币所逼停、黑市倒卖、数据裸奔:网络安全保险需求旺盛却遭行业浅尝则止?

首页 > 机构 > 正文

2017年3月,2100万Gmail和500万雅虎账户在黑市公开售卖;2017年12月,韩国加密货币交易所Youbit在2017年12月再遭黑客攻击后宣布

 ·  2018-04-10

 2017年3月,2100万Gmail和500万雅虎账户在黑市公开售卖; 

2017年12月,韩国加密货币交易所Youbit在2017年12月再遭黑客攻击后宣布破产; 

2018年3月,Facebook数据泄露,一家服务于特朗普竞选团队的数据分析公司Cambridge Analytica获得了Facebook五千万用户的数据,并进行违规滥用。 

…… 

不限于此,网络安全问题就层出不穷。据百度安全发布的《2017年IDC DDoS攻击报告》显示,2017年,百度安全智云盾共承载IDC环境下IP地址超135万个,其中2.7万个IP地址被DDoS(分布式拒绝服务攻击)攻击38万次,日均1050起。 

就网络攻击的特点而言,据安联财产数据统计,现今50%的网络攻击集中在大型机构,越是重要的机构越容易受到攻击。大批量的数据泄漏会造成巨大的损失,也许是网络系统的核心设施受到攻击、核心数据泄漏,或者是云服务供应商网络中断。 

有风险就有应对,网络是一个现代化的风险领域,网络技术向基础性和复杂性演进的过程本质也是效用和风险博弈的过程。这种效用和风险不言而喻。越来越多企业数据、客户和供应商信息在互联网平台“裸奔”:这带来便利的同时也加大了信息风险。 

网络保险无疑是应对网络风险最好的武器。网络安全保险起源于 1970 年代的计算机犯罪险,先后演变为黑客险、数据险等。全球目前约有60余家公司试水网络安全保险。 

一、自我防护还是共同铸建风险资金池? 

根据 Gartner机构预测,2017 年全球网络安全产业规模预计达到 989.86 亿美元,较 2016 年增长 7.9%, 2018 年预计增长至 1060 亿美元。 

市场规模如此之大,谁能分的一杯羹? 

按照风险防范与管理的逻辑,企业可以采取两种方式:一种是自我保护,一种是共同建立风险资金池。 

那么,到底哪一种才更加可靠呢? 

由于互联网是一个相互关联的系统,风险入侵也被分为两种体系:直接入侵和间接入侵。“直接入侵”就是攻击者直接入侵一个企业的信息系统,“间接入侵”就是与其在物理上相互连接的其他企业受到了直接入侵,并通过相互连接的通信网络“传染”到了这个企业,造成这个企业受到“间接入侵”。 

blob.png

企业a和企业b是相互关联的企业,通过物理上的网络相互通信和连接,企业a由于自身信息系统的脆弱性首先遭到直接入侵Pa,攻击者通过它们之间的连接网络把入侵又“传染”给了企业b,使得企业b受到间接入侵Pab。反之,亦然。例如,网络病毒的传染性。 

网络生态系统的风险具有关联性,在网络安全领域,单一依靠自我保护投资体系,会面临市场失灵的危险。企业之间会产生“投资博弈”,企业以营利为目的,在最小成本获得最大效益的前提下,投资积极性不会很高。在一定条件下,先进行投资的企业的最优投资额大于后进行投资的企业最优投资额,这种情况下投资具有“后动优势”,后进行安全投资是企业的理性选择,后进行投资的企业有“搭便车”嫌疑。此外,某一方网络安全防护水平的提高,也可能对其他主体的网络安全造成负面影响。 

因此,作为对网络安全市场失灵的对冲工具,网络安全保险通过集中的风险池,更加专业地收集事故概率、损失规模等信息,提出防护措施,将网络安全的外部关联性内部化; 网络安全保险可以刺激被保险人主动降低网络风险,因此在网络安全策略中,购买保险比自我保护更受欢迎。 

信息风险可能极大减损网络的效用。企业应投保网络安全保险来避险,或者避免不了时及时采用止损机制。例如,企业一旦遭遇黑客攻击,应该与险企合作的应急响应服务商能在最短时间内帮助企业恢复运营。 

目前阶段,由于互联网信息安全保险发展尚处在初期阶段, 

虽然,目前只有不到10%的企业投保了网络安全保险,但面对巨大的潜在经济损失,各企业愈发意识到投保该保险的重要性。 

评论:
    . 点击排行
    . 随机阅读
    . 相关内容