迎政策利好保险助力筑牢网络安全“防火墙”

策划人语：



  信息技术的广泛应用和网络空间的快速发展，在便利生产生活、促进繁荣进步的同时，也带来了安全风险和挑战。2022年上半年，中国电信、中国移动和中国联通共监测发现分布式拒绝服务攻击约31.65万起；工信部网络安全威胁和漏洞信息共享平台共接报网络安全事件约1.57万件。



  为加快推动网络安全和金融服务创新融合发展，促进网络安全产业高质量发展，11月初，工业和信息化部会同银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》，提出面向电信和互联网、能源、金融、医疗卫生等重点行业以及工业互联网、车联网等新兴融合领域，开展网络安全保险服务试点，促进网络安全保险推广应用。



  网络安全保险是为网络安全风险提供保险保障的新兴险种，已日益成为转移、防范网络安全风险的重要工具，在推进网络安全社会化服务体系建设中发挥着重要作用。尽管目前我国网络安全保险发展还处于起步阶段，但今年以来发展明显提速。



  围绕我国网络安全保险发展面临的机遇与挑战，本报今天推出一组报道，敬请关注。



  保险业发挥风险保障功能助力加快建设网络强国再次迎来政策利好。近日，工信部会同银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称《意见》)。



  “网络安全保险作为转移网络安全风险的有效方式，能够帮助企业建立全面的网络安全风险应对方案。《意见》为解决网络安全问题、提高网络安全风险治理能力提供了新的思路与方案。”业内人士在接受《金融时报》记者采访时表示。



  强化政策支持



  信息技术的广泛应用和网络空间的快速发展，在便利生产生活、促进繁荣进步的同时，也带来了日益突出的安全风险和挑战。



  中国互联网络信息中心发布的第50次《中国互联网络发展状况统计报告》显示，2022年上半年，中国电信、中国移动和中国联通总计监测发现分布式拒绝服务攻击约31.65万起；工信部网络安全威胁和漏洞信息共享平台总计接报网络安全事件约1.57万件。



  在此背景下，网络安全保险日益成为转移、防范网络安全的重要工具。据统计，2021年，我国网络安全保险保费规模达7080万元，最高保额超4亿元，较上一年增长3.2倍以上，呈现高速增长态势。



  从成熟市场经验来看，政策引导是加快网络安全保险发展的重要推动力。早在2019年，工信部就在《关于促进网络安全产业发展的指导意见(征求意见稿)》中提出探索开展网络安全保险服务。银保监会近日也表示，将加强财险前瞻性研究，对气候风险保险、绿色保险、新能源保险、集成电路保险、网络安全保险、新型家财险等领域开展重点研究。



  建立健全网络安全保险政策标准体系，也是此次发布的《意见》的主要内容之一。《意见》提出，加强保险业政策对网络安全保险的支持，推动健全完善财政政策，鼓励提供保险减税、保险购买补贴等政策。



  在健全网络安全标准规范方面，《意见》还提出，支持网络安全产业和保险业加强合作，建立覆盖网络安全保险服务全生命周期的标准体系，明确承保、核保、理赔等主要环节基本流程和通用要求。比如，研究制定承保前重点行业领域网络安全风险量化评估相关标准，规范安全风险评估要求。



  对此，源堡科技相关负责人在接受《金融时报》记者采访时表示：“此前，保险业由于缺乏对风险的定量分析，导致保费计算困难，难以进行成本效益核算。此次发布的《意见》特别提到，要探索建立网络安全风险量化评估模型，加强网络安全风险影响规模预测、经济损失等分析，这将从根本上推动网络安全技术范式创新、落实安全功能可定制可度量可检验，为实现网络安全保险产品创新提供了充要条件。”



  鼓励探索创新



  近年来，保险业已在网络安全领域展开积极探索。《金融时报》记者从上海银保监局了解到，今年前三季度，上海地区共承保网络安全保险业务355件，提供风险保障金额140亿元。今年9月，上海市保险同业公会还发布了国内首个网络安全保险行业团体标准《网络安全保险服务规范》。



  在加强网络安全保险产品服务创新方面，《意见》提出，鼓励保险公司面向重点行业企业开发网络安全财产损失险、责任险和综合险等，提升企业网络安全风险应对能力；面向信息技术产品开发产品责任险，面向网络安全产品开发网络安全专门保险，为信息网络技术产品提供保险保障；面向网络安全服务开发职业责任险等产品，降低专业技术人员在安全服务过程中因人为操作可能引发的安全风险。



  在业内人士看来，《意见》提及的后两类保险产品，对于持续优化网络安全行业生态、提升网络安全行业的整体服务能力和信用水平具有巨大的促进作用。





  “保险除了为被保险人提供财务补偿外，还可以在众多领域发挥第三方风险管理主体作用。保险不仅是对企业的风险进行兜底，还能为企业的信用状况、产品和服务提供信用支持，对于提升优秀的、有能力的网络安全企业的品牌价值具有极大的正向作用。此外，在网络安全行业发展的过程中，由于信息不对称，客户往往难以判断网络安全产品的真正效能，在这种情况下，保险对于提升网络安全企业的财务履约能力和产品的信用水平均有重要作用。”源堡科技相关负责人说。



  在织密风险保障的同时，如何优化网络安全保险服务也是政策关注的焦点。《意见》提出，鼓励网络安全保险服务机构协同合作，探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。



  源堡科技相关负责人告诉《金融时报》记者：“就网络安全产业发展现状而言，保险公司与网络安全保险服务机构合作，可以帮助保险公司打造‘风险管理服务+网络安全保险’的主动型风险管理解决方案，助力解决‘可不可保’‘如何定价’‘如何尽量不出险’等问题。第三方风险量化管理公司则可以为投保企业提供承保前风险量化评估、承保后主动损失防御等服务，降低企业出险概率及出险后的损失。”



  瞄准重点行业



  加快推动网络安全产业和金融服务融合发展，重点行业和新兴场景成为关键着力点。



  《意见》提出，面向电信和互联网、能源、金融、医疗卫生等重点行业以及工业互联网、车联网等新兴融合领域，围绕网络安全与信息技术产品服务供给侧和需求侧两类主体，充分发挥网络安全产业、网络安全保险相关联盟协会等作用，开展网络安全保险服务试点，形成可复制、可推广的网络安全保险服务模式，促进网络安全保险推广应用。



  以金融行业为例，安联保险的调研显示，虽然在网络安全方面投入了大量资金，但金融企业依然面临广泛的网络威胁，包括商业电子邮件泄露攻击、勒索软件、自动取款机中招(即犯罪分子通过网络服务器控制取款机)或数字化供应链攻击等。金融行业由于依赖第三方服务提供商而存在的潜在脆弱性尤为值得关注。例如，目前，大多数金融企业都在使用云服务，当风险事故发生时，金融机构面临相当巨大的业务中断风险敞口以及第三方责任，并且网络安全事件已经导致了巨额理赔。



  “作为一个新兴险种，在特定行业开展网络安全保险服务试点，有助于形成示范效应，对于网络安全保险的大规模推广和应用具有重要意义。例如，针对关键信息基础设施，开展网络安全保险综合险试点；针对数据安全比较敏感的企业，开展数据安全责任险试点；针对个人信息保护比较敏感的企业，开展个人信息保护专项保险试点。在试点中，逐步形成‘服务+保险’的新模式以保促防，从而最大程度降低网络安全事件发生的概率。”源堡科技相关负责人说。



  中小企业的风险保障需求同样受到重点关注。业内人士告诉《金融时报》记者，中小企业体量较小，资金、技术和人员有限，在网络攻防对抗中处于弱势地位。



  《中小微企业数字安全报告》显示，近半数中小微企业在2021年遭受过网络攻击，超过九成的企业长期被黑客攻击而不能独立应对，超八成的勒索攻击针对1000人以下规模的中小微企业。在网络安全建设方面投入力度有限的中小企业更加需要网络安全保险为其提供充足保障。



  《意见》提出，支持中小企业通过网络安全保险监控风险敞口，建立健全网络安全风险管理体系，不断加强中小企业网络安全防护能力。

  《金融时报》记者注意到，上海银保监局已于年内与在沪的7家保险公司联合打造了全国首个普惠版网络安全保险产品，面向中小微企业提供覆盖业务中断损失、网络勒索损失、数据泄露损失、企业名誉损失、法律服务费用等经济支出的综合性保险解决方案，帮助降低企业获取基础安全服务成本。

网络数字化及人工智能为许多行业来革命性的进步，但与此同时，网络安全领域产生的问题也日益严峻。人工智能进攻性风险和网络威胁领域的发展正在重新定义企业安全，从而给企业带来了更高的挑战。如何守护网络安全，成为企业深化数字化转型进程中的重要一环。



 



在大数据得到广泛应用的时代，利用数据分析技术是快速提升网络安全防护能力的一种有效途径。作为全球图数据平台的领导者，Neo4j图数据平台可以轻松对复杂关系进行建模、存储和处理，并识别隐藏在传统表格数据集中的模式和洞察。Neo4j图数据平台优异的可扩展性、全面的图算法和强大的图分析能力在识别网络安全隐患、提升监察网络攻击速度及提供实时检测响应等方面凸显优势。



 





 

图数据技术护航网络安全

Neo4j大中华区总经理方俊强



 



运营澳大利亚第二大移动网络的新加坡电信子公司Optus最近遭受了严重的网络攻击，导致其1000万用户信息发生重大数据泄露。除了声誉损失外，这家电信公司还面临着昂贵的赔偿要求，并且收到了数百万美元的赎金要求。



 



传统企业级安全和预防网络犯罪的方法显然不再奏效。部分问题在于防御者和攻击者之间的失衡。安全团队的工作更加繁重，要防范一切可能的攻击并修补所有潜在的漏洞。他们有很多不同的职责，而攻击者只有一个重点：寻找并利用其中一个薄弱环节。



 



列表与图



 



网络安全团队依赖来源广泛的数据。大型企业平均部署75种安全工具，所有工具都会持续生成警报和日志。此外，许多其他应用程序和服务也会生成相关的日志文件。大型企业每天产生大约10到1000亿个事件。通过传统的数据库分析几乎无法管理如此庞大的数据量。Neo4j图数据平台将数据之间的关系作为优先级，使用图数据库可直观显示，对于高度互连、数据量庞大、数据种类繁多以及需要对复杂查询作出快速响应的分析非常有效。



 



当防御者在处理一个列表时，攻击者用图思考。现代系统是复杂的互连网络，只需感染一个节点即可快速轻松地在整个网络中传播。列表和表格可能有利于收集和处理数据，但它们忽略了数据点之间的关键关系。Microsoft 威胁情报中心的John Lambert观察到：“防御者用列表思考，而攻击者用图思考。只要这是事实，攻击者必然获胜。”



 



通过采用基于图的安全方法，组织可以映射其复杂且相互关联的基础架构，并随着时间的推移对其进行丰富。Neo4j图技术的强大之处在于它捕获了不同的实体以及它们之间的关联和依赖关系。由此创建了一个可用于测试和运行不同场景的数字孪生。



 



主动网络防御



 



许多网络攻击的本质是从一个小点开始并蔓延开来。控制感染——关闭受感染的设备并切断它们——堪称是一场与时间的赛跑。有了所有基础架构的清晰模型，就可以更轻松地识别最重要的资产并更好地瞄准安全投资。



 



可疑行为会以模型的形式出现，从而减少检测的平均时间并隔离受感染的系统。随着时间的推移，可以识别出历史上的异常模式，从而在威胁发生前阻止它们。



 



MITRE 是一家与美国政府机构合作的非营利IT公司，它需要找到更成熟的方法来评估安全状况和攻击响应。问题并不在于缺乏信息，而是无法将所有数据整合到一个整体的分析图中。



 



通过构建Neo4j图数据库，MITRE将网络安全信息转化为知识。该模型随着可用的数据源和所需的分析而发展。因为跟踪实体之间的关系，因此对攻击做出适当反应和保护关键任务资产提供了上下文情境。



 



安全图还包含任务依赖关系，显示目标、任务和信息如何全部依赖于其他网络资产。入侵警报可以与已知的漏洞路径相关联，从而提出行动方案。攻击后取证变得更容易，揭示可能需要更深入调查的易受攻击的路径。



 



网络安全永远是一场猫捉老鼠的游戏，防御和攻击方法的复杂性都在不断升级。也许永远无法保证绝对的安全性，要实现迅速采取措施限制攻击，采用图数据技术等安全措施来检测违规行为变得更加重要。