2、网络安全为何需要更优的风险度量

网络安全为何需要更优的风险度量

1. 网络保险：风险的预警信号

网络保险行业犹如煤矿中的金丝雀，能敏锐反映网络安全风险的变化。一位曾担任首席信息安全官（CISO），如今就职于网络保险公司 Resilience 担任首席风险官（CRO）的人士指出，保险本质上是一种“言行一致”的行业。保险公司为了在竞争中立足，会收集大量数据并进行分析，以确定合理的风险承保策略。

从 2017 年到 2021 年，美国全国保险专员协会（NAIC）的数据显示，网络保险总保费增长了 45%，而赔付比例更是翻倍，这意味着总赔付金额增长了两倍多。这种变化远超随机波动的范畴，背后存在着系统性风险。

例如，2022 年 1 月，最大的网络保险提供商 Chubb 在一场价值 14 亿美元的理赔案中败诉。制药巨头默克公司（Merck）遭受了名为“NotPetya”的恶意代码攻击，数据被加密。Chubb 辩称这是战争行为，应在保险免责范围内，但法院裁定该免责仅适用于物理战争，不包括网络战争。这一判决促使其他保险公司收紧承保要求。同年 8 月，伦敦劳合社（Lloyd’s of London）建议旗下所有网络保险公司停止为政府机构资助的网络攻击提供保险。