前言
2024年已离去,在这一年中全球网络保险市场随着市场环境、事件驱动以及技术变革而产生诸多变化,这些变化对整个行业产生了哪些影响?随着2025年的到来,在新的一年里全球网络保险市场又将发生哪些值得关注的变化?本文将从个人视角详细对全球网络保险市场进行回顾和预测。
一 全球网络保险回顾
1.1 网络保险价格的情况
图1:全球网络保险定价趋势(来源:Howden Group[1])
2021 年和 2022 年,全球网络保险费成本急剧上升,其中,2022年,保险费增长了 50%,主要原因是勒索软件相关索赔激增,给保险公司带来了压力并威胁到市场的生存能力。2023年全年,网络保险费率平均下降了17%,2024年和2023年相比继续保持了小幅放缓的节奏。
全球保费小幅下降的主要原因包括以下四点:
- 网络保险市场有更多的承保机构加入,同时一些中小竞争对手快速成长。
- 受全球经济的增速不振的影响,更多的机构客户对于网络安全的投资预算日益谨慎。
- 受勒索病毒以及生成式AI提升网络攻击威胁面的影响,保险公司对机构客户提出了更为严格的承保审核条件,一些安全建设欠佳的中小企业甚至连得到报价的机会都没有。某种程度上也降低了市场中对于采购网络保险的期望。
- 企业开展了更多的安全实践,在进一步提升和完善自身网络安全防御体系同时,一方面降低了网络保险的采购金额。另一方面,良好的实践导致索赔情况的降低,为承保机构提供了保费下调的空间。
1.2 网络保险内容的情况
网络保险的承保类别没有大的变化,依旧可分为商业企业保险(该保险类别可进一步细分为第一方保险和第三方保险)和个人保险。随着勒索病毒造成的巨额损失以及一些带有政治因素的攻击事件(典型的例子是NotPetya,它一直被西方认为是来自俄罗斯官方背景的网络攻击)导致保险公司遭受重大利益损失,一些保险公司对一些数额巨大的索赔进行了拒付并产生了法律纠纷,而很多保险公司则对承保的内容进行了修改或提高了相应的保费。
根据国外451研究机构 [2] 的数据,网络保险可能会导致勒索软件攻击的增加。随着越来越多的机构客户购买网络保单,他们越来越愿意支付赎金,因为保险会承保他们。反过来,黑客会受到鼓励,不断索要赎金。一种新的勒索软件 HardBit 甚至要求受害者分享其网络保单的详细信息,以便黑客可以计算保单可能涵盖的赎金。
在拒绝赔付方面有两个典型的例子。2017年6月27日,NotPetya恶意程序摧毁了著名零食公司 Mondalez International网络中的 24,000台笔记本电脑和1,700台服务器。当该公司向其保险公司苏黎世美国保险公司 (Zurich American Insurance)提出1.88亿美元的网络保险索赔时,苏黎世美国保险公司拒绝了赔付要求并声称NotPetya 属于他们对“敌对或好战”行为的定义。于是2018年Mondalez 公司向苏黎世美国保险公司提起诉讼,双方最终在2022年底达成了和解,但双方未公布具体和解内容。另外一个案例是制药巨头默克与其保险公司 ACE 美国保险公司之间诉讼,默克公司起诉保险公司要求赔偿与 NotPetya 相关的损害赔偿。在2022年1月,美国新泽西州高等法院裁定,战争除外责任仅适用于更传统的实体武装部队,并命令保险公司向默克公司支付 14 亿美元[3]。
2022年,Lloyd's of London (伦敦劳合社)的保险单将停止承保某些民族国家网络攻击和战争期间发生的攻击造成的损失。在发给该公司 76个保险机构的一份备忘录中,承保总监 Tony Chaudhry 表示,劳合社仍然“强烈支持”网络攻击保险。然而,随着这些威胁的持续增长,它们可能会“使市场面临集团可能难以管理的系统性风险,”他补充道并指出民族国家支持的攻击覆盖成本特别高。正因为如此,Tony Chaudhry在备忘录里要求所有独立的网络攻击保单都必须包括“适当的条款,排除对任何国家支持的网络攻击造成的损失责任”。这些变更将于2023年3月31日每份保单生效或续保时生效[4]。另外,保险公司 AXA 已停止为在法国签发的保单承保勒索软件付款。
除了以上针对勒索病毒的承保变化外,还有其它的一些变化需要计划购买网络保险的机构特别留意。未来越来越多的保险公司将不会为以下情况进行付费。
- 第三方违规:当供应商和其他合作伙伴遭到入侵时,公司的数据可能会被盗或服务中断。常规的网络保险并不总是支付这些损失,而市场上一些保险公司可提供第三方泄露保险,但需要额外付费。
- 社会工程:由于网络钓鱼等社会工程攻击会欺骗和操纵员工从内部破坏网络安全,因此保险公司的承保策略也不总是涵盖这些损失。如需提供社会工程保险通常需要支付额外的费用才能获得。
- 内部威胁:由内部威胁(如恶意或疏忽的员工)造成的损失很少得到保障。
- 国家支持的攻击:许多承保政策将这些攻击视为战争行为,不会涵盖它们。
- 利用已知漏洞的网络攻击:如果黑客利用了公司知道但未修复的漏洞,许多网络保单将拒绝该索赔。
- 非网络攻击引起的网络故障:大多数承保计划不涵盖由错误配置和其他内部错误导致的中断
- 监管处罚:因违规而导致的监管罚款,有些保险公司提供此类保险,但需额外付费。
1.3 网络保险索赔的情况
根据 NetDiligence 最近的一份报告,事件响应是索赔中最大的成本。勒索软件一直是保险公司最大的损失媒介,其赔付额已超过保费的 70%[5]。
另据来自Databarracks公司 的数据健康检查报告[6](对 500 名英国 IT 决策者的年度调查)发现,虽然拥有网络保险的组织比以往任何时候都多,但索赔数量却在下降。三分之二 (66%) 的受访者表示,到 2024 年将有专门的网络保险,高于过去两年的 51%。尽管越来越多的组织计划购买保单,但2024年只有 36% 的组织提出索赔,低于 2022 年的 58%。前几年,大多数组织选择在发生攻击时付款,但2024年能够从备份中恢复数据而不是满足勒索软件组织需求的组织数量增加了一倍。组织对其网络保险单的索赔金额也有所下降,超过 100 万英镑的索赔从 48% 下降到 2024 年的 16%。从索赔赔付的角度看,根据国外网安公司 Delinea 的 2023 年网络保险状况报告[7],基于对 300 多家组织的调查,可能使保险无效或索赔被拒绝或减少的除外责任清单正在增加。拒赔的主要因素包括缺乏安全措施、人为错误、战争行为以及未遵循适当的合规程序。其中缺乏安全措施是小型组织索赔被拒绝的首要原因 (40%),而人为错误是大型组织索赔被拒绝的首要原因(48%)。
图2:组织索赔被拒的主要原因(来源:Delinea 的 2023 年网络保险状况报告)
尽管有索赔被拒的情况,但购买了网络保险的机构在发生网络安全事故时,的确能够得到保险产品的有效支撑。来自NetDiligence 2024年网络索赔研究报告[8]对过去四年中 10,464 起网络索赔的信息(其中近 5,000 起是在 2023 年提交的)进行了统计分析。根据该报告显示,保险机构已支付 40 亿美元的索赔,其中 400 多起索赔的损失超过100万美元。中间市场企业的勒索软件导致的损失平均每次事件约为500,000美元,而大型企业的损失数字则处于惊人的八位数损失范围内。其间危机成本(包括聘请律师帮助处理事件、寻找数字取证事件响应公司 [DFIR] 以及处理公共关系、负责通知和信用监控的专家费用)平均约占费用的 52%。
图3:平均安全事件损失及平均赔付情况(来源:Netdiligence Cyber Claims Study 2024 Report)
另据全球保险公司QBE发布的 2024年网络保险报告中显示绝大多数受访者证实,他们的保险公司能在他们需要的时候为他们提供支持,包括快速的索赔处理、高效响应以及专注的卓越服务。只有6%的受访者认为保险公司没有满足他们的需求,其余人群要么满意(47.8%) 要么没有理赔经验(46.1%)。
图4:客户满意程度调查(来源:QBE 2024 Cyber Insurance Report[9])
1.4 网络保险市场增长的情况
与网络安全行业的发展类似,网络保险市场的快速发展也得力于安全事件和监管法规的颁布。随着NotPetya 等威胁事件和欧盟通过GDPR等监管要求,自 2015 年以来,网络保险费增长了近 25 倍[10]。2022年3月,美国《关键基础设施网络事件报告法案》(CIRCIA)签署成为法律。它将要求关键基础设施公司向网络安全和基础设施安全局(CISA)报告网络安全事件。此外,美国证券交易委员会(SEC)于2022年3月提出了一项规则,要求上市公司报告网络安全事件、其网络安全能力以及董事会的网络安全专业知识和监督。以上两个法规要求在一定程度上促进了美国网络保险市场的增长。
根据 Fortune Business Insights的研究,从2023年到2024年,全球网络保险市场将从 166.6亿美元增长到 210亿美元。
在市场占有率方面,来自Insuramore公司的研究报告显示,全球网络保险市场中,按合并组进行分析,全球网络保险市场排名前 100 位的保险公司(承保人)占该类别全球总直接保费的 97.8%。
图5:世界排名前100的网络保险公司全球分布图(资料来源:Insuramoure[11])
该研究报告还显示到 2023 年底,超过 220 家保险公司集团直接承保网络风险,高于一年前的 180 多家。全球网络保险总直接保费(GDPW)排名前 5 的保险公司如下表所示
来源:Insuramoure[11]
在市场渗透率方面,根据世界经济论坛的数据显示,截至2023年,收入超过55亿美元的大型组织中拥有网络保险的组织比例约在75%,员工数大于100000人的大型组织中拥有网络保险的组织比例约在85%,收入小于2.5亿美元的中型组织中拥有网络保险的比例约在25%,员工数小于250人的中型组织中拥有网络保险的组织比例约在21%。
图6:2023年全球拥有网络保险的组织份额(来源:世界经济论坛[12])
1.5 国内网络保险市场的发展情况
网络安全保险(注:国外称为网络保险,国内称为网络安全保险)作为保障网络安全的一种手段和服务模式,近年来得到了国家层面的重视。早在2019年9月,工信部发布《关于促进网络安全产业发展的指导意见》(征求意见稿)中就明确指出,“积极创新网络安全服务模式”,鼓励网络安全企业由提供安全产品向提供安全服务和解决方案转变,探索开展网络安全保险服务。2021年7月,工信部发布《网络安全产业高质量发展三年行动计划》(2021-2023 年)(征求意见稿),其中指出:“探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。” 2023年2月,全国财产保险监管工作会议指出要积极发展网络安全保险。2023年7月,工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》,为网络安全保险市场规范健康发展提供了明确指导。2023年12月,工业和信息化部组织开展网络安全保险试点工作,鼓励各地加速推进这一新型保险模式的应用实践。
根据笔者统计,截至2024年12月27日,我国共有44家保险公司备案了311款网络安全保险产品(具体详见附录)。在已备案的网络安全保险险种中,除了标普类网络安全保险产品外,也看到了一些针对性较强的独特产品。例如中国人民财产保险股份有限公司的“中国人民财产保险股份有限公司网络安全责任保险附加网络欺诈损失或社会工程学犯罪损失保险”,中国太平洋财产保险股份有限公司的“中国太平洋财产保险股份有限公司企业网络保险附加董事、高管责任除外保险”,中国人寿财产保险股份有限公司的“中国人寿财产保险股份有限公司网络安全责任保险附加媒体公关费用保险条款”。
从市场规模看,根据中国工业信息安全发展研究中心研究表明,2021年我国网络安全保险保费规模大约为7080万元,2022年,我国网络安全保险保费规模1.4亿元。根据《网络安全保险研究报告(2023年)》的数据,2023年我国网络安全保费规模约为2.3亿元,较2022年增长了64.3%,保持了高速增长的态势。京东安联保险AGCS金融险部网络安全风险负责人在一次访谈中表示,目前国内市场投保网安险的企业多以外资企业在华分支机构、中外合资企业为主。主动购买网安险的国内企业仍以合同驱动为主,本土企业投保意愿总体不强[13]。总体来看,我国网络安全保险市场规模并不大,市场渗透率也非常低。从理赔角度来看,公开数据显示,2023年我国整个网络安全保险的赔付率预计为20%,低于国外机构的赔付率。我国的网络保险市场仍处于初步发展阶段,但随着国家政策的进一步利好,国内经济环境向好以及网安行业的增长恢复,该市场依然可期。就在2024年12月,人保财险签发了全国首单金额高达500万元的发电企业“网络安全综合保险”,为中国华电集团下属云南某新能源发电企业提供网络安全风险保障。
二 全球网络保险预测
2.1 网络保险市场增长预期
针对全球网络保险市场,多个保险集团针对全球网络保险市场均给出了乐观的预测。慕尼黑再保险公司估计到 2027 年将增加到 290 亿美元左右。Howden集团预测2030年全球保险市场将达到550亿美元左右的规模。综合看来,网络市场在一定程度上仍然是增长最快的保险领域。过去十年的该领域的年化增长率为 30%,未来预测期内的复合年增长率为 24.5%。与之相比,受众面更广泛的财产和意外险行业的年化百分比范围仅为个位数。
图7:全球网络保险市场预测(来源:慕尼黑再保险公司[14])
图8:到2030年网络保险和再保险市场的增长潜力(资料来源:Howden(豪顿)[15])
2.2 网络保险市场的价格预测
2025年全球网络保险市场的定价预计仍将存在5%-7%的降幅。以下几个因素将影响到定价的降幅。
l 其一,网络保险作为高增长率的细分赛道,未来将有更多的保险公司和再保险公司进入该赛道。
l 其二,为了增加收入,部分保险公司将放宽承保价格。
l 其三,保险公司将根据中小企业的情况开发和定制更多灵活和个性化的特定保单。
l 其四,AI技术和相关工具的使用使得保险公司可以更为准确的评估和监测潜在客户网络安全风险,进而降低保费。
虽然保费的降低对于机构客户而言是一个好消息,但是,值得注意的是,一些宽松的承保规则必然会导致松散的网络保险实践。这意味着机构客户和承保机构之间将需要更好的沟通和对话,以加深了解彼此之间的需求和提供的保险承诺。
2.3 对网络保险市场发展的影响因素
在笔者看来未来2025年将有五类因素对全球网络保险市场的发展有重要的影响。
l 全球地缘政治环境持续动荡,来自地缘政治冲突的潜在网络安全冲击依旧不可忽视,这类网络安全冲击从过往历史看对网络保险市场将带来显著的影响。
l 生成式AI对承保冲击。随着AI技术的发展,黑客也将AI技术应用于恶意攻击领域,例如基于AI和大型语言模型(如WormGPT 等新的恶意工具)将可实施更精准化和更拟人化的钓鱼攻击;深度伪造技术将更容易的实施金融欺诈;勒索即服务攻击(RaaS)将实施更加智能化、自动化和高效化的攻击。这些攻击无疑扩大了攻击面,攻击也更容易得手。保险机构将不得不更多的考虑承保的风险。
l 前几年发生针对大型公司的著名网络攻击事件由于影响巨大,导致各国政府加大了对网络犯罪集团的打击, 2023年有多个国际网络犯罪组织遭到沉重打击而解体,部分勒索赎金也被追回。因此网络犯罪分子有可能将更多的考虑法律上风险而将部分目光转向中小型机构客户。在此压力下,更多的中小型机构客户有可能会更积极的进行投保。
l 有鉴于勒索攻击、商业电子邮件泄露(BEC)、欺诈性资金转账 (FFT)、供应链事件的广泛性和严重性以及给保险公司带来高额损失,保险公司将更为关注潜在客户的系统性风险,将会开展更加严格、更加深入和更加复杂的承保前问询和网络安全评估,一些网络安全建设投入不足的中小企业将有可能被阻挡在外。
l 考虑到一些索赔被拒的案例,在未能得到更多信息披露的情况下,将可能动摇潜在机构客户的投保信心。
l 在数据安全领域,机构客户可能会更多的将数据安全灾备投入与网络保险投入二者之间进行比较。这不仅仅是费用上的投入比较,也包含事后数据恢复的时效性以及等待恢复期间发生的持续损失。
2.4 国内网络保险市场的预测
正如前面提到,我国网络保险市场目前仍处于市场发展初期,从市场规模来看,据中国信息通信研究院预计,到2025年,中国网络安全保险市场规模将达到5亿元人民币左右。国内网络保险市场从目前来看还主要存在以下市场发展阻力:
l 国内机构客户对网络保险了解不多;
l 国内保险公司保险品类还不丰富,承保条款也比较模糊;
l 国内保险产品缺乏历史数据的积累,在产品定价、保前风险评估、保后定损方面缺乏可参考和可训练的数据;
l 拥有自有保险科技公司的机构不多,很多保险公司在承保整个流程中需要第三方技术的支持(主要为保前评估、保中监测以及保后定损),但此类合作目前看不尽人意;
l 除个别行业外,国内网络安全处罚力度相比国外监管而言力度不足,企业网络安全投保意愿薄弱;
l 保险公司营销人员对网络安全领域知识了解贫乏,营销推广乏力。再加上赔付案例的缺乏,相关信息披露的不足,进一步削弱了企业投保的意愿;
尽管存在上述的问题,但我们需要看到越来越多的国内保险机构加入到这个市场,产品的种类和数量也日益丰富。一些大型保险机构也积极创新,利用自身技术优势优化产品降低承保风险。例如2024年10月人保财险联合专业的网络安全风险管理服务机构,研发网络安全保险风险定价模型。该模型集成了超过200项的测评指标,可全面衡量企业的风险水平,并制定出合理的保险价格[16]。未来,随着我国数字经济的高速发展,网络安全需求的进一步释放,我国的网络保险市场将会步入一个快车道,前景可期。
图9:人保财险安全保险风险定价模型(来源:金融界咨询[16])
结束语
随着勒索软件活动的持续、新法规的持续发布、机器学习以及被用于或针对机构客户的 AI 技术发展,越来越多的机构客户将积极寻求包括网络保险在的安全措施以应对上述网络安全风险。在充满机遇和发展前景良好的情况下,保险公司仍需要紧密关注机构客户的需求,提供覆盖丰富场景的保险产品并有效的展示其带来的价值,与客户一起建立抵御网络安全风险的弹性防线。
参考文献
[1] https://www.howdengroupholdings.com/reports/2024-cyber-report
[2] https://sso.451research.com/module.php/core/loginuserpass.php?AuthState=_7f9c09544c49282178b1b0c6085558a30ad75e4148%3Ahttps%3A%2F%2Fsso.451research.com%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dpi_middleware.production%26RelayState%3Dhttps%253A%252F%252Faccess.451research.com%252Flogin-success%253Freturn_url%253D%252Fchapters%252F201316%252FOtherRiskMitigations%253FsearchHighlight%253Dcyber%252520insurance%26cookieTime%3D1734941510
[3] https://www.csoonline.com/article/574013/mondelez-and-zurich-s-notpetya-cyber-attack-insurance-settlement-leaves-behind-no-legal-precedent.html
[4] https://www.theregister.com/2022/08/24/lloyds_cybersecurity_insurance/
[5] https://www.csoonline.com/article/571703/cyber-insurance-explained.html
[6] https://datahealthcheck.databarracks.com/2024/
[7] https://delinea.com/resources/cyber-insurance-report-2023
[8] https://netdiligence.com/wp-content/uploads/2024/09/NetDiligence-Cyber-Claims-Study-2024-Report-1.pdf
[9] https://www.qbe.com/media/qbe/shared/files/2024-cyber-insurance-report.pdf
[10] https://www.csoonline.com/article/3480397/how-cyber-insurance-shapes-risk-ascension-and-the-limits-of-lessons-learned.html
[11] https://beinsure.com/global-ranking-cyber-insurers/
[12] https://www.howdengroupholdings.com/reports/2024-cyber-report
[13] https://baijiahao.baidu.com/s?id=1787652123290902071&wfr=spider&for=pc
[14] https://www.munichre.com/en/insights/cyber/cyber-insurance-risks-and-trends-2024.html
[15] https://www.howdengroup.com/news-insights/howden-predicts-global-cyber-insurance-premiums-could-exceed-usd-50-billion-by-2030
[16] https://insurance.jrj.com.cn/2024/10/25161244470668.shtml
附录:国内网络安全保险产品目录(截至2024年12月27日)
