1、新兴市场中的 网络风险 帮助亚洲企业更好地理解多种保险产品 之间的相互联系 2019 年 5 月 2 新兴市场中的网络风险 目录 取得进展, 但仍有大量保障缺口 .4 对财务报表影响的认知日益增强 .7 被保险人须理解单项的基本网络安全保险和 职业责任保险潜在的保险范围缺口 .9 其他保险产品对网络安全保障的 “沉默” 和明确 . 13 后续步骤 . 15 联系方式 17 新兴市场中的网络风险 3 几乎每天的新闻里,都在讨论 最新技术发展及对应产生的网 络安全风险,因此保险业务在 竞争中必须跟上不断变化的环 境。为满足这些需求,亚洲网 络安全保险市场正在增长�������。我 们同样可以从全球成熟市场借 鉴
2、一些经验。 4 新兴市场中的网络风险 1. 取得进展,但仍有大量保障缺口 保险,包括任何形式的网络安全保险, 应该是健全的网络弹性风险管理方法 的一种补充。 结合资产和风险数据的分析能够降低企业的 总风险成本(总风险成本是一家企业的风险转 移成本、保费成本、自留损失免赔额 / 未保 险损失以及价值下降的总和)。1每家企业 都应通过将企业网络风险管理战略与企业文 化和风险容忍度相结合的方式来识别和保护 其关键无形资产,以防止未编入预算的突发损 失和资产负债表波动。尽管挑战不断增加 2, 但独立网络安全保险已经能够应对表 1 中列 出的绝大多数个人身份信息(PII)、支付卡行 业(PCI)和个����人健
3、康信息(PHI)领域的隐私 和安全事件。3 表1 重大数据泄露隐私事件的商业影响 (截至2019年2月7日的公开信息) 企业商业影响财务构成来源 Anthem2.78亿美元总费用 (1.48亿美元) 安全改进费用 (1.15亿美元) 健康保险携带和责任法案 (HIPAA) 和解费用 (1,600万美元) 监管和解 美国地区法院 美国卫生与公众服务部公 民权利办公室 Equifax4.305亿美元 5.14亿美元 50万英镑 迄今总费用 预计总费用 信息专员办公室处罚 (数据保护法1998) 2����018年3季度盈利报告 2018年3季度财务报告 公民权利办公室通告 Facebook50万英镑信息专
4、员办公室处罚 (数据保护法 1998)公民权利办公室通告 The Home Depot2.98亿美元总费用2017年10-K文件 Target ������Corporation2.98亿美元总费用2017年10-K文件 Uber1.48亿美元 40万欧元 60万欧元 38.5万英镑 美国司法部和解 法国资讯保护委员会处罚 荷兰数据保护局处罚 信息专员办公室处罚 (数据保护法 1998) 美国司法部和解 法国资讯保护委员会通告 荷兰数据保护局通告 信息专员办公室通告 Yahoo!Inc. (Altaba Inc.) 3.5亿美元 8,500万美元 3,500万美元 8,000万美元 2,900万美元 25
5、万英镑 收购价格降低 消费者集体诉讼 美国证券交易委员会处罚 证券集体诉讼 股东派生诉讼 信息专员办公室处罚 (数�����据保护法1998) Verizon新闻发布 美国地区法院 美国证券交易委员会新闻 ����发布 美国地区法院 美国地区法院 信息专员办公室通告 1. 通过分析有助于简化网络安全保险,类似于 FICO 信用评分促进个人风险管理的机制至少在个人身份信息 / 个人健康信息(PII/ PHI)网络事件方面如此。将分数应用于网络安全保险核保: https:/ underwriting/ 2. 由于保险人和被保险人之间对于承保范围缺乏共识,和 / 或保单措辞缺乏足够的定制化,一些网络安全保险的理赔请求
6、因此被保险 公司拒绝赔付。Columbia Cas. co. 诉 Cottage Health Sys., C.D.Cal. No. CV 15-03432 DDP(AGRx)(2015 年 5 月 7 日提交)(因 被保险人未能满足保险人的最基本要求、申请表中存在虚假陈述和其他问题,CNA 因此拒绝理赔 NetProtect360 保单;在 CNA 关 于替代性争议解决(ADR)条款可执行性的决定败诉后,该判决被推翻)Travelers Prop.Cas.Co. of Am. 诉 Fe������d.Recovery Servs., No. 2:2014cv0017045 号文(D. Utah 2015
7、)(由于被保险人涉嫌故意拒绝发布信息,Travelers 拒绝理赔 CyberFirst 保单;宣判生 效);P.F.Changs China Bistro, Inc. 诉 Fed.Ins. co., 2016 U.S. Dis�����t.LEXIS 70749 (D. Ariz. 2016 年 5 月 26 日)(Chubb 拒绝理赔支 付卡行业罚款和罚金,但这看起来应该是为一家接受信用卡付款的餐厅而解决的、来自与网络相关的主要漏洞和损害);New Hotel Monteleone, LLC 诉 Certain Underwriters at Llo�������yds of London, Ascent Cyb
8、erpro 保 单 No. ASC14C00944, No. 2:16-CV-00061-1LRL- JCW (E.D.La. 2016 年 1 月 5 日提交(New Hotel Monteleone 向其保险公司提出理赔,保险公司声称对于支付卡行业罚款没有足够的 保额(保险公司拒绝理赔)。 3. 请注意: A. 大多数源于 PII/ PHI 相关的网络安全事件的第三方责任成本、辩护费用和赔偿费用可以通过某些专业责任保险 / 技术错误和遗漏保 险或者媒体责任保险来解决,这将在下文中进行讨论; B. 表 1 中列举的企业并非全�������部都在事件披露前购买了足够的网络安全保险或职业责任保险,但前述保险可
9����、用于解决记录在案的损失。 新兴市场中的网络风险 5 任何行业都可能遭受数据泄露事故, 但非个人身份信息的主要处理公司通 常比个人身份信息 (PII) 的主要处理公 司拥有的个人身份信息 (PII) 记录少, 且个人身份信息 (PII) 记录的潜在泄露 严重性低于其他潜在的损失,例��������如营 业中断损失。 例如,美国独立网络安全保险的成功案例主 要发生在 4 个行业中,在这些案例中被保险 人购买了网络安全保险,且保险公司进行了 赔付: 零售业(截至 2018 年 7 月 20 日,行业 增值占国内生产总值的 5.9%) 酒店(截至 2018 年 7 月 20 日,行业增 值占国内生产总值的 3%) 医
10、疗保健(截至 2018 年 7 月 20 日,行 业增值占国内生产总值的 7.3%) 金融机构(截至 2018 年 7 月 20 日,行 业增值占国内生产总值的 7.5%) 这 4 个行业在美国国内生产总值中所占的百 分比约为 23.7%。4然而,独立网络安全保险 在占国内生产总值 76.3% 的其余行业中的应 用也越来越多,例如: 公共事业 5 建筑业 制造业 农业、林业、渔业和狩猎 信息业 专业和商务服务 6 房地产和租赁业 艺术、休闲和娱乐业 政府 教育服务 运输和仓储业 此外,独立网络安全保险最初是为�������了解决隐 私����泄露和安全成本,它们与个人身份信息 (PII)的泄露相关,该险种通常并不保
11、障资 金盗转账、密码泄露、人身伤害或有形财产 损失等。当然也有例外,如为汽车和钢铁制 造商设立的创新网络安全保险计划。7如今, 网络事件导致的业务中断是企业非常关注的 问题,尽管有时对相关业务中断损失有分项 限额或者除外条款的限制。 4. 美国商务部经济分析局(www.bea.gov) 5. 针对能源部门的网络攻击反复出现,对可再生能源构成威胁, https:/www.pv-tech.org/news/re�����plication-of-cyber-attacks-on-energy-se����ctor-a-threat-to-renewables 6. 绝大多数专业和商业服务机构,如咨询、技术、法律、会
12、计、通信、信息和媒体公司,通过其专业责任保险、技术错误和遗漏保险 或者媒体保险来覆盖其第三方网络风险敞口。超过 90% 的大型职业责任保险的赔案损失是由于非�����网络相关的错误、遗漏和疏忽行 为造成的(雅虎、Equifax 和 Heartland 案例除外)。例如,Shaw 诉 Toshiba America Information Systems, Inc., 91 F. Supp.2d 942 (E.D.Tex. 2000), 在这一专业责任 / 错误和遗漏案件中,法院判决 21 亿美元(2,100,000,000.00 美元)的和解赔偿,以及 1.475 亿 美元(147,500,000.00
13、 美元)的律师�����费。然而,专业责任保单条款中可能存在显著的不足和限制,这些不足和限制可以通过良好的网 络保险条�������款加以解决。 专业责任的触发点通常是被指控存在错误、遗漏或疏忽行为(例如,基于对被保险人指控的要求),而良好的网络保险可以由网络事 件触发,这发生在第三方要求被保险人做出回应之前,从而避免第三方理赔或降低及理赔量级。 专业责任保险并不解决因网络事故导致被保险人的计算机系统瘫痪或降级而给被保险人造成的第一方业务中断损失或所产生的任何额 外费用,而网络安全保险可为此类风险和损害提供特定的保障。 7. 怡安推出业内首个网络安全解决方案:https:/ir.AON.com/about-AON/i
14、nvestor-relations/investor-news/news-release-details/2016/ Amid-evolving- cyber-risks-AON-introduces-first-of-its-kind-enterprise-wide-cyber-solution-for-all-industries/default.����aspx 6 新兴市场中的网络风险 12 34 与个人身份信息(PII)相关的网络风险通常会导致无形损失(即纯粹的经济或财务 损失)。然而,网络风险敞口最终可能导致人身伤害和有形财产损失。 企业必须能够识别网络风险,并根据其独特的业务运营模式对潜
15、在的网络相关损失进行建模。应该 在公司层面对关键资产进行梳理,并分析会导致重大事故发生的潜在攻击路径。每个组织的网络损 失类别并不相同。因此,对于每个组织来说,对于能够承保网络损失的保险类型的分析也不尽相同。 财 务有 形 第一方 第三方 任何重大网络事件都会导致 公共关系、响应和连续性成本 即时和延期收入损失的恢复费用 辩护成本 第三方将就下列损失进行索赔 民事处罚和裁决 间接收入损失 恢复费用 潜在的物理损失 财产损失 人身伤害 物理损失可能会������波及他方 第三方财产损失 第三方人身伤害 来自各种规模,地理位置以及各种行业的企业越来越依靠数据分析与技术 8,例如 云计算 9、人工智能10、5G
16、、物联网11、移动设备、自动化供应链12 和分布式账本 / 区块链。13这些进步都带来了新型的和不同的网络风险。14 例如,在未来几年内,几乎每个大型企业和大多数中型企业都将在一定程度上依赖分布式账本技 术直接应用或者通过其第三方供应商、分销商、合作伙伴和客户。15保险公司则刚刚开始思考 应对该类技术风险所需的承保范围和除外责任。 8. 数据即财富:新兴技术的价值 , http:/ 9. 2018 年 8 月,高德纳公司的调研指出,云计������算仍然是最大的新兴风险。高德纳风险管理领导委员会 2018 年第 2 季度十大新兴风险 10. 5G 无线技术引发安全担忧,华尔街日报,2018 年 9 月 1
17、2 日报道。随着 5G 技术的发展,其将连接比今天更多的设备,网络安全 攻击可能会加速。 11. 随着物联网设备在企业中的激增,管理敏感������和机密数据带来的第三方风险已成为一项艰巨的任务。企业深感担忧的是,如果未能阻止 网络攻击,可能会产生灾难性后果。第二次物联网年度研究:第三方风险的新时代,2018 年 3 月 12. 供应链相关的网络攻击增加 200%;报告 , https:/ 13. 承保区块链,2018 年 9 月 17 日 14. 一些新型和不同的网络风险敞口可以改善风险转移,并降低总������风险成本。如果 XYZ 制造公司将其部分信息技术系统外包给顶级云供应 商,如 IBM、微软或 Alpha
18、bet,在理论上其������安全性会提高,因为相比于试图自己解决并跟进所有信息技术安全问题�����的 XYZ 公司,云供 应商能够全天候专注解决该类问题。 15. 四分之三的商界领袖认为区块链有“令人信服”的理由: https:/ 新兴市场中的网络风险 7 2. 对财务报表影响的认知日益增强 根据风险和保险管理协会的数据,2017 年,企业的总风险成本连续第 4 年下降, 但网络风险成本却反其道而行之,上升了 33%16 损失超过100万美元的网络事件数量: 17 大多数董事会和管理层现在都将网络风险和解决方案纳入公司治理讨论中,因为他 们越来越认识到重大网络安全事故可能对财务报表造成的潜在影响。18然而,相比
19、 于许多公司对其传统有形资产充足的保险投保程度,其对无形资产的投保相对依旧 较少。19 地区: 亚洲 公司 总价值 最大可能损失(PML) 价值占公��司资产价值 百分比 业务中断价值占������ 公司资产价值 百分比 保险承保资产 价值百分比最大可能损失的 价值百分比 业务中断的 价值百分比 承保范围 PP&E 信息资产 PP&E: 财产、 厂房和设备 最大可能损失 (PML) : 一种财产损失控制的术语, 指在特定地点 发生火灾时预期的最大损失, 以美元或总值的百分比表示。 16. 网络风险成本总体趋势。 17. 战略和国际研究中心。https:/www.csis.org/ 18. “网络风险是董事和管
20、理层风险吗?”https:/ 19. 2017 年怡安赞助的 Ponemon 研究所全球和网络风险转移研究和比较报告:信息资产与财产、厂场和设备风险摘要。 http:/ https��������:/ 104% 90% 31% 13%14% 57% 8 新兴市场中的网络风险 根据经济学人最近的一篇文章:“企业最主要的、有价值的资产很多都还未得到保险的保 障”20企业承认其无形资产的价值大大超过有形资产的价值。21������然而,企业却通常不会分配相 应的资源来保护无形资产并使其价值最大化。例如,大多数企业不了解专利侵权保险和商业秘 密保险能够搭配其他类型的保险,以应对版权、商标、服务标识等知识产权领域的风险敞口。 20
21、17 年毁灭性的网络灾难 NotPetya 事件 22 告诉我们,即使业务中断保险包含在独立的网络安 全保险计划中,市场上现有的保额也只能覆盖表 2 所示的潜在灾难性业���������务中断和相关第一方损 失的少部分。网络保单下现有的业务中断保险的限额(1 亿至 5 亿美元)远低于财产保单(潜 在价值 10 亿至 20 亿美元以上)。此外,谨慎的保险公司正在为其财产和网络保单增加“共享” 保额和“总损失”限额背书,以避免因保险术语中所谓的“冲突”事件(即两种不同的保单需 向同一事件进行赔付)而造成网络业务中断损失的“双重赔付”情况。因此,对于导致人身伤 害和 / 或有形财产损害(以及犯罪、海事、航空、环境、绑
22、架和赎金 23、产品召回、董事和管 理层以及恐怖主义保险)的网络风险一般责任和网络 / 职业责任保险之间的潜在“冲突”触发 因素,也可以应用类似的分析。 请记住,非网络安全保险保单的趋势是增加特定的除外条款,目的是为了避免保单出现出现所 谓的“沉默的网络风险保障”。“沉默的网络风险保障”是指各类非网络安全保险产品有意、 或无意的在保单里忽略使用与网络风险保障有关的除外条款�������。 表2. NotPetya事件导致的业务中断的重大商业影响 ( 截至2019年2月7日的公开信息 ) 组织商业影响财务成分来源 A.P.Moller Maersk2.5-3亿美元盈利减少2017年第4季度财务状况 Beier
23、sdorf AG最低销量影响 1,500万欧����元 3,500万欧元的销售额从 第2季度转移到第3季度 额外费用 2017年第2季度财务状况 2017年第4季度财报会议 FedEx (TNT Express)4亿美元盈利减少2018年第4季度财务状况 Merck & Co�����.4.1亿美元 3.8亿美元 2017、 2018年销售额下降 额外费用 2017年第4季度财务状况 2018年第3季度财务状况 Mondelez International 约1.04亿美元 8,400万美元 2017年销售额下降 额外费用 2017年第4季度财报会议 2017年第4季度盈利发布 Nuance Communica
24、tions 6,800万美元 3,120万美元 2017年销售额下降 额外费用 2018年第3季度财务状况 Reckitt Benckiser约1.14亿英镑第2季度销售额下2% 第3季度销售额下2% 新闻发布 2017年第2季度财务状况 2017年第3季度财务状况 S�����aint-Gobain约2.2 - 2.5亿欧元������� 8,000万美元 2017年销售额下降 2017年盈利减少 2017年第3季度盈利发布 2018年第1季度盈利发布 20. “无形风险保险业务仍处于起步阶段”,经济学人,2018 年 8 月 23 日。 https:/ 21. “我们忽略了最难衡量的风险,即使它们对我们的福祉构成
25��������、最大威胁。”内特西尔弗,信号与噪音:为何如此多的预测失败但 有些没有 22. Petya 和 NotPetya 是两个相关的恶意软件,在 2016 年和 2017 年影响了全球数千台计算机。Petya 和 NotPetya 都是旨在加密受感染计算 机的硬盘,两者之间有足够多的共同特征,以至于 NotPetya 最初只是被视为 Petya 的变体。2017 年 6 月,一种新版本的恶意软件开始 迅速传播,主要集中在乌克兰,但它也出现在欧洲和其他地区。这种新的变体从一台计算机迅速传播到另一台计算机,从一个网络传播 到另一个网络,而不需要垃圾邮件或社交工程获得管理权限。 23. 恶意软件攻击的真实成
26、本,https:/ 新兴市场中的网络风险 9 3.被保险人须理解单项的基本网络安全��������保 险和职业责任保险潜在的保险范围缺口 现有的独立基础网络安全保险并不 用于承保绝大多数非个人身份信息/ 个人健康信息(PII/ PHI)类的的灾 难性网络事故。 网络安全保险和职业责任保险通常是 “列 明风险” 保单, 而不是 “一切险” 保单, 这意 味着保单内的承保及限制条款对保险责任 的范围至关重要。除了以上提及的对业务 中断风险的承保限制之外, 近�����期发生的的 几起网络事件也需考虑在内。现有的独立 网络保险计划通常无法补偿某些网络事故 带来的灾难性损失, 类似以下的事故: 2018 年 8 月 11 日:
27、在万泰银行抢劫案 中,黑客通过 ATM 盗窃了 1,000 万英镑 (约合 1,350 万美元)。此次事件涉及 28 个国家 的 14,800 笔 ATM 交易。2�����4 2018 年 8 月 15 日:Crypto 投资者起 诉 AT T,并要求其赔偿 2.24 亿美元。 Crypto 声称因 AT T 员工对“SIM 卡 交换”问题的疏忽,为欺诈者控制移动 电话号码创造了机会,从而导致后者成 功窃取价值约 2,400 万美元的加密货 币。Crypto 认为 AT&T 需对此承担责 任,并要求其赔偿 2 亿美元作为惩罚。 常见的独立网络保险的保障条款明确不包 含资金转账、加密转账和其他现金及证券
28、 货币的损失赔偿 ,25而犯罪防护保险则可以 在应对特定情况下承保资金损失。 类似的,网络安全保险责任范围通常不涵 盖“电子欺骗”、“网络钓鱼”和其他�������社 会工程事件的支付转移欺诈,但犯罪商业 防护保单则有可能承保上述事件。最近, 两个联邦上诉法院裁定,保单持有人有权 就社会工程事件引起的损失获得犯罪防护 保险的赔偿。26 2018 年 7 月:Facebook 投 资 者 提 起 了两起不同的证券诉讼:(1)第一 起 是 针 对 英 国 数 据 公 司 Cambridge Analytica 的用户数据崩溃;(2)第二 起诉讼发生在 Facebook 公布其季度盈 利后。Facebook 宣称
29、因遵守欧盟通用 数据保护条例(GDPR)的难度���������大且发 生高额成本,造成增长速度缓慢,部分 导致其季度盈利不理想。 2018 年 8 月 8 日:这是一起针对某个从 事为媒体进行公开评级业务企业的证券 集体诉讼案。该企业在其季度财报中披 露,GDPR 的相关变化影响了公司的增 长率,给公司的合作伙伴和客户造成压 力,并扰乱了公司的广告“生态系统”。 24. 前一天,即 2018 年 8 月 10 日,联邦调查局警告道,网络罪犯可能正计划对现金机器进行高度协调的攻击:“联邦调查局已 获得匿名举报,有证据表明网络犯罪分子正计划在未来几天对全球自动取款机(ATM)进行攻击。该犯罪计划可能与某发卡机 构
30、的违规行为有关。该犯罪计划被通称为无限行动������”。早在 2016 年,布莱克斯堡国家银行就发生了一起类似攻击,造成 240 万美元的损失。���� 25. 根据网络安全保险对加拿大地区的风险可能提供分项限额保险。 26. American Tooling Center, Inc. 公司起诉 Travelers Casualty and Surety Company of America,诉讼编号为 2018 年 WL 3404708 第 17-2014 号(第六巡回法院,2018 年 7 月 13 日)。事件原因为被保险人(American Tooling Center)将诈骗者误认为是其 中国分包商,并
31、向其银行账户转账 834,000 美元。第六巡回法院裁决,Travelers Casualty and Surety Company of America 有 义务承担被保险人的损失。此前,在 7 月 6 日,第��������二巡回法院还在一起网络钓鱼保险纠纷中裁定保单持有人 Medidata Sols. Inc. 公司在与 Fed. Ins. Co. 公司的案件中胜诉,诉讼编号为 2018 WL 3339245 第 17-2492 号(第二巡回法院,2018 年 7 月 6 日)。同年 8 月,第二巡回法院驳回了丘博的子公司 Fed. Ins. Co. 要求重审法院 2018 年 7 月 6 日决定的诉求
32、,并判定 Fed. In������s. Co. 保险公司根据 Medidata 的计算机欺诈保单,赔偿后者 480 万美元的损失。 10 新兴市场中的网络风险 一般的职业责任和网络保单明确不包含股 东衍生证券和类似的信托责任诉讼, 与上 述三种情况一样。 一份详尽的董事及高级 管理责任保险应该为以上情况提供抗辩费 用及赔偿金的保障。 接下来, 鉴于我们的建 筑、 道路和公共交通系统会发生翻天覆地 的变化。 互联网连接, 以������及不断提高的数据 收集与分析能力, 正在渗透建筑和运输行 业。 因此, 我们将在 “有意识的” 空间中生活 和工作, 并在 “智能” 的城市中出行。 27 汽车、火车、卡车、船舶,以及
33、旅行者 等所使用的某全球定位系统遭受了一起 针对性攻击,GPS 瘫痪,导致恶意重定 向以及用户无法使用导航。28 一家医疗机构成遭受了网络入侵。该入 侵行为修改了患者记录被修改并 / 或侵 入医疗设备, 导致治疗或患者监护不当。 在这两种情况下,该网络入侵都可能对 患者造成伤害。29 一家制造工厂遭受了网络入侵,扰乱装 配线运行,导致�������装配线加速,并造成财 产损失和员工受伤。30 2018 年国土安全部警报:俄罗斯政府网 络黑客针对美国政府实体和多个美国关 键基础设施部门发起进攻,涉及能源、 核能、商业设施、用水、航空和关键制 造业等领域。31 如果被保险人不根据自身情况详尽地制定 保单条款,
34、一般的网络安全保险明确不承保 所�������有人身伤害 (除非在受到情绪困扰和精神 痛苦的情况下) 及有形财产损失 包括 第一方有形财产损失 (被保险人的自有财产) 和第三方有形财产财产损失 (被保险人以外 的财产) 。 “潜在的网络安全风险因素” 财产 黑客攻击导致自动化 制造设施停止生产 通过网络系统漏洞造 成人身伤害或财产损失 由于网络相关事件造成����� 的工厂爆炸或 损坏 知识产权 未发行的电影/媒体 有形和无形资产 的专利设计规范 商业机密 版权材料 D&O 网络事件的披露 对公司的财务报表 造成重大影响 报告要求 监管审查 货运 计算机劫持 集装箱跟踪系统 GPS导航系统 自动化造船厂流程 犯罪行为
35、 日益复杂的社会 工程攻击 黑客攻击大型金融机 构或会计软件窃取资金 比特币钱包操纵 恐怖主义 黑客攻击医疗设备 会对政治或公众人 物造成人身伤害 恶意传播错误信息 以引发骚乱或内乱 一般/产品责任 自动系统黑客进攻 导致产品规格篡改 并造成设备故障 产品暴露于物联网 (IoT) 漏洞的风险 增加 网 络 由系统故障引起的计算机系统的 非物理损坏而导致的业务中断 安全和隐私责任, 包括和解与辩护 费用 事故响应费用 网络勒索 人身伤害和财产损失 (潜在的) 环境 对核能或能源设施的攻 击会导致危险化学品或有 毒气体对排放 未经处理的污�����水会污染水源 关键基础设施对瘫痪会导 致火灾, 爆炸等 绑架
36、和赎金 在绑架勒索防护保险 项下的对网络敲诈的索 赔保证成本, 有经验 的供应商难以获得准入 召回 自动化制造工厂 汽车和相机中的网络 漏洞 黑客篡改设计规范 纳米技术和3D 打印 请注意, 承保范围可能因承保人, 以及基础格式和定制保单格式而有所不同。 27. 28. 当网络风险变为实体风险时������:https:/ 29. 尽管医疗保健数据违规成本高昂,企业仍然�����缺乏网络保险, https:/ 30. 网络攻击使德国产业损失 430 亿欧元, https: / -stud 31. 针对美国能源和其他关键基础设施部门的俄罗斯政府网络活动。 新兴市场中的网络风险 11 购买商业综合责任保险单 (CGL)
37、 的意图是为来自第三方人身伤害和财产 损失的索赔提供保障。 挑战1: 一般商业责任险保单中包含网络责任免除(即风险 / 触发必须是“有形”风 险)。32事实上的 CL 380 除外责任条款进行了规定如下:33 在任何情况下,本保险均不包括任何以而使用计算机、计算机系统、计算机软件程序、恶意 代码、病毒、过程、或其他电子系统计算机,作为造成损害的手段,而直接或间接造成或促 成或引起的损失、责任或费用。����� 挑战2: 如今,许多企业提供一定程度的专业服务,但是大多数一般商业责任险保单 不包括“专业服务”引起的索赔范围。 标准除外责任的条款如下: 本保险不适用于因提供或未能提供专业服务而引起的任何“人身
38、伤害”、“财产损失”、 “个人和广告侵害”。 该除外条款的意图�����是希望职业责任保单承保相应的职业责任风险。但如果你注意到几乎所有 网络和职业责任保单都除外了人身伤害和�����财产损失(BI / PD)的索赔,你就会发现事情并不 想象的那样简单直接。该除外措辞一般如下: 对于因人身伤害、疾病、死亡、精神压力、精神痛苦或伤害、或因有形资产的损坏、破坏、 或无法使用而提出索赔,保险公司概不负责。 这造成了一个巨大的保障缺口,即两个保单均不承保由专业服务引起的人身伤害 / 财产损失 索赔。这同样适用于除外实体人身伤害 / 财产损失的网络保单。当网络安全事故影响工程或 承载计算、监控基础设施相关软件、干扰 GPS
39、 坐标(以及其他),并最终导致人身伤害或财 产损失索赔时,保险公司可能会完全拒绝赔偿。因此,为充分解决网络危险,各类保单进行 相������互协调配合就显得很有必要。即使如此,了解现有可保风险的边界非常重要,并不是每个 网络风险在目前市场上都是可保的。 32. 综合一般责任保单可能包含在某些情况下对人身伤害的赔偿。 33. 网络攻击排除条款 CL.380 已纳入许多一般责任保险和财产保险合同,目前已��������被接受为此问题的市场条款。 12 新兴市场中的网络风险 建筑 教育 能源 娱乐 FAB 金融机构 卫生保健 工业与材料 生命科学 电力 PSG 公共部门 房地产 零售与批发贸易 科技 运输与物流 关键 风险 1
40、 关�������键 风险 2 关键 风险 3 关键 风险 4 关键 风险 5 关键 风险 6 关键 风险 7 关键 风险 8 关键 风险 9 关键 风险10 行业 不可保 经济放缓 / 经济复苏缓慢 商品价格风险 监管 / 立法变革 竞争加剧 未能创新 / 满足客户需求 重大项目失败 未能吸引或留住顶尖人才 破坏性技术 / 创新 汇率波动 公司治理 / 合规的负担和后 果越来越严重 劳动力短缺 部分可保 网络犯罪 / 黑客 / 病毒 / 恶意 代码 声誉 / 品牌受损 政治风险 / 不确定性 现金流量 / 流动性风险 供应链失败的分布 知识产权 / 数据丢失 资本可用性 / 信用风险 合并 / 收购 /
41、重组 技术������故������障 / 系统故障 可保 财产损失 业务中断 环境风险 天气 / 自然灾害 第三方责任 (包括EO) 董事及高级职员个人责任 产品召回 工人受伤 新兴市场中的网络风险 13 4. 其他保险产品对网络安全保障的“沉默” 和明确 “沉默的网络安全保障”指的是保单对网络安全风险并没有明确是否承保。在没有明确的网 络保险责任范围赔偿或排除的情况下,保险公司要么(a)故意提供不明确的网络责任范围; 或(b)由于缺乏具体的排除条款非故意提供不肯定不明确的网络责任范围;换而言之,当 法院认为相关保单并没有明确规定或排除特定网络责任范围时,从而判决保险公司胜诉时, “沉默”网络责任范围就是导致这一结
42、果背后的因素。当因网络风险而造成的损失首次出现 时,保险公司并没有将网络风险添加在�����其财产保险和一般责任保险等传统保单的责任范围中。 当大众意识到网络风险的严峻性时,一些保险公司仍然选择将网络风险排除在其新标准保单 和续约保单之外,或对其做出限制。不过在被保险人缴纳额外保费的情况下,保险公司可能 会在传统保单的基础上对网络风险进行承保,这一做法虽�������然仍不常见,但正在快速发展。34 例如,直到 2016 年 12 月,美国财政部才明确将独立的网络责任保险保单归类为“网络责任 保单”(而不是将其在职业责任保险中进行除外),以达到用于国家监管的目的,并被列入 恐怖主义风险保险计划中。35 如上述情景和案
43、例引用中所述,对网络风险的�����保障可以在其他非特定的网络安全保单中找到, 例如犯罪防护保险可以保障资金转移 / 社会工程等风险、商业综合责任保险可以保障第三方 有形财产损失和人身伤害,及绑架和勒索保险可以对勒索软件有关的网络勒索提供保障。上 述损失的保障数据非常重要,因为考虑到如今大量的聚合 / 相关 / 系统风险模型被用于计算 网络袭击的最坏情况(例如最近的 A.M. Best/Guidewire 研究),但是这些计算模拟并不包 含非网络保险下的潜在网络责任范围(即“沉默网络责任范围”)。36 2018 年 A.M. Best/ Guidewire 压力测试中引用了 Lloyd 2017 年�������新兴
44、风险报告中描述的两种情景:在一个场景中, 众多云服务的客户服务器发生故障,并导致大规模的服务和业务中断;在另一个场景中,一 款常见的软件应用程序受到攻击,并在全球范围内被滥用。 现代制造系统。37 工业 4.0 驱动的操作之间的互联性(如工业控制系统相关的运营)与工业 物联网(IoT)设备部署不断升级,让更多业务暴露在网络风险之下,因此,制造商必须要提 供更为全面的����网络保护。38 出于商业原因,大多数制造商不会对安全访问控制进行大量投资。一些控制可以中断甚至隔 离对精益生产线和数字供应链流程至关重要的制造系统。但是,对于那些考虑纳入网络责任 保险范围的财产和一般责任 / 产品责任保险承保人,他
45、们希望了解互联系统的网络可见性和 实时监控,因为这对于识别攻击制造基础设施者早期行为的迹象起着重要作用。企业的资源 有限,但风险、威胁和攻击者却无穷无尽。在满足了各种保险对的最低网络弹性的要求后, 制造商可以选择增加保险的保障,�����以保护其资产负债表免受网络相关损失。网络保险仍将是 企业整体安全态势的����重要组成部分。 34. 例如,安联集团于 2018 年 11 月宣布:考虑到多方面因素,集团打算将网络相关的有形财产损失和人身伤害损失从独立网络保险转移 到传统的财产和伤亡保单中。AIG 已经允许在增加附加保险费的情况下,在财产、伤亡或独立的网络政策中为被保险人提供某些适用的 网络风险投保。 35.
46、美国财政部使独立的网络保险政策更具有价值: 36. 网络保险公司可能会因为某一单一事件中损失 119的保单持有人盈余报告:https:/independent.ng/cyber-insurers-may-lose-119- of-policyholders-surplus- in-single-event-report / “但是,该报告还为考虑到这些公司的“隐性网络责任范围”。A.M. Best 警告道,这 些“隐性网络责任范围”也非常重要。 37. 威胁列表:工业控制系统攻击的崛起,https:/ 38. 工业物联网增加全球网络攻击的风险:https:/ 14 新兴市场中的网络����风险 虽然一
47、些商业财产保险可能承保一些如因计算机病毒造成的损失,但一般保险范围提供的 保护是有限的,47因为这些保单只能在数据明确遭到物理性损坏时才能赔付。48一般责任 保险保单通常仅承保人身伤害或有形财产,以及被保险人因发布侵犯个人隐私权的内容而 产生的责任。对于计算机犯罪防护保险这类产品,它们有时会被认为是针对网络索赔的保 险,但是通常不承保因机密信息被盗而产生的直接或间接损失,任何其他间接损失以及潜 在收入损失,包括但不限于利息和股息。 为了明确这些模糊的保险范围,从而最大限度为网络安全风险提 供保障,我们提供以下几种选择: 获得不排除网络或专业服务保险内容的一般责������任保险单(即使需要支付额外费用以获
48、 得确切的网络风险保障)。否则,应确保排除内容的范围较窄(或包括保回条款)才 可以接受。 。 对于专业和商业服务公司组织(或提供有形产品之外的服务和信息等的实体),须 购买包含下列内容的职业责任保险单:1)对被承保的专业服务的定义要足够广泛, 2)对或有的身体������伤害 / 财产损失提供保障,3)扩展承保公司处理网络安全事件(包 括但不限于业务中断和网络勒索)的成本。 无论规模大小、所属行业、或所在何地的公司都应考虑安排对网络事故导致业务中断 的保障条款。 由于多种保险保单可能适用于同一网络事件,因此必须以一致的方式起草所有保单中的 “其他保险”条款,从而确保保险范围应用的顺序能够清晰准确,并最大限度地扩大覆盖 范围。例如,我们通常建议将网络保单的第一方保险,特别是对事故发生时费用的保障作 为基础层保险(即第一时间响应及赔付),并将职业责任保单视为超赔层保险(即在网络 保单赔付之后后作出赔付)。这样可使得网络保险承保公司能够将其专业知识运用到网络 事件中去,并为被保险人提供相应资源,以减少甚至防止职业
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产开发
传统产业
全球化
其它
扫码登录
手机快捷登录
账号登录
