網絡保險公司將注意力轉向災難性黑客攻擊——《華爾街日報》

作者：詹姆斯·朗德爾2022年11月28日 上午5:30（美國東部時間）|WSJ專業版再保險巨頭瑞士再保險集團估計，2021年美國獨立網絡保險保費增長了92%。圖片來源：阿恩德·維格曼/路透社儘管近年來網絡保險已顯著發展，但保險公司表示，他們可能仍未準備好應對災難性網絡攻擊的後果。

保險公司通過收緊對保單持有人的要求和提高保費來應對持續不斷的網絡攻擊，此前2020年損失激增，部分原因是勒索軟件索賠激增。再保險巨頭瑞士再保險集團估計，由於費率上漲，2021年美國獨立網絡保險保費增長了92%。

保險公司和分析師表示，最近發生的重大黑客攻擊提供了寶貴的數據，使保險公司能夠確定對保單持有人抵禦黑客的最低防禦要求，並幫助保險公司瞭解如何為其承保的風險定價。

然而，最大的風險尚未出現：針對對公司或信息服務系統的網絡攻擊，這些系統對經濟或整個社會至關重要，以至於達到系統性水平。也許規模如此之大，甚至可能擊垮保險公司。

“我認為重要的是要強調，保險業尚未經歷過災難性事件，”瑞士再保險網絡再保險負責人約翰·科萊蒂説。

諸如2017年的NotPetya病毒、針對關鍵基礎設施提供商（包括2021年殖民管道公司）的攻擊，以及微軟公司Exchange產品等常用軟件中的漏洞，已經敲響警鐘並考驗了承保限額，科萊蒂先生表示。但尚未有事件演變為生存性威脅。

保險公司會對此類攻擊的潛在連鎖效應建模。例如，針對大型物流供應商的攻擊可能產生重大但局部的影響，比如系統中斷導致部分供應鏈癱瘓或客户服務暫時停止。2021年管理服務提供商Kaseya有限公司遭遇網絡攻擊時便出現這種情況，導致數百家客户系統中斷或感染勒索軟件。

然而，若攻擊針對金融系統核心樞紐，或支撐關鍵基礎設施運營的主要雲服務商，則可能引發財務毀滅性的索賠。

此類情景令保險公司感到擔憂，部分公司已開始因此限制承保範圍。

“我們看到他們甚至開始點名特定雲服務商，聲明若該雲服務商服務出現部分或全部中斷，將不予全額賠付，“Arthur J. Gallagher&公司美國保險經紀業務網絡責任實踐董事總經理約翰·法利表示。

8月，全球保險市場倫敦勞合社有限公司要求其承保辛迪加採用政策措辭，排除由國家發起的災難性網絡攻擊。勞合社市場主管帕特里克·蒂爾南表示，在網絡保險等相對不成熟的保險類別中，隨着行業對其風險認知的深入，承保限制是自然現象。

相比之下，航運等傳統保險形式由於保險公司對潛在問題及預期索賠規模擁有豐富經驗，因此具備更廣泛的承保選擇。

“我們擁有數百年的歷史來理解這種風險，“蒂爾南先生説。

蒂爾南指出，網絡災難建模的部分挑戰在於缺乏足夠歷史數據來建立精確模型。這迫使勞合社和保險公司採用更簡單的方法估算損失，例如累加特定情景下可能觸發的保單限額。

簡單模型的使用可能引發問題。例如，保險公司可能被迫為最壞情況預留資本金，或僅承保非常具體的網絡風險，導致企業不得不購買多份高額保單。

雖然大多數主要保險公司已開始應對災難性網絡情景——例如勞合社已考慮過大型雲服務商中斷事件，蒂爾南表示——但各公司採用的風險模型存在差異，且缺乏行業基準標準。

瑞士再保險的科萊蒂先生表示，這種差異甚至延伸到基礎層面，比如保險公司是在評估每500年一遇的極端罕見事件，還是更常規的事件。

“這些模型確實非常重要，在企業願意投入多少資金方面具有很大影響力，”他説。“我們或許需要更多地關注支撐這些模型的基本假設。”

聯繫詹姆斯·朗德爾，郵箱：[email protected]

刊登於2022年11月29日印刷版，標題為《網絡保險公司將注意力轉向災難性黑客攻擊風險》。