随着网络风险的不断发展,财产保险公司(以及其他传统保险公司)越来越不愿意承保网络攻击造成的物理损失。以英国审慎监管局(PrudentialRegulationAuthority)和伦敦劳合社(Lloyd‘s)为首的监管机构对所谓的“沉默的网络”日益不容忍,这意味着劳合社的所有保险公司必须尽快明确将恶意和非恶意网络保险纳入或排除。随着市场的发展,大多数产品线都选择了后者,使得许多以前依靠网络覆盖的被保险人被纳入全险政策,覆盖范围存在巨大差距。
预计其他监管机构也将效仿,评级机构惠誉(Fitch)已经宣布,将开始将非正面网络风险的管理纳入其评级。随后,这种覆盖差距的程度预计将在未来几年内扩大。
物联网的发展给黑客带来了更多的机会
5G速度和容量的提升将对物联网(IoT)技术的发展起到重要作用,其中许多技术正在开发中,用于智能建筑和操作环境。不幸的是,在快速发展智能设备的竞争中,安全和公共安全往往是事后才想到的。根据麦肯锡的一份报告,到2023年,全球物联网设备的数量预计将增加到430亿台,几乎是2018年的三倍。随着系统远离基于硬件的安全集中式网络,网络罪犯的潜在接触点呈指数级增加,同时安全功能需要保护和监控的范围也在扩大。
其他技术进步也为网络罪犯带来了新的机会。例如,智能楼宇管理系统可以控制从自动喷水灭火系统、电梯、闭路电视、暖气和空调系统到风暴防护、预警和安全系统的无数功能——所有这些功能都在一个集中管理的系统上,许多黑客都有能力劫持这些系统。简单地启动一个洒水系统可能会对一个企业产生巨大的影响,虽然它可能缺乏好莱坞大片想象中的网络攻击的魅力,但却可能具有极大的破坏性。
运营技术环境面临风险
同样,制造厂、公用事业和许多其他工业部门也越来越自动化。他们的操作技术(OT)环境,本质上是用来保持事物(工厂、发电厂、设施设备等)运行的技术,通常在网络安全被考虑之前就被设计出来了。考虑到信息技术(IT)和OT环境的融合带来的效率优势,OT互连在过去十年左右已变得司空见惯。这些现在已经连接起来的系统,往往缺乏最基本的网络安全功能,很容易成为网络犯罪分子的靶子。
这不是科幻小说,现在正在发生。在最近的一次攻击中,黑客进入了德国一家钢厂的控制系统,导致工厂的部件发生故障,导致一座高炉受损。土耳其管道系统中部署的软件关闭了警报并提高了管道压力,最终导致了爆炸。几年前,据报道,恶意软件关闭了沙特阿拉伯一家石油化工厂的安全仪表系统。操作技术的互联性增强,使用物联网控制关键系统,以及针对OT环境的恶意软件越来越多,意味着未来将不可避免地出现更多类似的破坏性攻击。
此外,面临风险的不仅仅是传统财产。这种对技术的依赖越来越多地渗透到当今社会的方方面面,从货物、船舶、起重机、挖掘机到电动车充电站无所不包。任何具有互联技术的设备都可能使企业面临潜在的重大物理损害,而这些损害可能不再属于其现有的所有风险保单所涵盖的范围。
企业必须更好地为物理网络攻击做好准备
虽然数据泄露和勒索软件攻击已成为当今所有行业的共识,但人们对网络攻击可能造成的物理损害的认识仍然很低。这在一定程度上与监管要求有关。在许多国家,法律要求公司报告数据泄露,当大公司披露自己已成为攻击的受害者时,这往往会引起一系列头条新闻。媒体文章提高了人们对风险的普遍认识,2017年就证明了这一点,当时媒体对NotPetya和WannaCry攻击的广泛报道使恶意软件和勒索软件家喻户晓。相比之下,很少有国家或监管机构要求企业报告网络攻击造成的财产损失。因此,此类事件很少成为头条新闻,这使得企业管理者和普通民众对此类事例可能给我们的教训一无所知。
即使对于保险公司而言,要想全面了解与网络相关的财产损失也很困难。例如,从历史上看,当网络事件在传统的全险财产政策下造成人身损失时,损失很可能没有被确定为与网络有关的事件或未记录为此类事件。随后,这使保险公司无法获得有关此类索赔的历史数据。然而,这种缺乏大量历史损失数据的情况与早期非物理损害网络市场不同,尽管考虑到物联网未来的连通性增加,承销商必须谨慎行事,不要过分依赖历史事件作为这一领域未来的指南。
更重要的是,根据当前的环境,对未来的风险敞口进行建模,并确保承销商能够适应随着我们进入未来而发生的物理领域内互联性的细微变化。
随着技术的进步,带来了更多的便利和效率,但也带来了复杂性和风险。自网络保险成立之初以来,已经获得了很多知识,并将这些知识以保险业,经纪人和外部网络专家之间的协商,伙伴关系的方式汇集起来,将有助于缩小客户的覆盖范围,使他们能够充分把握可用的机会给他们,以确保对这种不断发展的风险有持续的覆盖。