前海財險、國壽財險在內的保險公司聯合科技公司，通過“保險+科技”的方式，協同開發網絡安全保險等相關產品的模型和風控系統，以提升保險公司對于網絡安全保險的定價能力和核保能力。

于百程指出，保險公司加大科技投入，設立科技子公司或者與科技公司深度合作，為網絡安全保險業務提升了技術保障。

而對于提升網絡安全保險市場需求，楊澤云指出，網絡安全保險市場的整體規模仍然較低，特別是其保障額度與其面臨的潛在風險相比仍有較大差距。根據其他保險發展的規律來看，網絡安全保險市場規模的擴大有賴于一些較大網絡安全事故的推動。(陳婷婷 李秀梅)