美国网络安全险的进化史

网络风险的历史

为了了解网络安全险的发展，我们必须先了解网络风险的历史。

风险萌芽期（1970-2000）

20世纪70年代，第一批黑客出现在了美国，其中的代表人物名为约翰·德拉浦（John Draper），他的攻击目标是当时的电话运营商AT&T。德拉浦利用一个玩具哨子朝电话吹哨，模拟出特定频率的音调，骗过AT&T的系统，从而免费获得了拨打长图电话的权限。

1982年，一名年仅15岁的学生创造出了史上第一个计算机病毒Elk Cloner，攻击对象是二代苹果电脑。

到了1985年，花旗集团任命了其史上第一位首席信息安全官，意味着大型商业公司开始注意到了其信息系统所面临的潜在威胁。

到了2002年，FBI成立了其第一个网络案件部门，如今该部门负责的领域已经涵盖网络诈骗、身份窃取、知识产权侵权、网络恐怖主义等基于网络的刑侦事件。

银行卡时代（2000-2010）

Tren Micro和美国特勤局联合曾联合编写了一份研究报告，报告中对网络犯罪的发展进行了总结。在21世纪的头十年里，组织松散的网络犯罪团体通过偷窃并倒卖银行卡数据，攫取了大量的财富，报告称，这些数据被倒卖到了俄罗斯犯罪团伙手上，团伙们转而将这些信息用于洗黑钱等不法业务。那段时期也别称为网络犯罪的“银行卡时代”。

网络犯罪团伙最开始的目标是电商、零售以及支付公司等拥有大量金融数据的企业。随后又将犯罪触角伸向了其他实业制造公司。

数据泄露大年（2011）

索尼等大型企业在2011年也陆续成为了网络犯罪的攻击目标，而被攻击后导致的用户数据泄露，也使得受害公司的名誉受损。

这一年，安卓手机系统也遭遇了超过35万次的恶意攻击。越来越多的黑客组织将网络攻击上升到了政治高度，他们通过攻击政府网站来宣扬其不被主流所接受的政治见解。

信息就是钞票（2013）

2013年，网络犯罪团伙开始将个人身份信息作为盗取目标，个人信息成为被直接兜售的产品。个人用户的银行账户、信用卡号、社交信息受到了网络风险的威胁，他们的密码和隐私不经意间就会被暴露。

邮件诈骗（2014）

2014年，出现了一种新型的网络攻击犯罪——邮件诈骗。简单来说，黑客通过侵入企业的邮件系统，通过商业来往邮件了解受害企业的业务概况，并锁定该企业的现有客户。

之后，黑客利用企业邮箱将错误的收款信息发给客户，不知情的客户就会毫无防备地将企业的应收款项打给黑客。

这一年，一家建筑公司因为受到邮件诈骗遭受到了100万美元的损失。

邮件诈骗与一般意义上的网络犯罪不同，这是以网络攻击为工具进行的经济犯罪。

勒索全球用户（2017）

2017年，WannaCry勒索软件挟持了全球范围内的Winows系统，超过20万名来自150个国家的银行、医院、学校深受其害。该勒索软件将受害电脑直接加密锁定，并要求使用者支付一定数额的比特币后才能恢复使用。

虽然在2017年，全球范围内有超过40%的企业经历过网络犯罪的威胁，但大部分企业主还是没有对网络风险给予足够的重视。即使在美国，大部分企业主也认为他们的企业主保险（Businessowners policy, BOP）已经足够应付网络风险了。

事实上，美国的BOP产品，仅限于保障网络风险带来的第三方责任，该产品并不会为营业中断、名誉受损等企业本身遭受到的损失提供保障。此外，BOP的保额一般局限在5-10万美元，并不是很高。

2.

网络安全险的历史

1977年，AIG推出了历史上首份网络安全险。彼时的产品只是一份第三方责任险，承保范围为美国以外地区，也被称为“黑客保险”。

到了2000年，入局网络安全险的保险公司越来越多。为了应对不断升级的网络威胁，保险公司持续地完善保单条款并加入了营业中断、公关协助、系统评估等服务。

2003年，加州政府颁布了第一部有关安全漏洞的法令，如今全美50个州都已经颁布了网络安全相关的法令，要求企业在用户个人信息被泄露时要及时披露和通知用户。

法令中的强制披露要求，使得企业不能在用户信息被泄露后隐瞒不报，因此事前的保障和防护就显得愈发重要了，这也极大地推动了美国网络安全险的发展。

2010年，全美已经有超过50家保险公司提供网络安全险产品，到了2016年，这一数字超过了60。

美国的网络安全险市场中，保费费率一直较为平稳，然而网络风险却在与日俱增，特别是个人信息泄露风险和勒索软件。

据媒体统计，美国个人信息所面临的风险包含以下几类：

邮箱被盗 – 黑客破解了受害者的邮箱，从而可盗取其身份对其同事与合作伙伴进行诈骗；

身份信息 – 如果黑客盗取了用户的身份信息包括身份证号、银行卡号、手机号等，用户的财产将面临极大的风险；

数据倒卖 – 黑客通过攻击公司的数据库，盗取用户的隐私数据；

自动转账 – 一些自动扣款系统如果被黑客攻陷，那用户每个月的固定缴费（比如水电费、会员费等）将被盗取；

电汇转账 – 黑客通过切入银行系统，将用户的电汇转账重新定向到了第三方账户。

如今，美国网络安全险市场的承保能力已经十分充足，甚至有点竞争过甚了。很多保险公司认为从历史水平来看，该领域的承保利润较高，因为出险事件发生的频率还是比较低的。但是一旦出险，一般都会比较严重，导致理赔额较高。

国内的网络安全险市场相较于美国而言，还处于发展的早期阶段。如果说美国市场的充分竞争是保险公司太多的话，国内还处于早期阶段则是因为客户太少，不论企业还是客户，对网络安全的需求并不迫切。

2003年加州立法规定用户信息泄露后必须披露，对于美国的网络安全险发展起到了至关重要的推动作用。

国内的相关立法工作还处于起步阶段，但随着国内监管机构对个人信息保护的重视程度日益加强，以及《个人信息保护法》正处于制订阶段，未来网络安全险的需求或将迎来巨大的增长。