專訪眾至科技&安恆資訊：網路安全保險需要生態各方彼此理解支援

“網路安全保險是網路安全全週期服務的一種新業態，是快速推動企業資料安全和網路安全保障能力的重要手段，將成為提高網路安全風險治理能力的新途徑。”在2022西湖論劍·網路安全大會上，網路安全保險被列為“網路安全未來十大趨勢展望”之一時，作出上述評價。

根據安全419此前的觀察，最近幾年在多方努力之下，網路安全保險在國內發展勢頭確實在不斷加快，同時在政策引導方面也有不斷的利好訊息釋放。但從趨勢到落地，顯然網路安全保險在國內還有很長的一段路要走。

就網路安全保險落地這一話題，安全419最近邀請到了在這方面具有一定話語權的兩位重量級嘉賓，就該話題進行了一場深入交流。他們分別是安恆資訊以及眾至科技，以下內容出自安全419與兩位嘉賓的對話整理。

安全419此前就瞭解到，安恆資訊是國內最早與保險公司合作推出網路安全保險產品的網路安全公司，在網路安全保險落地實踐上具有豐富經驗。眾至科技作為保險科技公司，其職責是為保險數字化轉型提供科技支撐。

01 不同視角下的網路安全保險落地難點

從趨勢到落地，在回答網路安全保險在落地方面存在哪些難點時，兩位嘉賓站在網路安全企業和保險科技公司角度幾乎給出了相同的觀點，分別是：網路安全保險的風險量化難、價值定義難、責任定義難。

在風險量化方面，安恆指出，網路安全保險需要理解和把握網路安全產品在各種場景下的安全風險。需要量化安全風險的機率，而這需要時間和資料來支撐。從安全企業側來說，不同場景下，安全企業需要與保險業共同就場景特性制定相應的風險量化模型，這是風險量化的起步支撐。

眾至科技則指出，在風險量化方面保險公司從保險視角下的風險量化模型與網路安全領域的風險評估模型並不相同，保險公司的風險量化模型主要強調的是風險發生的機率，以及風險發生之後的價值損失。從保險科技角度來講，風險量化模型的搭建決定設計出的網路安全保險產品的保障限額，以及保費之間的關係，所以難點在於準確的搭建各場景下的風險量化模型，從而讓網路安全保險在落地方面有依據可循。

在責任定義方面，安恆認為，網路攻擊本身是技術問題，攻擊是極為複雜的，以單次安全事件為例，攻擊獲取企業機密資料的路徑和時長的不同，都會是責任定義上的難點。即保險索賠的邊界問題需要準確定義，這需要更好地符合保險行業規範的應急響應和溯源，這是對安全技術和科技力量的考驗。

眾至回應稱，使用者購買網路安全保險，為殘餘風險提供風險保障，但與車險、健康意外險等等有相應的責任判定機構而言，處於起步階段的網路安全保險在這方面仍有巨大差異。所以，賠與不賠的責任界定，也是網路安全保險目前階段的落地難點之一。比如說是安全產品的問題，還是風險意外問題，又或者是存在主觀惡意問題。

在價值定義方面，安恆表示，網路安全問題造成的影響和損失在不同的行業和不同的場景上是不同的，對於企業的形象損害也不同。比如同樣因為安全事件造成1TB的資料損失，如果是銀行業，那就是金融級風險，所以它在不同行業展現的價值完全不同，這種價值定義也是造成網路安全保險落地難的主要原因之一。

眾至也同意以上觀點，他表示，在價值定義方面，網路安全產業幫助使用者保護的數字資產價值到底是多少目前難以具體評估，這也影響一定的參照依據是否準確適用。在網路安全企業這一側，我們在接到一些安全評估，滲透測試類服務，我們需要對標的物進行界定，從網路安全保險角度來講，同樣需要做出界定，因為這將決定保險保額。

02 多方共同推動 網路安全保險落地程式加快

眾至科技從保險科技一側總結了他們正在做的，有助於網路安全保險落地的一些努力。

第一，眾至科技目前正在積極主動推動和研發網路安全保險的風險量化模型，重點工作是將保險視角的風險量化和安全視角的風險量化兩者結合，從而構建風險機率、成本、損失全方位的量化機制，這一機制的建立能夠將安全事件，和保險定價之間形成掛鉤。等同於風險貨幣化過程，這無論對於保險行業還是安全行業，都非常重要。

據悉，眾至在這方面目前已實現了階段性商用成果轉化，正接受市場和使用者的驗證。

第二，從保險科技的角度，還要解決如何幫助客戶和保司建立防災降損機制問題，眾至指出，MSS安全託管運營服務，如果從保險角度來看其實就是幫助保司和客戶不斷進行風險控制，風險監測和風險預警。眾至自己也有一套主動風險管理ROC平臺，在保險落地時平臺會開放給保險端、生態端、運營端，幫助他們去做資料資產風險量化分析、風險監控預警、安全應急響應。

同時，從保險角度進一步去降低成本也很重要，這需要時間的推移去降低產品使用的邊際成本，讓使用者能夠體驗到更好、更實惠的安全保障。

網路安全保險產品需要可靠的風險防控措施，保司對於如何設計市場需要的網路安全保險產品，則需要網路安全視角下對於市場的一些觀察，進一步更加重要的是需要安全公司結合保險視角業務和知識，參與到保險公司的網路安全保險產品設計過程當中。眾至科技指出，眾至正在積極與多方聯動推動網路安全保險細分場景和險種的落地。

安恆表示，過去從網路安全形度考慮，需要為客戶的網路安全風險控制做到風險機率無限低，這也是網路安全產品和服務水平高低的核心衡量標準。但是從保險角度則不同，發生風險是機率問題，如果出現問題，網路安全保險則可以為風險提供保障。

但從具體實踐來看，網路安全保險產品實際上可以成為企業使用者解決網路安全風險管理閉環的一個組成部分。他舉例說明，以任何一款網路安全產品為例，如EDR，他只能解決部分安全問題，不可能解決所有的安全問題，如果企業客戶只為單臺主機部署EDR，並沒有其他配套措施，那麼針對這種場景下，網路安全保險就可以發揮價值，可以解決殘餘風險問題。

安恆指出，網路安全企業已經發現了網路安全保險的價值，與單一的安全產品服務配套部署也在加速進行，但在落地整體的解決方案方面仍然欠缺實踐。

03 安恆資訊的網路安全保險落地新嘗試

就這一話題進行持續探討時，我們發現，安恆資訊在前不久釋出的MSS安全託管運營服務，就引入了網路安全保險這項增值服務。在解釋將網路安全保險納入到MSS服務當中的價值與意義時，安恆認為，網路安全保險的“最佳搭檔”可能就是MSS。

大家的共同理解是單一的網路安全產品只能解決某一個問題，而網路安全保險需要衡量整體風險，MSS服務恰好是打通了所有軟硬體能力的綜合安全服務方式，同時其服務過程資料化、流程化和標準化可以沉澱大量資料，這將與網路安全保險進行完美契合，即可以對網路安全保險的風險量化模型提供資料支撐。

按表述來看，安恆資訊MSS服務中的網路安全保險，並不是在購買MSS服務伊始就為客戶提供保險保障的，而是採用了階段性的部署方式，需要透過一定時間的服務後，在對客戶有了更準確的風險判斷後，為其生成更加精準的網路安全保險方案。

這種網路安全保險的落地嘗試，還有另外一個層面的考量，即MSS服務過程中，除了可以定義網路安全保險的價值，網路安全保險還能推動MSS服務的價值。比如MSS為使用者產生的告警資訊，使用者是否及時處理，或是授權處理，這對於MSS服務的價值和效果是有決定影響的，而網路安全保險在確認威脅告警是否處理時會相應地調整對於客戶的風險判斷，實際上對於安全則是一種促進。

實際上這也是網路安全企業和保險公司的目標一致性的表現，旨在從風險管理的角度來阻止安全事件的發生和損失。

對於安恆資訊在MSS服務當中嘗試落地網路安全保險，眾至科技則給予了高度評價，認為其具有一定的市場前瞻性。他進一步解釋稱，在MSS服務架構下落地網路安全保險，其價值體現是可以提供風險資料支撐，即由告警產生的威脅態勢的研判資料。同時當服務業態持續推進，MSS服務作為重要的網安趨勢，從行業認可度來看，它還能夠提供細分行業的資料支援。

而這兩部分的資料都是保險業急缺的資料，特別是後者，將有助於風險量化模型的完善，對於網路安全保險在我國市場迅速推動落地將起到催化劑作用。眾至引用了重疾險要洞悉全國各地域的差異性來說明它的重要性，如精細到地區、年齡、性別等等維度，從而讓相關險種能夠對多方利益均能夠做到精細的量化保障。

04 網路安全保險開啟保險科技全新賽道

決定網路安全保險加速走向落地應用，保險科技的力量至關重要，對於這一話題，眾至科技先是介紹了他們團隊的定位。“對於眾至而言，是一支介於安全和保險之間的集合金融科技技術和網路安全技術的團隊”，眾至科技指出，這一領域在國內是個全新的賽道，在網路安全保險發展較快的歐美國家，該領域早已衍生出一些獨角獸企業，而中國在這方面發展相對較晚。

眾至科技指出，保險是風險管理過程中的一種金融工具，保險存在的意義是要解決不可見或者顯見的殘餘風險。殘餘風險在保險行業其對應的專業名詞是可保風險，它是一個動態的演進，對應在網路安全保險一側，眾至團隊重點要解決的就是可保風險當中的顯著性風險，以及附著性風險。

顯著性風險指的是，隨著資訊科技也包括網路安全技術的發展，我們需要挖掘原本沒有被認知到的風險，並對其進行妥善的管理。附著性風險指的是隨著新技術的應用，會引入一些新的風險，這部分的風險同樣需要轉移和管理。這些都是眾至團隊要去研究和具體開展指向性工作的重點方向。即對應到網路安全當中，其風險管理應該以怎樣的形式來體現。

鑑於網路安全產業細分領域眾多，眾至也預見了僅靠單一組織的力量，不可能勝任全部的安全量化管理工作，全行業、多場景、多技術應用下的風險量化模型需要多方努力共同推進。比如前文提到的安恆資訊的MSS服務就可以為保險科技提供多維資料支撐，而眾至網路安全聯合共創實驗室也是希望透過聯合多方細分賽道的安全力量，共同推進行業生態的加速落地。

眾至本身將作為第三方保險科技團隊，連同安全產業和保險業，融合為新的業態模式，在法律法規允許下，建立融合通用模型，從而推動並實現多方參與的網路安全保險商業市場的成熟與落地。網路安全保險能夠全面落地，三者缺一不可，而保險科技公司則起到技術開拓和多方黏合的作用。

05 網路安全保險需要生態閉環彼此理解支援

網路安全保險市場化階段，從網路安全媒體角度觀察，一線安全企業均與保險公司建立了合作關係，共同推動網安綜合險種的落地，如2021年年底中國信通院釋出的“網路安全保險十大優秀案例”，其背後就有安恆資訊為代表的數家頭部網路安全企業在做相關險種支撐。這種模式下，對於雙方，以及使用者企業而言，該如何捋清他們之間的地位與各自價值關係？

眾至指出，在網路安全保險生態閉環當中，保險公司則作為承保主體，其推出的網路安全保險這種金融產品，指向具有可保利益，資訊化時代網路安全的重要性越發凸顯，如主要表現使用者遭受網路攻擊將直接與經濟掛鉤，比如勒索攻擊動輒數百萬、千萬美元贖金，這種高可保利相反也進一步凸顯了網路安全保險的重要性。

對於網路安全企業而言，則能夠去補充保險公司在網路安全技術能力上的不足，以及在承保期間，對於使用者風險監測能力的不足。保險行業遵循大數法則，這也意味著在網路安全保險的初期發展階段，網路安全企業對於網路安全保險落地將起到關鍵作用。由於投保網路安全保險的企業並沒有完全鋪開，由專業的網路安全公司提供的風險控制能力至關重要。

對於保險科技公司而言，如眾至團隊，則要從第三方的風險管理公司角度定位，將安全公司的技術能力、資料，轉換為保險公司所需要的，多視角下的業務基礎資料，從而推動整個產業向前發展。

對於投保使用者而言，收益則尤為顯見。投保使用者如果出現殘餘風險或者是意外，由此導致的經濟損失，在投資回報方面會有兜底保障。眾至引用了戈登－洛布模型進一步解釋了對於使用者而言，投保網路安全保險的自身價值。戈登－洛布模型認為多於資訊保安漏洞預期損失37%的資訊保安投資，通常是不經濟的，而網路安全保險恰好可以扮演那個重要的角色，能夠讓使用者的整體網路安全投資更高效，且搭建了網路安全管理閉環。

據安恆介紹，安恆資訊在網路安全保險落地方面具有多年實踐經驗。在產品端，作為杭州亞運會最高階別的贊助合作伙伴，他們已聯合相關保險公司，為未來的重大活動賽事提供相關網路安全保險保障。在過去多年，安恆資訊與保險公司合作，也推出過端點一側的防勒索軟體攻擊保險，以及網站防篡改保險、資料修復保險等。

在承保端，安恆資訊已經和部分保險公司打通了一些資料支撐機制，即由安恆資訊提供的網路安全大資料，將被保險公司所使用，基於該資料建立風險量化模型，用於完成線上一鍵保險評估工作，從而減少投保風險，提高保險承保效率。

在理賠端，安恆資訊擁有自己的應急響應中心。在保險機制當中，當客戶發生安全事件，可以快速啟動網路安全應急響應，以及後續理賠工作。在網路安全保險閉環生態中，網路安全企業7*24小時待命，可以為使用者企業提供最專業的應急響應，最大化保障客戶投保利益。

據安恆介紹，安恆資訊還在嘗試新的網路安全保險的落地方式，比如在最新推出的MSS服務中的網路安全保險，其實也是對大型客戶的網路安全保險模式的落地探索。接下來，他們會跟更多合作伙伴，共同探索不同場景下的網路安全保險新模式，目的是在特定的場景下讓網路完全保險給使用者帶來最大的保障效果，提供更好、更全面的網路安全服務。

眾至在總結多方參與的網路安全保險市場未來發展時認為，現階段我國網路安全保險處於市場培育期，需要各方以坦誠包容的態度共同致力於市場的做大做強。待市場成熟之後，各個角色自然會有自己的市場空間和地位。安恆對此也表示完全同意。

眾至進一步表示，據披露資料顯示，就美國市場而言，網路安全保險每年的保費規模已達到65億美元以上，而中國則僅為7000萬人民幣（注.該資料來源於《我國網路安全保險產業發展白皮書（2021年）》），在同樣高度重視網路安全重要性大前提下，增漲空間肉眼可見。但他也指出，雖然中美兩國網路安全市場體系並不相同，但隨著我國相關法律法規監管的進一步落實，企業風險意識的不斷提高，網路安全保險終將會迎來屬於它的市場風口。

眾至認為，雖然不同行業視角不同，但市場一致性相同，現階段多方力量還要進一步加強合作，比如共同探尋更加符合使用者需要的網路安全保險產品，和網路安全保險模式，從而加速擴大市場。與此同時，就網路安全保險的風險控制上，還需要進一步探尋價效比高的管控措施，從而降低保險的落地阻礙。

眾至科技最後重點指出，對於使用者側而言，業態發展剛剛起步，一定要讓使用者感受到網路安全保險和科技服務所帶來的溫度，不能保而不賠，這也是網路安全保險最終能否成功落地的關鍵。