随着网络安全保险市场的进一步发展成熟,未来市场的发展重点,将继续集中在满足日益增长的客户需求,管理动态演变的风险敞口,以及关注网络安全风险的可持续可保性与市场功能性。
Thomas Blunck
慕尼黑再保险董事会
成员,再保险CEO
“当前,未被保险覆盖的网络安全风险占比仍然过高。根据慕再进行的一项全球网络安全风险与保险调研显示,87%受访的公司管理者表示其所在公司对网络安全风险的防范不足。而在侵略性网络犯罪、新型技术和依赖以及地缘政治危机等威胁迅速增长的大背景下,公司对网络安全的风险意识和保险需求将持续上升。”
在(生成式)人工智能和云技术等科技飞速进步的推动下,网络安全风险在持续升高。全球各行业越来越依赖于信息技术(IT)、物联网(IoT)、运营技术(OT)和数字化服务(如云计算),对于众多风险责任人而言,这些技术和服务均是供应链中的关键组成部分。此外,日益复杂的网络犯罪和紧张的地缘政治局势也进一步影响了网络威胁态势,并危及全球社会发展。
点击图片,可放大查看
在全球数字化经济中,保险公司在保障企业面临的网络安全风险方面发挥着重要作用。依托专业知识、强大的协作网络以及在数据分析、风险量化和风险累积建模等方面的持续投入,保险行业对网络安全威胁形势及可保性边界限制有着深刻、敏锐的洞察。尽管当下的价值链在很大程度上依赖于数字资产,但保险保障仍显不足。根据慕再2024年网络安全风险与保险调查显示,全球87%的高管级受访者表示,其所在公司目前对网络攻击防范不足。网络安全保险的渗透率和相关抵御能力有待进一步提高。本报告将分享我们对网络安全风险态势和网络安全保险热点话题相关的动态展望。
当前全球网络安全风险热点态势
在过去的几个月中,慕再已观察到网络攻击事件激增的趋势,勒索软件攻击也再次上涨。根据Chainalysis公司的数据显示,每年的加密货币赎金支付额从2022年的5.67亿美元骤升至2023年的11亿美元。其他代价高昂的攻击路径还包括商业电邮泄露(BEC)和供应链攻击。2021年至2023年期间,商业电邮泄露给全球2.2万受害者共造成了约30亿美元的损失(数据来源:Symantec);仅2023年,商业电邮泄露事件的数量就翻了一倍(数据来源:Verizon)。此外,2023年发生的软件供应链攻击数量约为此前三年间事件总和的两倍。2023年,软件供应链攻击事件共发生约24.5万起,给企业造成约458亿美元损失(数据来源:Juniper Research)。其中,利用数据传输软件中的零日漏洞对MOVEit的攻击,是这一类别中最为突出的攻击事件。数据泄露事件的频发,使得平均损失达到了历史新高,约445万美元,(数据来源:IBM)。
点击图片,可放大查看
相关专家和当局在汇编有关网络犯罪的统计数据方面也面临着挑战,官方收集的数据很可能只是网络犯罪的冰山一角。例如,据德国联邦刑事警察局(BKA)估计,未报告的网络犯罪事件占比高达91.5%。据Statista预测,每年全球网络犯罪的成本将从2023年的8.15万亿美元增至2028年的13.8万亿美元。
以上数据皆清晰地表明,保险在网络安全风险管理过程中将发挥着前所未有的重要作用。受网络攻击影响的公司和组织可能会面临因营业中断、应急响应及数据泄露等所产生的费用和损失。网络安全保单则可以覆盖以上财务损失。
2024年主要网络安全风险与趋势
虽然过去的风险趋势不一定总能代表未来走向,然而,从过往的攻击模式、漏洞及损失中吸取经验教训对应对未来的网络安全风险非常重要。同样,预测潜在威胁对各个层面(从个人到公司乃至国家)的主要影响也至关重要。慕再专家认为,影响2024年及未来网络风险格局的主要风险和趋势如下:
点击图片,可放大查看
人工智能的 “善与恶”
随着ChatGPT的发布,大语言模型(LLM)和生成式AI已成为主流。然而,当前(生成式)AI时代才刚刚开局,对经济、社会和地缘政治的长期影响仍难以预测。但几乎可以肯定的是,国家及商业行为主体将在多个领域部署AI技术。而就AI对网络安全的影响而言,慕再专家预测,网络攻击将愈发趋于自动化和个性化,并且以各种语言进行大规模扩散的成本更低,速度更快。例如,攻击者会使用AI驱动的网络钓鱼邮件及电话进行诈骗。WormGPT等新型恶意大语言模型的开发,也将使技术水平较低的威胁行为者更具攻击能力。
反观积极的一面是,预计AI也将帮助网络安全防御者逐步增强其防御能力。AI和相关技术可专用于加强监测和响应能力,并通过映射对手的技术、策略和程序,提高网络攻击溯源效率。
2024年3月,欧盟通过了《人工智能法案》, 标志着全球人工智能领域监管迈入新时代。相信全球范围内会有更多国家层面的类似措施出台以加大其治理和监管力度。
在保险领域,AI无疑将被广泛应用于整条行业价值链。慕再预计AI将在以下方面发挥积极作用:
加强风险评估,例如可能会由虚拟代理人提供风险量化或网络安全建议服务
通过优化承保范围设计,提供更高效、更适应市场需求的定制化产品
提高事件监测和响应速度,加快理赔流程
提高大众对网络安全和风险管理解决方案的意识,进一步增强风险韧性
简化运营流程,深化与客户和中介机构/经纪人的关系,提高承保和销售效率
提供先进的数据分析、远程信息处理和预测建模
尽管上述应用案例和发展前景非常广阔,AI目前还无法取代精准理解和承保网络安全风险所需的专业技能和知识。慕尼黑再保险集团董事会成员Stefan Golling表示:“技术的发展,尤其是AI的潜在应用也将改变保险行业。尽管如此,持续加强对网络安全领域人才、专业技能和知识的投入以确保对网络风险的精准理解和承保,始终会是慕再业务健康可持续发展的核心支柱。”
网络安全保险的主要损失驱动因素
根据慕再积累的损失数据和行业经验,我们可以清晰地看到网络安全风险及其对网络安全保险的影响,尤其是在勒索软件、商业电邮泄露、商业通讯泄露、数据泄露和供应链漏洞等方面。
点击下方图标或文字,滑动查看更多内容
网络安全保险的基石
近十年来,网络安全保险已成为企业和个人管理网络安全风险的重要工具。在网络威胁态势不断动态变化的大环境中,特别是在地缘政治和技术压力因素的激化下,一个尚在发展中的保险市场要想实现长期可持续发展,关键在于如何应对可保性挑战和管理累积风险。保险公司和风险建模者一直在探索可保性边界。市场有必要进一步审慎发展,同时,保险和另类资本市场也需要做好准备以应对未来全球的承保能力需求。
网络安全风险必须得到妥善管理,对于私营部门无法管理或至少不能完全管理的风险也不例外。
点击下方图标或文字,滑动查看更多内容
网络安全保险市场趋势
2023年,全球网络安全保险市场规模达140亿美元。据慕再估计,到2027年,这一数字将增长至290亿美元左右。随着人们越来越意识到网络攻击的复杂性、发生频率和损失程度在不断增加,监管要求也愈发严苛,全球网络安全保险市场还有巨大的发展潜力。所有行业持续的数字化转型和技术进步,以及供应链上业务合作伙伴有待满足的具体要求也将成为助推市场进一步发展的驱动因素。总体趋势表明,网络安全保险作为网络安全风险管理的核心组成部分,将发挥着重要作用。
点击图片,可放大查看
过去五年,网络安全保险市场的规模几乎增加了两倍。这也归功于再保险公司对这类风险的坚定承诺以及资本市场近期对这一领域表现出的一定兴趣(尽管当前程度较低)。然而,迄今为止,保险的渗透率还很低,特别是中小企业领域。大型公司仍是保险业务盘子的主要来源。
保险公司在努力缩小经济损失和保险损失的差距方面面临重大挑战。鉴于数字经济风险的动态增长趋势,提高网络安全保险渗透率是首要目标。通过守护数字世界,保险公司将再次印证其所在的行业与经济和社会韧性息息相关。同时,保险行业也将继续提供多样化、定制化的解决方案来吸引尚未投保的客户。与此同时,保险公司还要着重确保提供的保险保障是充足且可持续的。凭借专业知识和稳健发展,慕再始终致力于满足被保险人和直保客户日益增长的(再)保险需求。
点击图片,可放大查看
联系我们
刘鑫杰
慕再大中华区网络安全险高级核保人
Kiyaliu@munichre.com.cn
参考文献