网络安全保险:2020风险与发展趋势
© ATM/Gold GmbH/shutterstock

网络安全保险:2020风险与发展趋势

    alt txt

    properties.trackTitle

    properties.trackSubtitle

    2019年回顾

    尽管增加了对网络安全的投入,但去年网络攻击风险及其造成的危害仍然大幅增加。根据定性评估,有三种网络犯罪位居趋势榜首: 数据盗窃、勒索木马攻击与虚假商业电子邮件欺诈:

    勒索软件

    2019年勒索木马被更有针对性的使用来实施网络攻击,以制造尽可能多的损害并讹诈巨额钱财。网络攻击者通常已侵入受侵者电脑系统中,然后使用恶意程序,对数据或计算机系统加密,从而阻止受侵者访问网络。若要解密,他们大多数以数字加密货币的形式索要赎金。除企业外,去年网络攻击的目标还扩展至社会生活中的关键领域中,例如行政机关与医疗行业。勒索赎金数目从5000美元至500万美元不等 - 通常根据受害者的经济实力而定。众所周知,2019年两家北欧企业曾蒙受了巨额的经济损失。其中,挪威一家铝制品生产商遭受攻击,造成经济损失约为7000万美元,主要是营业中断损失。另外一家丹麦助听器制造商蒙受了约9500万美金的经济损失。除营业中断外,其恢复IT系统所需的成本也相当高。

    数据泄露

    2019年未被识别的数据盗窃与未被授权者的非法访问次数较以往增加了近三分之一: 全球约有85亿条数据记录被泄露。全球所蒙受的平均经济损失大约为400万美元,主要包括通知行政机关与相关人员的成本,以及调查事件、制定损失补救措施、恢复数据与支付赎金及法院诉讼等成本。医疗行业由于定期收集存储诸多关键数据,所蒙受的平均经济损失最高,约为650万美元。此外,盗窃数据还用于勒索钱财:受攻击者如若不能支付赎金,则会受到威胁,被告知其企业或客户端的敏感数据会被公开披露。由此导致的勒索金额与通过勒索软件进行敲诈的数额相当。

    BEC诈骗

    2019年假冒商业电子邮件的欺诈行为 -商业电子邮件入侵(business e-mail compromise) - 已大幅度增加。网络黑客搜罗企业电子邮件账户的访问权限,或者创建与常规企业电子邮件地址极为相似的电子邮件账户。以盗用或伪造的身份对企业、客户或员工行骗。2018年5月至2019年7月间,全球发现的网络诈骗事件数量翻了一番,为此造成的经济损失平均为27万美元。尤其是中小企业遭受该等形式的诈骗性电子邮件攻击所受到的危害最大。2019年披露的最大单个损失来自汽车行业,金额高达3700万美金。这种趋势也在投保了网络安全保险的损失统计数据中得到明显体现: BEC诈骗已在个别市场中造成了巨额保险损失。

    2020年趋势展望

    全球互联的世界与新一代5G标准及人工智能等先进技术,为社会各个领域提供了各种机遇。同时人们对这些先进技术的依赖性也大大增加,这就难以避免地为越来越成熟的职业网络犯罪者开拓了新的攻击目标。
    Graph with information on trends in speed, scope, sophistication and targets of cyber attacks, as well as risk awareness and regulation
    © Munich Re

    新技术提升了犯罪效率 - 包括网络犯罪 

    从营业中断的角度,勒索软件始终是对网络安全的主流威胁。我们同时也预计通过BEC诈骗与数据盗窃所造成的损失将继续保持在较高的水平上。网络犯罪形式则越来越具有针对性、网络化与协作性的特点。网络攻击的各个环节均使用了最新技术。例如,利用人工智能应用系统来识别攻击目标的情况越来越多,主要是通过搜索并利用系统漏洞及消除犯罪痕迹等技术手段来进行。网络攻击者因此提高了其自动化水平与犯罪效率,从而也导致了较高的经济损失。所谓深度伪造 (Deep Fakes),则是通过近乎完美地对声音或人物进行模仿,也将越来越多地用于网络钓鱼攻击、身份盗用或企业与个人勒索钱财等犯罪活动。

    互联网的发展将加剧供应链的风险 

    对数字化的依赖程度以及对新型联网设备的不断投入与应用程序的技术发展趋势,不仅仅体现在企业中。提供云服务或引入移动通信技术5G标准,将进一步推动此趋势。高性能技术使得对工业用或私人家用设备与仪器实现更密集型的联网与自动化,但遗憾的是,这种更密集型的联网与自动化并不能始终保证足够的安全防护。然而,这不仅产生成倍加剧的连续数据流,还加大了对基础设施、设备或数据实施大规模自动性攻击的可能性。由诸多企业构成的相互依赖的现代化供应链正变得越来越复杂。考虑到网络攻击频率会日益剧增,这势必会极大强化对风险管理的要求。

    紧缩的全球性监管

    为了应对日益增长的网络安全风险,全球范围内对于数据保护要求方面的法律法规日益收紧。有100多个国家通过相关立法,旨在保护用户的数据资料免遭被泄露或滥用的风险。2018年5月正式实施的欧盟通用数据保护条例 (简称GDPR),不仅加强了欧洲对数据安全的认识,还为其他国家制定保护条例提供了参考蓝图。由于强化了监管制度(内容通常包括网络攻击与数据泄露告知义务的细则),网络攻击范围与损失程度越来越公开化。遭受网络攻击的企业,将不得不面临声誉受损与承担罚款等不利后果,有时经济损失可高达上亿美金。2019年,英国一家航空公司曾为此支付了约2.34亿美元的罚款。数据安全的监管要求非常复杂而且具有强制约束力。这将不断加强企业的敏感性和关注度,从而增加企业对安全防护措施与网络安全保险的需求。

    网络安全解决方案之于保险市场的强劲增长

    总体而言,全球IT领域对网络安全的投资正在显著增加。据专家估计,至2025年为止,该投资数额将达到4000亿美元左右,即十年之内增长四倍的速度。其中部分会转化为对网络安全保险作为服务或解决方案的需求。慕尼黑再保险公司(慕再) 预计,至2025年为止,全球网络安全保险市场规模将增长至200亿美元以上,与2018年相比将翻两番。慕再预估,2020年全球网络安全保险市场保费规模将超过70亿美元,而北美仍然是最强劲的市场,将达到53亿美元的规模。同时亚洲与欧洲也将实现强劲增长态势。2020年欧洲网络安全保险市场规模将超过10亿美元。

    遭受网络攻击最严重的行业对购买网络安全保险的需求也最大: 如医疗行业、制造行业以及IT行业、金融与服务行业等企业。网络安全风险意识的提高不单是因为媒体对有关黑客袭击的报道。此外,愈加严格的法律法规以及业务合作伙伴更严苛的要求,也导致对网络安全保险保障和防范措施需求的增加。近年来,随着网络安全保险市场业务的持续增长,优质保险解决方案在不断得到改善。承保范围也趋向标准化;大型工商企业定制解决方案占主导地位。其保险范围主要会涉及到营业中断与数据盗窃。中小型企业越来越意识到自身所面临的巨大风险,此类企业购买网络安全保险的趋势在不断增加。个人客户对购买网络安全保险产品的需求,也开始出现强劲增长的态势。

    慕再网络安全解决方案助力业务增长

    网络安全保险业务属于慕再的战略增长领域。去年网络安全保险业务继续实现预期的盈利增长。在迅速发展的网络保险市场中,慕再将继续保持约10%的市场占有率。

    慕再为客户提供网络风险管理的全面支持。基于对风险的理解,使现有保单中隐藏的网络风险(silent cyber)透明化,通过充分评估风险,不仅针对单项,还有对整个业务的综合影响分析,使风险具有可保性。保险公司风险累积模型也在迅速得到完善。风险的复杂性与适当的风险定价,需要匹配一流的网络保险团队展开跨行业与跨市场的各项合作。慕尼黑再保险公司与保险业及科技类伙伴密切合作,不断投入专业技术并开发出新的解决方案。除通过购买保险转移风险之外,慕再可提供的解决方案还包括风险管理服务与安全措施支持等内容。

    慕再网络安全风险雷达

    来自慕再的网络安全专家,在“网络安全风险雷达”中对网络安全风险的发展进行了全面研究评估,详细总结相关风险对保险业造成潜在损失的发展趋势及动向。
    慕再专家
    Jürgen Reinhart
    Jürgen Reinhart
    慕再网络安全保险首席核保人
    电子邮件
    JReinhart@munichre.com
    vCard
    下载
    Martin Kreuzer
    赔案控制理算顾问
    电子邮件
    MKreuzer@munichre.com
    vCard
    下载

    您可能感兴趣的话题