1.范冰冰的脸
你没看错,我们在聊范冰冰的脸,范冰冰上“跑男”,节目组为范爷的脸买下巨额保险,一旦范爷脸受伤最多可获赔上亿元。你是不是很纳闷,保险还能这么玩?没错,关于保险,只有你想不到的,没有你买不到的。
贝克汉姆的腿投保了7000万美元,“大嘴茱”茱莉亚·罗伯茨的笑容投保3000万美元,滚石乐队成员Keith Richards老伯伯给自己的左手中指投保160万美元。
我有个朋友在世界杯期间买过看球喝高险,美国有“外星人绑架险”,荷兰有“买彩票老不中险”和“关门后忘带钥匙险”,我大天朝还有“中秋看不到月亮险”。
可能大家会有疑问,范冰冰上一个娱乐节目而已,而且节目组的安保水平还是相当好的,为啥还要浪费这么多钱买一个听上去很荒唐的保险。
其实不然,保险的本意是分担和对冲风险。
范冰冰在节目中玩游戏很有可能碰伤脸,脸受伤后没法拍戏、接广告和商演,而范冰冰一年能赚1个多亿,你去算算,其实还是一笔划算的买卖。
2.拴不牢的裤带
大家都知道,我这里讲的裤子是各种“数据库”,2015年拖库事件频发,各种敏感数据满天飞,安全圈一定有人写一篇《2015,我们一起被脱过的库》,先看些典型案例。
国外:
Experian遭入侵,1500万T-Mobile用户受影响。
婚外情网站Ashley Madison被黑,3700万用户信息泄露。
医保公司Anthem遭黑,三分之一美国人受影响。
美国人事管理局服务器(OPM)被攻破,导致2210万人受到影响。
国内:
超30省过5000万社保信息泄露。
网易邮箱过亿用户敏感遭泄露。
大麦网存安全漏洞600余万用户信息遭泄漏。
350款苹果APP现Xcode"恶意后门" 可致用户私密信息泄露。
相比较上述这些仅仅是被媒体曝光的一小部分泄漏事件,在地下黑市交易的个人和企业数据量级是蚁象之别。
圈里有句行话叫:黑产比你老婆更了解你,你的银行帐户信用卡消费、社保房产医疗信息、通话清单开房记录,你老婆知道的,黑产知道,你老婆不知道的,黑产也知道。
而国内多家p2p互联网金融、中小型电商和游戏行业正遭受着肆无忌惮的黑客攻击,除了司空见惯的大流量DDoS攻击之外,客户数据和资金交易额也在大肆倒卖,每一次攻击和泄漏都会摧毁一点投资者的信任和用户的信心,如果把这些攻击造成损失进行量化的话,最终的经济损失会比国内整个安全行业的全年利润要大很多。
当被黑不可避免的时候,难道只能闭上眼睛慢慢煎熬忍受?
安全的本质是风险控制,当所有的技术手段都无法控制风险的时候,我们只能从另外一个维度来寻找问题的对策了。
3.他山之石
还记得我常用的合规vs考驾照的段子么,你要开英菲尼迪fx35,那么你得先有本儿,你得乖乖地考个c照,拿本儿是合规,不代表在路上就没有交通事故,那万一出了事故咋办,车子损坏不说,人受了伤咋整?
驾驶技术解决不了的问题,那靠什么解决,只能是车险了。风险处置的一种方式就是风险转移,通过购买汽车保险讲驾驶中可能遇到的交通事故产生的风险转移给保险公司,这就是从另外一个维度来解决交通风险的。
而车险经过这么多年的发展,也日趋细分和成熟了。交强险、商业险、车辆损失险、乘客座位责任险、自染损失险、车身划痕险等等,基本上你能想到的,保险公司都有了。
那在信息安全领域,同样可以将安全风险转移给保险公司。
在黑客眼里,所有的企业都分为两类:一是已经被黑的,二是即将被黑的。而我也不得不遗憾地告诉你,这个总结精辟无比。
网络犯罪令全球经济年均损失超过4000亿美金。
国内超千亿的黑产市场,其中数据泄露给企业带来的损失在300亿以上。
那怎么办?当你们企业遭受网络攻击不可避免导致业务中断或信息泄漏的时候,你可以购买网络安全保险将风险转移给保险公司,按损失来进行赔付。
大家伙还记得这么一句话:“世界上最远的距离不是生与死,而是Wifi连不上”,这么一句调侃可以折射出万物互联时代,普罗大众对网络的需求是多么的简单纯粹。
然而黑客攻击导致业务中断、数据泄漏这些风险,随着互联网的快速发展催生了网络安全保险需求,我们身边p2p互联网金融、电商和游戏行业询价的案例持续增加,而保险公司也针对这些风险大力推动相关产品的发展。
4.未来已来
别以为我讲的网络安全保险只是一句玩笑话,据普华永道报告,网络安全保险是全球保险市场增长最快的险种,预计到2020年全球网络安全险年销售额将达到75亿美元,再来看看人家Gartner的报告:
-
网络保险市场正处于发展阶段。
-
过去一年全球“网络财产险”保费收入2亿美金,占财产意外险的1%左右。
-
董事或者高管在职期间非常乐意购买和续网络保险。
-
政策利好网络保险行业发展(要求企业披露网络风险、企业安全事故处罚)。
-
数据泄露已经成为全球商界必须应对的现实问题,越来越多的企业开始考虑购买这种保险。
你以为城里人真会玩,那就out了,很多保险公司已经正儿八经开始卖网络安全险了:
-
20多个保险公司玩家,提供了无数个网络保险产品,覆盖到多个行业。
-
全球最大保险公司之一Ace推出一亿美元网络安全险。
说到这里问题就来了。
问题一:如何评估认购客户的现有保障能力?
按保险业的规矩,会对每一个购买保险的客户进行风险评估,你一个企业如果没有任何安全防护能力可言,那我凭啥卖你保险,就像你一个一年报三次大险的车主,或者车子泡过水,第二年还有保险公司敢和你签么。
所以第一个问题就是如何标准化评估认购网络安全保险客户的现有安全保障水平,如何设定准入门槛,单论这一点,我觉得就够保险公司喝一大壶的了。
说到这里,其实有一类客户是最适合购买这类网络安全险的,像在国外aws、国内阿里云上面的这些客户,为什么说适合?首先是需求,他们的数据本身就放在云端,天天担心着被人拿走,提心吊胆地过日子,实在难捱,如果来个数据安全险,必须是买!买!买!
其次是他们已经具备了由云平台提供的安全防护基础,保险公司可以对云平台基础安全防护进行评估,或者与云设施提供商进行合作,在双方达成一致的基准条件下,面向云用户提供保险服务,这就解决了自建数据中心或野生的一类客户(这类客户需要第三方的评估队伍介入才行)即有安全保障能力参差不齐的问题。
聊到这里,有一个思路就很清晰了,那就是云计算厂商联合保险公司推出网络安全险,谁敢这么干,谁又能这么干,谁对自己交付的云服务安全能力有这么大的信心,我觉得云计算行业的巨头们是可以考虑这块新业务的。
小道消息:aws和阿里云最近在云产品保险方面动静都挺大,阿里云可能会抢先成为全球第一家推出数据安全险的云计算公司了。
所以云平台上面的p2p金融、电商和游戏用户来购买像数据安全险这一类的安全险的话,对用户自己也好、对保险公司也好,这个规则相对而言会简单很多。
问题二:发生事故后如何定损?
-
什么系统被攻击,涉及服务器、中间件、应用和数据库有哪些,数据泄漏证据如何保全并被证明?
-
直接造成的经济损失有多少,是否有依据可循,由谁来做这个鉴定?
-
若无法直接确定经济损失,保险公司如何来定损,是否有参考标准?
-
若双方赔付未达成一致,该有谁来进行公正?
问题三:投保费用和最高赔偿如何来定价?
这块完全由市场来决定,由于信息安全领域的特殊性,可以预见的是,标准化和定制化的险种比例会相当,投保企业和保险公司都需要磨合成长。云平台用户网络安全险会以标准化模式居多,但非云用户由于数量量级、行业类型、网络规模等要素的多样性会以定制化险单居多。
安全永无止境,万金难买心安。
可以想象,未来网络安全保险会和车险、财产险、人寿险等一样,成为保险险种中非常重要的一个分支,而网络安全险也会成为企业网络安全保障体系建设中必不可少的一个环节。
Maybe next year? I need it Now!
网络安全保险,未来已来。
