【庖丁篇】— 刊於《經濟日報》,202452

網絡保險管理風險 安全與金融同受惠

許佳龍

科大商學院資訊、商業統計及營運學系講座教授、

艾禮文家族商學教授

近年,網絡犯罪層出不窮,令更多機構面對資料洩漏、勒索程式及其他網絡保安事故的風險,數碼港去年8月便曾遭黑客入侵盜取大量資料進行勒索。如何紓解與日俱增的網絡安全風險?機構如何對防不勝防的網絡攻擊損失減至最低?這是一個愈來愈有迫切需要解決的問題。

201312月,美國第二大連鎖商塔吉特( Target)遭黑客入侵,被盗取了該公司4000萬名顧客的信用卡資料。事發後,該公司對資料外洩事故處理失當,引發「公關危機」,公司聲譽嚴重受創,損失慘重。

資料外洩的不同結局

2019年夏季,美國信用卡發卡機構 「第一資本金融公司」(Capital One)遭黑客入侵,逾 1億名客戶的資料外洩,新聞轟動一時。事發後,第一資本金融公司迅速檢測出網絡漏洞,從而能夠迅速作出有效回應,在獲得客戶與法律的支援,以及網絡保險賠償後,使公司的損失減至最低,有估計約為1億美元。

兩宗事故的結果反映,網絡安全風險事前防範固然十分重要,但事後的「風險緩解」(ex post risk mitigation)同樣重要。所謂風險緩解是指通過風險管控措施,來降低風險的損失率或影響程度。誠然,事後風險緩解的措施努力,有助減少公司的損失(第一資本金融公司的案例可資証明)。筆者最近發表的一篇研究論文,討論了近年興起的「網絡事故保險」(cyber insurance),以及公司事前風險預防與事後應變以緩解風險的相互作用,得出了一些很有趣,並且也對整個網絡安全生態系統設計產生影響的重要研究發現。

網絡事故保險不易定價

「網絡事故保險」同一般的傳統保險業務有別。對於傳統的保險,精算師可以評估到保險服務內容的風險有多大?保險公司可承擔和支出的賠償金額又有多少等要項。但由於網絡保險的事故層出不窮,黑客的入侵手段也推陳出新,事故的性質也可以千變萬化,所以風險有多大很難估計,從而也不容易為提供保險的收費進行定價(pricing)。保險公司可能會為自身承保的賠償額作出上限,而非按受保公司的實際損失,作為計算賠償金額的基礎。以傳統的醫療保險為例,若投保人患了致命重病甚或死亡,保險公司會全額賠償。基於網絡事故引起企業的損失可能很巨大;加上風險的變化和程度充滿不確定性,目前不是所有保險公司都承保網絡事故風險。

不過,「網絡事故保險」其實有相當大的價值,而且還有一個「無意的效果」,(unintended effect),對完善網絡保安的工作起正面作用,值得保險業界和網絡保安業界的各持份者重視。這一點下文詳述。

應變規劃不可忽視

「網絡事故保險」與傳統保險還有一些區別。傳統保險的投保人在投保之後,再沒有什麼事可辦,若不幸發生意外或事故,只需向承保的保險公司申請賠償。但「網絡事故保險」的投保機構投保之後,出現的後果還視乎遭網絡攻擊的受害人採取行動或反應措施,去減低攻擊的傷害或損失而定出。譬如,有公司遭黑客以分散式阻斷服務 (DDoS)的網絡攻擊,如果受攻擊的公司什麼也不做,勢必導致公司整個網絡服務系統崩潰。不過,若公司願意付出一些代價/成本,去做好偵測或阻截攻擊的反應計劃或措施,事故發生後即時應變——這種「風險緩解」行動,便可令損失減少。這一點,是與傳統保險業務不同。譬如,投保了汽車保險的人,一旦發生汽車事故,當事人並不需要採取什麼「後續行動」。

「道德風險」難以迴避

事實上,很多公司在管理網路安全風險時,常常忽略了事故後「風險緩解」合理規劃的重要性。根據 Ponemon Institute IBM 2018 年進行的一項全球調查,77% 的公司缺乏回應計畫。這種情形對完善網絡保安工作實在不理想。

筆者研究「網絡事故保險」投保者在風險預防、風險緩解和風險轉移(透過網路保險)決策的行為和相互影響。走筆至此先補充一點說明,投保了傳統保險業務的人,往往會出現一個經濟學上的「道德風險 」(Moral Hazard)現象,亦即當投保人不用負擔產生風險的全部成本時,將會造成誘因,使其漫不經心增加曝露在風險的程度,譬如投保了汽車保險,對意外防範有所弱化,使投保人的「飛車駕駛」行為有增無減。

同樣地,研究結果顯示,投保了「網絡事故保險」的人,投保之後,同樣出現「事前道德風險」ex ante moral hazard現象,亦即「網絡保險」,使投保者降低了預期風險的預防,對網絡入侵風險的預防工作有所怠慢以至疏忽,致加劇了事前道德風險。

事後風險緩解效果微妙

值得再次強調,當網絡事故發生後,最終的事故後果還視乎遭攻擊受害人採取什麼行動或反應措施來決定。如果什麼也不做,後果當然極其嚴重,甚至導致公司的伺服器系統徹底崩潰,網絡服務全面停頓,公司的損失無法衡量;如果反應及時,早有回應事故的風險管理規劃,有效應變,公司的損失亦可以有效減少。就像美國第二大連鎖商塔吉特與第一資本金融公司出事的後果各有差異之別。

是以在網絡保險中一些合同,會把公司事故後應變行動的成本,計入賠償金額之中。遭攻擊的受害方可以向保險公司申請索償。

網絡保險的 「三贏效果」

筆者的研究發現,投了網絡保險的人,在利益誘因下,會增加對預期「風險緩解」的努力,甚至有應變事故後的保安規劃。這個事後「風險緩解」措施努力,不僅對保險公司產生正面的效益,亦有助激勵那些受潛在網絡攻擊的公司適當地分配其資源,以最大化其自身的資產財富和減少損失。可以說,網絡保險這種「三贏」(投保公司、下游客戶、保險公司)局面所形成的「意想不到效果」,很好地證明「網路保險」作為網路安全風險管理的有效措施。

目前,「網路保險」的業務發展予人樂觀憧憬。 GlobalData 估計,全球網路安全的支出,預計將從 2020 年的 1,255 億美元增至 2025 年的 1,980 億美元。Verified Market Research 估計,2019 年全球網路保險市場估值為 59.5 億美元,預計到 2027 年將達到 324.7 億美元,2020 年至 2027 年年增長率為 23.76%,前景可觀。

目前,網路保險不僅成為一種替代性的網絡風險管理有效措施,而且香港要發展網絡金融,鞏固香港作為國際領先金融中心的地位,網絡保險的發展機遇實在不容錯過!

Read Article