【庖丁篇】— 刊于《经济日报》,2024年5月2日
网络保险管理风险 安全与金融同受惠
许佳龙
科大商学院信息、商业统计及营运学系讲座教授、
艾礼文家族商学教授
近年,网络犯罪层出不穷,令更多机构面对数据泄漏、勒索程序及其他网络保安事故的风险,数码港去年8月便曾遭黑客入侵盗取大量数据进行勒索。如何纾解与日俱增的网络安全风险?机构如何对防不胜防的网络攻击损失减至最低?这是一个愈来愈有迫切需要解决的问题。
2013年12月,美国第二大连锁商塔吉特( Target)遭黑客入侵,被盗取了该公司4000万名顾客的信用卡资料。事发后,该公司对数据外泄事故处理失当,引发「公关危机」,公司声誉严重受创,损失惨重。
资料外泄的不同结局
2019年夏季,美国信用卡发卡机构 「第一资本金融公司」(Capital One)遭黑客入侵,逾 1亿名客户的资料外泄,新闻轰动一时。事发后,第一资本金融公司迅速检测出网络漏洞,从而能够迅速作出有效响应,在获得客户与法律的支持,以及网络保险赔偿后,使公司的损失减至最低,有估计约为1亿美元。
两宗事故的结果反映,网络安全风险事前防范固然十分重要,但事后的「风险缓解」(ex post risk mitigation)同样重要。所谓风险缓解是指通过风险管控措施,来降低风险的损失率或影响程度。诚然,事后风险缓解的措施努力,有助减少公司的损失(第一资本金融公司的案例可资证明)。笔者最近发表的一篇研究论文,讨论了近年兴起的「网络事故保险」(cyber insurance),以及公司事前风险预防与事后应变以缓解风险的相互作用,得出了一些很有趣,并且也对整个网络安全生态系统设计产生影响的重要研究发现。
网络事故保险不易定价
「网络事故保险」同一般的传统保险业务有别。对于传统的保险,精算师可以评估到保险服务内容的风险有多大?保险公司可承担和支出的赔偿金额又有多少等要项。但由于网络保险的事故层出不穷,黑客的入侵手段也推陈出新,事故的性质也可以千变万化,所以风险有多大很难估计,从而也不容易为提供保险的收费进行定价(pricing)。保险公司可能会为自身承保的赔偿额作出上限,而非按受保公司的实际损失,作为计算赔偿金额的基础。以传统的医疗保险为例,若投保人患了致命重病甚或死亡,保险公司会全额赔偿。基于网络事故引起企业的损失可能很巨大;加上风险的变化和程度充满不确定性,目前不是所有保险公司都承保网络事故风险。
不过,「网络事故保险」其实有相当大的价值,而且还有一个「无意的效果」,(unintended effect),对完善网络保安的工作起正面作用,值得保险业界和网络保安业界的各持份者重视。这一点下文详述。
应变规划不可忽视
「网络事故保险」与传统保险还有一些区别。传统保险的投保人在投保之后,再没有什么事可办,若不幸发生意外或事故,只需向承保的保险公司申请赔偿。但「网络事故保险」的投保机构投保之后,出现的后果还视乎遭网络攻击的受害人采取行动或反应措施,去减低攻击的伤害或损失而定出。譬如,有公司遭黑客以分布式阻断服务 (DDoS)的网络攻击,如果受攻击的公司什么也不做,势必导致公司整个网络服务系统崩溃。不过,若公司愿意付出一些代价/成本,去做好侦测或阻截攻击的反应计划或措施,事故发生后实时应变——这种「风险缓解」行动,便可令损失减少。这一点,是与传统保险业务不同。譬如,投保了汽车保险的人,一旦发生汽车事故,当事人并不需要采取什么「后续行动」。
「道德风险」难以回避
事实上,很多公司在管理网络安全风险时,常常忽略了事故后「风险缓解」合理规划的重要性。根据 Ponemon Institute 和 IBM在 2018 年进行的一项全球调查,77% 的公司缺乏响应计划。这种情形对完善网络保安工作实在不理想。
笔者研究「网络事故保险」投保者在风险预防、风险缓解和风险转移(透过网络保险)决策的行为和相互影响。走笔至此先补充一点说明,投保了传统保险业务的人,往往会出现一个经济学上的「道德风险 」(Moral Hazard)现象,亦即当投保人不用负担产生风险的全部成本时,将会造成诱因,使其漫不经心增加曝露在风险的程度,譬如投保了汽车保险,对意外防范有所弱化,使投保人的「飞车驾驶」行为有增无减。
同样地,研究结果显示,投保了「网络事故保险」的人,投保之后,同样出现「事前道德风险」(ex ante moral hazard)现象,亦即「网络保险」,使投保者降低了预期风险的预防,对网络入侵风险的预防工作有所怠慢以至疏忽,致加剧了事前道德风险。
事后风险缓解效果微妙
值得再次强调,当网络事故发生后,最终的事故后果还视乎遭攻击受害人采取什么行动或反应措施来决定。如果什么也不做,后果当然极其严重,甚至导致公司的服务器系统彻底崩溃,网络服务全面停顿,公司的损失无法衡量;如果反应及时,早有响应事故的风险管理规划,有效应变,公司的损失亦可以有效减少。就像美国第二大连锁商塔吉特与第一资本金融公司出事的后果各有差异之别。
是以在网络保险中一些合同,会把公司事故后应变行动的成本,计入赔偿金额之中。遭攻击的受害方可以向保险公司申请索偿。
网络保险的 「三赢效果」
笔者的研究发现,投了网络保险的人,在利益诱因下,会增加对预期「风险缓解」的努力,甚至有应变事故后的保安规划。这个事后「风险缓解」措施努力,不仅对保险公司产生正面的效益,亦有助激励那些受潜在网络攻击的公司适当地分配其资源,以最大化其自身的资产财富和减少损失。可以说,网络保险这种「三赢」(投保公司、下游客户、保险公司)局面所形成的「意想不到效果」,很好地证明「网络保险」作为网络安全风险管理的有效措施。
目前,「网络保险」的业务发展予人乐观憧憬。据 GlobalData 估计,全球网络安全的支出,预计将从 2020 年的 1,255 亿美元增至 2025 年的 1,980 亿美元。Verified Market Research 估计,2019 年全球网络保险市场估值为 59.5 亿美元,预计到 2027 年将达到 324.7 亿美元,2020 年至 2027 年年增长率为 23.76%,前景可观。
目前,网络保险不仅成为一种替代性的网络风险管理有效措施,而且香港要发展网络金融,巩固香港作为国际领先金融中心的地位,网络保险的发展机遇实在不容错过!