网络保险公司将注意力转向灾难性黑客攻击——《华尔街日报》

作者：詹姆斯·朗德尔2022年11月28日 上午5:30（美国东部时间）|WSJ专业版再保险巨头瑞士再保险集团估计，2021年美国独立网络保险保费增长了92%。图片来源：阿恩德·维格曼/路透社尽管近年来网络保险已显著发展，但保险公司表示，他们可能仍未准备好应对灾难性网络攻击的后果。

保险公司通过收紧对保单持有人的要求和提高保费来应对持续不断的网络攻击，此前2020年损失激增，部分原因是勒索软件索赔激增。再保险巨头瑞士再保险集团估计，由于费率上涨，2021年美国独立网络保险保费增长了92%。

保险公司和分析师表示，最近发生的重大黑客攻击提供了宝贵的数据，使保险公司能够确定对保单持有人抵御黑客的最低防御要求，并帮助保险公司了解如何为其承保的风险定价。

然而，最大的风险尚未出现：针对对公司或信息服务系统的网络攻击，这些系统对经济或整个社会至关重要，以至于达到系统性水平。也许规模如此之大，甚至可能击垮保险公司。

“我认为重要的是要强调，保险业尚未经历过灾难性事件，”瑞士再保险网络再保险负责人约翰·科莱蒂说。

诸如2017年的NotPetya病毒、针对关键基础设施提供商（包括2021年殖民管道公司）的攻击，以及微软公司Exchange产品等常用软件中的漏洞，已经敲响警钟并考验了承保限额，科莱蒂先生表示。但尚未有事件演变为生存性威胁。

保险公司会对此类攻击的潜在连锁效应建模。例如，针对大型物流供应商的攻击可能产生重大但局部的影响，比如系统中断导致部分供应链瘫痪或客户服务暂时停止。2021年管理服务提供商Kaseya有限公司遭遇网络攻击时便出现这种情况，导致数百家客户系统中断或感染勒索软件。

然而，若攻击针对金融系统核心枢纽，或支撑关键基础设施运营的主要云服务商，则可能引发财务毁灭性的索赔。

此类情景令保险公司感到担忧，部分公司已开始因此限制承保范围。

“我们看到他们甚至开始点名特定云服务商，声明若该云服务商服务出现部分或全部中断，将不予全额赔付，“Arthur J. Gallagher&公司美国保险经纪业务网络责任实践董事总经理约翰·法利表示。

8月，全球保险市场伦敦劳合社有限公司要求其承保辛迪加采用政策措辞，排除由国家发起的灾难性网络攻击。劳合社市场主管帕特里克·蒂尔南表示，在网络保险等相对不成熟的保险类别中，随着行业对其风险认知的深入，承保限制是自然现象。

相比之下，航运等传统保险形式由于保险公司对潜在问题及预期索赔规模拥有丰富经验，因此具备更广泛的承保选择。

“我们拥有数百年的历史来理解这种风险，“蒂尔南先生说。

蒂尔南指出，网络灾难建模的部分挑战在于缺乏足够历史数据来建立精确模型。这迫使劳合社和保险公司采用更简单的方法估算损失，例如累加特定情景下可能触发的保单限额。

简单模型的使用可能引发问题。例如，保险公司可能被迫为最坏情况预留资本金，或仅承保非常具体的网络风险，导致企业不得不购买多份高额保单。

虽然大多数主要保险公司已开始应对灾难性网络情景——例如劳合社已考虑过大型云服务商中断事件，蒂尔南表示——但各公司采用的风险模型存在差异，且缺乏行业基准标准。

瑞士再保险的科莱蒂先生表示，这种差异甚至延伸到基础层面，比如保险公司是在评估每500年一遇的极端罕见事件，还是更常规的事件。

“这些模型确实非常重要，在企业愿意投入多少资金方面具有很大影响力，”他说。“我们或许需要更多地关注支撑这些模型的基本假设。”

联系詹姆斯·朗德尔，邮箱：[email protected]

刊登于2022年11月29日印刷版，标题为《网络保险公司将注意力转向灾难性黑客攻击风险》。