Aon-COFCO：新興市場中的網絡風險（18頁）（18頁）.pdf

《Aon-COFCO：新興市場中的網絡風險（18頁）（18頁）.pdf》由會員分享，可在線閱讀，更多相關《Aon-COFCO：新興市場中的網絡風險（18頁）（18頁）.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、新興市場中的 網絡風險 幫助亞洲企業更好地理解多種保險產品 之間的相互聯系 2019 年 5 月 2 新興市場中的網絡風險 目錄 取得進展， 但仍有大量保障缺口 .4 對財務報表影響的認知日益增強 .7 被保險人須理解單項的基本網絡安全保險和 職業責任保險潛在的保險范圍缺口 .9 其他保險產品對網絡安全保障的 “沉默” 和明確 . 13 后續步驟 . 15 聯系方式 17 新興市場中的網絡風險 3 幾乎每天的新聞里，都在討論 最新技術發展及對應產生的網 絡安全風險，因此保險業務在 競爭中必須跟上不斷變化的環 境。為滿足這些需求，亞洲網 絡安全保險市場正在增長。我 們同樣可以從全球成熟市場借 鑒

2、一些經驗。 4 新興市場中的網絡風險 1. 取得進展，但仍有大量保障缺口 保險，包括任何形式的網絡安全保險， 應該是健全的網絡彈性風險管理方法 的一種補充。 結合資產和風險數據的分析能夠降低企業的 總風險成本（總風險成本是一家企業的風險轉 移成本、保費成本、自留損失免賠額 / 未保 險損失以及價值下降的總和）。1每家企業 都應通過將企業網絡風險管理戰略與企業文 化和風險容忍度相結合的方式來識別和保護 其關鍵無形資產，以防止未編入預算的突發損 失和資產負債表波動。盡管挑戰不斷增加 2， 但獨立網絡安全保險已經能夠應對表 1 中列 出的絕大多數個人身份信息（PII）、支付卡行 業（PCI）和個人健

3、康信息（PHI）領域的隱私 和安全事件。3 表1 重大數據泄露隱私事件的商業影響 （截至2019年2月7日的公開信息） 企業商業影響財務構成來源 Anthem2.78億美元總費用 （1.48億美元） 安全改進費用 （1.15億美元） 健康保險攜帶和責任法案 （HIPAA） 和解費用 （1,600萬美元） 監管和解 美國地區法院 美國衛生與公眾服務部公 民權利辦公室 Equifax4.305億美元 5.14億美元 50萬英鎊 迄今總費用 預計總費用 信息專員辦公室處罰 （數據保護法1998） 2018年3季度盈利報告 2018年3季度財務報告 公民權利辦公室通告 Facebook50萬英鎊信息專

4、員辦公室處罰 （數據保護法 1998）公民權利辦公室通告 The Home Depot2.98億美元總費用2017年10-K文件 Target Corporation2.98億美元總費用2017年10-K文件 Uber1.48億美元 40萬歐元 60萬歐元 38.5萬英鎊 美國司法部和解 法國資訊保護委員會處罰 荷蘭數據保護局處罰 信息專員辦公室處罰 （數據保護法 1998） 美國司法部和解 法國資訊保護委員會通告 荷蘭數據保護局通告 信息專員辦公室通告 Yahoo!Inc. (Altaba Inc.) 3.5億美元 8,500萬美元 3,500萬美元 8,000萬美元 2,900萬美元 25

5、萬英鎊 收購價格降低 消費者集體訴訟 美國證券交易委員會處罰 證券集體訴訟 股東派生訴訟 信息專員辦公室處罰 （數據保護法1998） Verizon新聞發布 美國地區法院 美國證券交易委員會新聞 發布 美國地區法院 美國地區法院 信息專員辦公室通告 1. 通過分析有助于簡化網絡安全保險，類似于 FICO 信用評分促進個人風險管理的機制至少在個人身份信息 / 個人健康信息（PII/ PHI）網絡事件方面如此。將分數應用于網絡安全保險核保： https：/ underwriting/ 2. 由于保險人和被保險人之間對于承保范圍缺乏共識，和 / 或保單措辭缺乏足夠的定制化，一些網絡安全保險的理賠請求

6、因此被保險 公司拒絕賠付。Columbia Cas. co. 訴 Cottage Health Sys., C.D.Cal. No. CV 15-03432 DDP（AGRx）（2015 年 5 月 7 日提交）（因 被保險人未能滿足保險人的最基本要求、申請表中存在虛假陳述和其他問題，CNA 因此拒絕理賠 NetProtect360 保單；在 CNA 關 于替代性爭議解決（ADR）條款可執行性的決定敗訴后，該判決被推翻）Travelers Prop.Cas.Co. of Am. 訴 Fed.Recovery Servs., No. 2：2014cv0017045 號文（D. Utah 2015

7、）（由于被保險人涉嫌故意拒絕發布信息，Travelers 拒絕理賠 CyberFirst 保單；宣判生 效）；P.F.Changs China Bistro, Inc. 訴 Fed.Ins. co., 2016 U.S. Dist.LEXIS 70749 （D. Ariz. 2016 年 5 月 26 日）（Chubb 拒絕理賠支 付卡行業罰款和罰金，但這看起來應該是為一家接受信用卡付款的餐廳而解決的、來自與網絡相關的主要漏洞和損害）；New Hotel Monteleone, LLC 訴 Certain Underwriters at Lloyds of London, Ascent Cyb

8、erpro 保 單 No. ASC14C00944, No. 2：16-CV-00061-1LRL- JCW （E.D.La. 2016 年 1 月 5 日提交（New Hotel Monteleone 向其保險公司提出理賠，保險公司聲稱對于支付卡行業罰款沒有足夠的 保額（保險公司拒絕理賠）。 3. 請注意： A. 大多數源于 PII/ PHI 相關的網絡安全事件的第三方責任成本、辯護費用和賠償費用可以通過某些專業責任保險 / 技術錯誤和遺漏保 險或者媒體責任保險來解決，這將在下文中進行討論； B. 表 1 中列舉的企業并非全部都在事件披露前購買了足夠的網絡安全保險或職業責任保險，但前述保險可

9、用于解決記錄在案的損失。 新興市場中的網絡風險 5 任何行業都可能遭受數據泄露事故， 但非個人身份信息的主要處理公司通 常比個人身份信息 (PII) 的主要處理公 司擁有的個人身份信息 (PII) 記錄少， 且個人身份信息 (PII) 記錄的潛在泄露 嚴重性低于其他潛在的損失，例如營 業中斷損失。 例如，美國獨立網絡安全保險的成功案例主 要發生在 4 個行業中，在這些案例中被保險 人購買了網絡安全保險，且保險公司進行了 賠付： 零售業（截至 2018 年 7 月 20 日，行業 增值占國內生產總值的 5.9%） 酒店（截至 2018 年 7 月 20 日，行業增 值占國內生產總值的 3%） 醫

10、療保?。ń刂?2018 年 7 月 20 日，行 業增值占國內生產總值的 7.3%） 金融機構（截至 2018 年 7 月 20 日，行 業增值占國內生產總值的 7.5%） 這 4 個行業在美國國內生產總值中所占的百 分比約為 23.7%。4然而，獨立網絡安全保險 在占國內生產總值 76.3% 的其余行業中的應 用也越來越多，例如： 公共事業 5 建筑業 制造業 農業、林業、漁業和狩獵 信息業 專業和商務服務 6 房地產和租賃業 藝術、休閑和娛樂業 政府 教育服務 運輸和倉儲業 此外，獨立網絡安全保險最初是為了解決隱 私泄露和安全成本，它們與個人身份信息 （PII）的泄露相關，該險種通常并不保

11、障資 金盜轉賬、密碼泄露、人身傷害或有形財產 損失等。當然也有例外，如為汽車和鋼鐵制 造商設立的創新網絡安全保險計劃。7如今， 網絡事件導致的業務中斷是企業非常關注的 問題，盡管有時對相關業務中斷損失有分項 限額或者除外條款的限制。 4. 美國商務部經濟分析局（www.bea.gov） 5. 針對能源部門的網絡攻擊反復出現，對可再生能源構成威脅， https：/www.pv-tech.org/news/replication-of-cyber-attacks-on-energy-sector-a-threat-to-renewables 6. 絕大多數專業和商業服務機構，如咨詢、技術、法律、會

12、計、通信、信息和媒體公司，通過其專業責任保險、技術錯誤和遺漏保險 或者媒體保險來覆蓋其第三方網絡風險敞口。超過 90% 的大型職業責任保險的賠案損失是由于非網絡相關的錯誤、遺漏和疏忽行 為造成的（雅虎、Equifax 和 Heartland 案例除外）。例如，Shaw 訴 Toshiba America Information Systems, Inc., 91 F. Supp.2d 942 （E.D.Tex. 2000）, 在這一專業責任 / 錯誤和遺漏案件中，法院判決 21 億美元（2,100,000,000.00 美元）的和解賠償，以及 1.475 億 美元（147,500,000.00

13、 美元）的律師費。然而，專業責任保單條款中可能存在顯著的不足和限制，這些不足和限制可以通過良好的網 絡保險條款加以解決。 專業責任的觸發點通常是被指控存在錯誤、遺漏或疏忽行為（例如，基于對被保險人指控的要求），而良好的網絡保險可以由網絡事 件觸發，這發生在第三方要求被保險人做出回應之前，從而避免第三方理賠或降低及理賠量級。 專業責任保險并不解決因網絡事故導致被保險人的計算機系統癱瘓或降級而給被保險人造成的第一方業務中斷損失或所產生的任何額 外費用，而網絡安全保險可為此類風險和損害提供特定的保障。 7. 怡安推出業內首個網絡安全解決方案：https：/ir.AON.com/about-AON/i

14、nvestor-relations/investor-news/news-release-details/2016/ Amid-evolving- cyber-risks-AON-introduces-first-of-its-kind-enterprise-wide-cyber-solution-for-all-industries/default.aspx 6 新興市場中的網絡風險 12 34 與個人身份信息（PII）相關的網絡風險通常會導致無形損失（即純粹的經濟或財務 損失）。然而，網絡風險敞口最終可能導致人身傷害和有形財產損失。 企業必須能夠識別網絡風險，并根據其獨特的業務運營模式對潛

15、在的網絡相關損失進行建模。應該 在公司層面對關鍵資產進行梳理，并分析會導致重大事故發生的潛在攻擊路徑。每個組織的網絡損 失類別并不相同。因此，對于每個組織來說，對于能夠承保網絡損失的保險類型的分析也不盡相同。 財 務有 形 第一方 第三方 任何重大網絡事件都會導致 公共關系、響應和連續性成本 即時和延期收入損失的恢復費用 辯護成本 第三方將就下列損失進行索賠 民事處罰和裁決 間接收入損失 恢復費用 潛在的物理損失 財產損失 人身傷害 物理損失可能會波及他方 第三方財產損失 第三方人身傷害 來自各種規模，地理位置以及各種行業的企業越來越依靠數據分析與技術 8，例如 云計算 9、人工智能10、5G

16、、物聯網11、移動設備、自動化供應鏈12 和分布式賬本 / 區塊鏈。13這些進步都帶來了新型的和不同的網絡風險。14 例如，在未來幾年內，幾乎每個大型企業和大多數中型企業都將在一定程度上依賴分布式賬本技 術直接應用或者通過其第三方供應商、分銷商、合作伙伴和客戶。15保險公司則剛剛開始思考 應對該類技術風險所需的承保范圍和除外責任。 8. 數據即財富：新興技術的價值 , http：/ 9. 2018 年 8 月，高德納公司的調研指出，云計算仍然是最大的新興風險。高德納風險管理領導委員會 2018 年第 2 季度十大新興風險 10. 5G 無線技術引發安全擔憂，華爾街日報，2018 年 9 月 1

17、2 日報道。隨著 5G 技術的發展，其將連接比今天更多的設備，網絡安全 攻擊可能會加速。 11. 隨著物聯網設備在企業中的激增，管理敏感和機密數據帶來的第三方風險已成為一項艱巨的任務。企業深感擔憂的是，如果未能阻止 網絡攻擊，可能會產生災難性后果。第二次物聯網年度研究：第三方風險的新時代，2018 年 3 月 12. 供應鏈相關的網絡攻擊增加 200%；報告 , https：/ 13. 承保區塊鏈，2018 年 9 月 17 日 14. 一些新型和不同的網絡風險敞口可以改善風險轉移，并降低總風險成本。如果 XYZ 制造公司將其部分信息技術系統外包給頂級云供應 商，如 IBM、微軟或 Alpha

18、bet，在理論上其安全性會提高，因為相比于試圖自己解決并跟進所有信息技術安全問題的 XYZ 公司，云供 應商能夠全天候專注解決該類問題。 15. 四分之三的商界領袖認為區塊鏈有“令人信服”的理由： https：/ 新興市場中的網絡風險 7 2. 對財務報表影響的認知日益增強 根據風險和保險管理協會的數據，2017 年，企業的總風險成本連續第 4 年下降， 但網絡風險成本卻反其道而行之，上升了 33%16 損失超過100萬美元的網絡事件數量： 17 大多數董事會和管理層現在都將網絡風險和解決方案納入公司治理討論中，因為他 們越來越認識到重大網絡安全事故可能對財務報表造成的潛在影響。18然而，相比

19、 于許多公司對其傳統有形資產充足的保險投保程度，其對無形資產的投保相對依舊 較少。19 地區： 亞洲 公司 總價值 最大可能損失（PML） 價值占公司資產價值 百分比 業務中斷價值占 公司資產價值 百分比 保險承保資產 價值百分比最大可能損失的 價值百分比 業務中斷的 價值百分比 承保范圍 PP&E 信息資產 PP&E： 財產、 廠房和設備 最大可能損失 （PML） ： 一種財產損失控制的術語， 指在特定地點 發生火災時預期的最大損失， 以美元或總值的百分比表示。 16. 網絡風險成本總體趨勢。 17. 戰略和國際研究中心。https：/www.csis.org/ 18. “網絡風險是董事和管

20、理層風險嗎？”https：/ 19. 2017 年怡安贊助的 Ponemon 研究所全球和網絡風險轉移研究和比較報告：信息資產與財產、廠場和設備風險摘要。 http：/ https：/ 104% 90% 31% 13%14% 57% 8 新興市場中的網絡風險 根據經濟學人最近的一篇文章：“企業最主要的、有價值的資產很多都還未得到保險的保 障”20企業承認其無形資產的價值大大超過有形資產的價值。21然而，企業卻通常不會分配相 應的資源來保護無形資產并使其價值最大化。例如，大多數企業不了解專利侵權保險和商業秘 密保險能夠搭配其他類型的保險，以應對版權、商標、服務標識等知識產權領域的風險敞口。 20

21、17 年毀滅性的網絡災難 NotPetya 事件 22 告訴我們，即使業務中斷保險包含在獨立的網絡安 全保險計劃中，市場上現有的保額也只能覆蓋表 2 所示的潛在災難性業務中斷和相關第一方損 失的少部分。網絡保單下現有的業務中斷保險的限額（1 億至 5 億美元）遠低于財產保單（潛 在價值 10 億至 20 億美元以上）。此外，謹慎的保險公司正在為其財產和網絡保單增加“共享” 保額和“總損失”限額背書，以避免因保險術語中所謂的“沖突”事件（即兩種不同的保單需 向同一事件進行賠付）而造成網絡業務中斷損失的“雙重賠付”情況。因此，對于導致人身傷 害和 / 或有形財產損害（以及犯罪、海事、航空、環境、綁

22、架和贖金 23、產品召回、董事和管 理層以及恐怖主義保險）的網絡風險一般責任和網絡 / 職業責任保險之間的潛在“沖突”觸發 因素，也可以應用類似的分析。 請記住，非網絡安全保險保單的趨勢是增加特定的除外條款，目的是為了避免保單出現出現所 謂的“沉默的網絡風險保障”?！俺聊木W絡風險保障”是指各類非網絡安全保險產品有意、 或無意的在保單里忽略使用與網絡風險保障有關的除外條款。 表2. NotPetya事件導致的業務中斷的重大商業影響 ( 截至2019年2月7日的公開信息 ） 組織商業影響財務成分來源 A.P.Moller Maersk2.5-3億美元盈利減少2017年第4季度財務狀況 Beier

23、sdorf AG最低銷量影響 1,500萬歐元 3,500萬歐元的銷售額從 第2季度轉移到第3季度 額外費用 2017年第2季度財務狀況 2017年第4季度財報會議 FedEx （TNT Express）4億美元盈利減少2018年第4季度財務狀況 Merck & Co.4.1億美元 3.8億美元 2017、 2018年銷售額下降 額外費用 2017年第4季度財務狀況 2018年第3季度財務狀況 Mondelez International 約1.04億美元 8,400萬美元 2017年銷售額下降 額外費用 2017年第4季度財報會議 2017年第4季度盈利發布 Nuance Communica

24、tions 6,800萬美元 3,120萬美元 2017年銷售額下降 額外費用 2018年第3季度財務狀況 Reckitt Benckiser約1.14億英鎊第2季度銷售額下2% 第3季度銷售額下2% 新聞發布 2017年第2季度財務狀況 2017年第3季度財務狀況 Saint-Gobain約2.2 - 2.5億歐元 8,000萬美元 2017年銷售額下降 2017年盈利減少 2017年第3季度盈利發布 2018年第1季度盈利發布 20. “無形風險保險業務仍處于起步階段”，經濟學人，2018 年 8 月 23 日。 https：/ 21. “我們忽略了最難衡量的風險，即使它們對我們的福祉構成

25、最大威脅?！眱忍匚鳡柛?，信號與噪音：為何如此多的預測失敗但 有些沒有 22. Petya 和 NotPetya 是兩個相關的惡意軟件，在 2016 年和 2017 年影響了全球數千臺計算機。Petya 和 NotPetya 都是旨在加密受感染計算 機的硬盤，兩者之間有足夠多的共同特征，以至于 NotPetya 最初只是被視為 Petya 的變體。2017 年 6 月，一種新版本的惡意軟件開始 迅速傳播，主要集中在烏克蘭，但它也出現在歐洲和其他地區。這種新的變體從一臺計算機迅速傳播到另一臺計算機，從一個網絡傳播 到另一個網絡，而不需要垃圾郵件或社交工程獲得管理權限。 23. 惡意軟件攻擊的真實成

26、本，https：/ 新興市場中的網絡風險 9 3.被保險人須理解單項的基本網絡安全保 險和職業責任保險潛在的保險范圍缺口 現有的獨立基礎網絡安全保險并不 用于承保絕大多數非個人身份信息/ 個人健康信息（PII/ PHI）類的的災 難性網絡事故。 網絡安全保險和職業責任保險通常是 “列 明風險” 保單， 而不是 “一切險” 保單， 這意 味著保單內的承保及限制條款對保險責任 的范圍至關重要。除了以上提及的對業務 中斷風險的承保限制之外， 近期發生的的 幾起網絡事件也需考慮在內?，F有的獨立 網絡保險計劃通常無法補償某些網絡事故 帶來的災難性損失， 類似以下的事故： 2018 年 8 月 11 日：

27、在萬泰銀行搶劫案 中，黑客通過 ATM 盜竊了 1,000 萬英鎊 （約合 1,350 萬美元）。此次事件涉及 28 個國家 的 14,800 筆 ATM 交易。24 2018 年 8 月 15 日：Crypto 投資者起 訴 AT T，并要求其賠償 2.24 億美元。 Crypto 聲稱因 AT T 員工對“SIM 卡 交換”問題的疏忽，為欺詐者控制移動 電話號碼創造了機會，從而導致后者成 功竊取價值約 2,400 萬美元的加密貨 幣。Crypto 認為 AT&T 需對此承擔責 任，并要求其賠償 2 億美元作為懲罰。 常見的獨立網絡保險的保障條款明確不包 含資金轉賬、加密轉賬和其他現金及證券

28、 貨幣的損失賠償 ,25而犯罪防護保險則可以 在應對特定情況下承保資金損失。 類似的，網絡安全保險責任范圍通常不涵 蓋“電子欺騙”、“網絡釣魚”和其他社 會工程事件的支付轉移欺詐，但犯罪商業 防護保單則有可能承保上述事件。最近， 兩個聯邦上訴法院裁定，保單持有人有權 就社會工程事件引起的損失獲得犯罪防護 保險的賠償。26 2018 年 7 月：Facebook 投 資 者 提 起 了兩起不同的證券訴訟：（1）第一 起 是 針 對 英 國 數 據 公 司 Cambridge Analytica 的用戶數據崩潰；（2）第二 起訴訟發生在 Facebook 公布其季度盈 利后。Facebook 宣稱

29、因遵守歐盟通用 數據保護條例（GDPR）的難度大且發 生高額成本，造成增長速度緩慢，部分 導致其季度盈利不理想。 2018 年 8 月 8 日：這是一起針對某個從 事為媒體進行公開評級業務企業的證券 集體訴訟案。該企業在其季度財報中披 露，GDPR 的相關變化影響了公司的增 長率，給公司的合作伙伴和客戶造成壓 力，并擾亂了公司的廣告“生態系統”。 24. 前一天，即 2018 年 8 月 10 日，聯邦調查局警告道，網絡罪犯可能正計劃對現金機器進行高度協調的攻擊：“聯邦調查局已 獲得匿名舉報，有證據表明網絡犯罪分子正計劃在未來幾天對全球自動取款機（ATM）進行攻擊。該犯罪計劃可能與某發卡機 構

30、的違規行為有關。該犯罪計劃被通稱為無限行動”。早在 2016 年，布萊克斯堡國家銀行就發生了一起類似攻擊，造成 240 萬美元的損失。 25. 根據網絡安全保險對加拿大地區的風險可能提供分項限額保險。 26. American Tooling Center, Inc. 公司起訴 Travelers Casualty and Surety Company of America，訴訟編號為 2018 年 WL 3404708 第 17-2014 號（第六巡回法院，2018 年 7 月 13 日）。事件原因為被保險人（American Tooling Center）將詐騙者誤認為是其 中國分包商，并

31、向其銀行賬戶轉賬 834,000 美元。第六巡回法院裁決，Travelers Casualty and Surety Company of America 有 義務承擔被保險人的損失。此前，在 7 月 6 日，第二巡回法院還在一起網絡釣魚保險糾紛中裁定保單持有人 Medidata Sols. Inc. 公司在與 Fed. Ins. Co. 公司的案件中勝訴，訴訟編號為 2018 WL 3339245 第 17-2492 號（第二巡回法院，2018 年 7 月 6 日）。同年 8 月，第二巡回法院駁回了丘博的子公司 Fed. Ins. Co. 要求重審法院 2018 年 7 月 6 日決定的訴求

32、，并判定 Fed. Ins. Co. 保險公司根據 Medidata 的計算機欺詐保單，賠償后者 480 萬美元的損失。 10 新興市場中的網絡風險 一般的職業責任和網絡保單明確不包含股 東衍生證券和類似的信托責任訴訟， 與上 述三種情況一樣。 一份詳盡的董事及高級 管理責任保險應該為以上情況提供抗辯費 用及賠償金的保障。 接下來， 鑒于我們的建 筑、 道路和公共交通系統會發生翻天覆地 的變化。 互聯網連接， 以及不斷提高的數據 收集與分析能力， 正在滲透建筑和運輸行 業。 因此， 我們將在 “有意識的” 空間中生活 和工作， 并在 “智能” 的城市中出行。 27 汽車、火車、卡車、船舶，以及

33、旅行者 等所使用的某全球定位系統遭受了一起 針對性攻擊，GPS 癱瘓，導致惡意重定 向以及用戶無法使用導航。28 一家醫療機構成遭受了網絡入侵。該入 侵行為修改了患者記錄被修改并 / 或侵 入醫療設備， 導致治療或患者監護不當。 在這兩種情況下，該網絡入侵都可能對 患者造成傷害。29 一家制造工廠遭受了網絡入侵，擾亂裝 配線運行，導致裝配線加速，并造成財 產損失和員工受傷。30 2018 年國土安全部警報：俄羅斯政府網 絡黑客針對美國政府實體和多個美國關 鍵基礎設施部門發起進攻，涉及能源、 核能、商業設施、用水、航空和關鍵制 造業等領域。31 如果被保險人不根據自身情況詳盡地制定 保單條款，

34、一般的網絡安全保險明確不承保 所有人身傷害 （除非在受到情緒困擾和精神 痛苦的情況下） 及有形財產損失 包括 第一方有形財產損失 （被保險人的自有財產） 和第三方有形財產財產損失 （被保險人以外 的財產） 。 “潛在的網絡安全風險因素” 財產 黑客攻擊導致自動化 制造設施停止生產 通過網絡系統漏洞造 成人身傷害或財產損失 由于網絡相關事件造成 的工廠爆炸或 損壞 知識產權 未發行的電影/媒體 有形和無形資產 的專利設計規范 商業機密 版權材料 D&O 網絡事件的披露 對公司的財務報表 造成重大影響 報告要求 監管審查 貨運 計算機劫持 集裝箱跟蹤系統 GPS導航系統 自動化造船廠流程 犯罪行為

35、 日益復雜的社會 工程攻擊 黑客攻擊大型金融機 構或會計軟件竊取資金 比特幣錢包操縱 恐怖主義 黑客攻擊醫療設備 會對政治或公眾人 物造成人身傷害 惡意傳播錯誤信息 以引發騷亂或內亂 一般/產品責任 自動系統黑客進攻 導致產品規格篡改 并造成設備故障 產品暴露于物聯網 （IoT） 漏洞的風險 增加 網 絡 由系統故障引起的計算機系統的 非物理損壞而導致的業務中斷 安全和隱私責任， 包括和解與辯護 費用 事故響應費用 網絡勒索 人身傷害和財產損失 （潛在的） 環境 對核能或能源設施的攻 擊會導致危險化學品或有 毒氣體對排放 未經處理的污水會污染水源 關鍵基礎設施對癱瘓會導 致火災， 爆炸等 綁架

36、和贖金 在綁架勒索防護保險 項下的對網絡敲詐的索 賠保證成本， 有經驗 的供應商難以獲得準入 召回 自動化制造工廠 汽車和相機中的網絡 漏洞 黑客篡改設計規范 納米技術和3D 打印 請注意， 承保范圍可能因承保人， 以及基礎格式和定制保單格式而有所不同。 27. 28. 當網絡風險變為實體風險時：https：/ 29. 盡管醫療保健數據違規成本高昂，企業仍然缺乏網絡保險， https：/ 30. 網絡攻擊使德國產業損失 430 億歐元， https： / -stud 31. 針對美國能源和其他關鍵基礎設施部門的俄羅斯政府網絡活動。 新興市場中的網絡風險 11 購買商業綜合責任保險單 （CGL）

37、 的意圖是為來自第三方人身傷害和財產 損失的索賠提供保障。 挑戰1： 一般商業責任險保單中包含網絡責任免除（即風險 / 觸發必須是“有形”風 險）。32事實上的 CL 380 除外責任條款進行了規定如下：33 在任何情況下，本保險均不包括任何以而使用計算機、計算機系統、計算機軟件程序、惡意 代碼、病毒、過程、或其他電子系統計算機，作為造成損害的手段，而直接或間接造成或促 成或引起的損失、責任或費用。 挑戰2： 如今，許多企業提供一定程度的專業服務，但是大多數一般商業責任險保單 不包括“專業服務”引起的索賠范圍。 標準除外責任的條款如下： 本保險不適用于因提供或未能提供專業服務而引起的任何“人身

38、傷害”、“財產損失”、 “個人和廣告侵害”。 該除外條款的意圖是希望職業責任保單承保相應的職業責任風險。但如果你注意到幾乎所有 網絡和職業責任保單都除外了人身傷害和財產損失（BI / PD）的索賠，你就會發現事情并不 想象的那樣簡單直接。該除外措辭一般如下： 對于因人身傷害、疾病、死亡、精神壓力、精神痛苦或傷害、或因有形資產的損壞、破壞、 或無法使用而提出索賠，保險公司概不負責。 這造成了一個巨大的保障缺口，即兩個保單均不承保由專業服務引起的人身傷害 / 財產損失 索賠。這同樣適用于除外實體人身傷害 / 財產損失的網絡保單。當網絡安全事故影響工程或 承載計算、監控基礎設施相關軟件、干擾 GPS

39、 坐標（以及其他），并最終導致人身傷害或財 產損失索賠時，保險公司可能會完全拒絕賠償。因此，為充分解決網絡危險，各類保單進行 相互協調配合就顯得很有必要。即使如此，了解現有可保風險的邊界非常重要，并不是每個 網絡風險在目前市場上都是可保的。 32. 綜合一般責任保單可能包含在某些情況下對人身傷害的賠償。 33. 網絡攻擊排除條款 CL.380 已納入許多一般責任保險和財產保險合同，目前已被接受為此問題的市場條款。 12 新興市場中的網絡風險 建筑 教育 能源 娛樂 FAB 金融機構 衛生保健 工業與材料 生命科學 電力 PSG 公共部門 房地產 零售與批發貿易 科技 運輸與物流 關鍵 風險 1

40、 關鍵 風險 2 關鍵 風險 3 關鍵 風險 4 關鍵 風險 5 關鍵 風險 6 關鍵 風險 7 關鍵 風險 8 關鍵 風險 9 關鍵 風險10 行業 不可保 經濟放緩 / 經濟復蘇緩慢 商品價格風險 監管 / 立法變革 競爭加劇 未能創新 / 滿足客戶需求 重大項目失敗 未能吸引或留住頂尖人才 破壞性技術 / 創新 匯率波動 公司治理 / 合規的負擔和后 果越來越嚴重 勞動力短缺 部分可保 網絡犯罪 / 黑客 / 病毒 / 惡意 代碼 聲譽 / 品牌受損 政治風險 / 不確定性 現金流量 / 流動性風險 供應鏈失敗的分布 知識產權 / 數據丟失 資本可用性 / 信用風險 合并 / 收購 /

41、重組 技術故障 / 系統故障 可保 財產損失 業務中斷 環境風險 天氣 / 自然災害 第三方責任 （包括EO） 董事及高級職員個人責任 產品召回 工人受傷 新興市場中的網絡風險 13 4. 其他保險產品對網絡安全保障的“沉默” 和明確 “沉默的網絡安全保障”指的是保單對網絡安全風險并沒有明確是否承保。在沒有明確的網 絡保險責任范圍賠償或排除的情況下，保險公司要么（a）故意提供不明確的網絡責任范圍； 或（b）由于缺乏具體的排除條款非故意提供不肯定不明確的網絡責任范圍；換而言之，當 法院認為相關保單并沒有明確規定或排除特定網絡責任范圍時，從而判決保險公司勝訴時， “沉默”網絡責任范圍就是導致這一結

42、果背后的因素。當因網絡風險而造成的損失首次出現 時，保險公司并沒有將網絡風險添加在其財產保險和一般責任保險等傳統保單的責任范圍中。 當大眾意識到網絡風險的嚴峻性時，一些保險公司仍然選擇將網絡風險排除在其新標準保單 和續約保單之外，或對其做出限制。不過在被保險人繳納額外保費的情況下，保險公司可能 會在傳統保單的基礎上對網絡風險進行承保，這一做法雖然仍不常見，但正在快速發展。34 例如，直到 2016 年 12 月，美國財政部才明確將獨立的網絡責任保險保單歸類為“網絡責任 保單”（而不是將其在職業責任保險中進行除外），以達到用于國家監管的目的，并被列入 恐怖主義風險保險計劃中。35 如上述情景和案

43、例引用中所述，對網絡風險的保障可以在其他非特定的網絡安全保單中找到， 例如犯罪防護保險可以保障資金轉移 / 社會工程等風險、商業綜合責任保險可以保障第三方 有形財產損失和人身傷害，及綁架和勒索保險可以對勒索軟件有關的網絡勒索提供保障。上 述損失的保障數據非常重要，因為考慮到如今大量的聚合 / 相關 / 系統風險模型被用于計算 網絡襲擊的最壞情況（例如最近的 A.M. Best/Guidewire 研究），但是這些計算模擬并不包 含非網絡保險下的潛在網絡責任范圍（即“沉默網絡責任范圍”）。36 2018 年 A.M. Best/ Guidewire 壓力測試中引用了 Lloyd 2017 年新興

44、風險報告中描述的兩種情景：在一個場景中， 眾多云服務的客戶服務器發生故障，并導致大規模的服務和業務中斷；在另一個場景中，一 款常見的軟件應用程序受到攻擊，并在全球范圍內被濫用。 現代制造系統。37 工業 4.0 驅動的操作之間的互聯性（如工業控制系統相關的運營）與工業 物聯網（IoT）設備部署不斷升級，讓更多業務暴露在網絡風險之下，因此，制造商必須要提 供更為全面的網絡保護。38 出于商業原因，大多數制造商不會對安全訪問控制進行大量投資。一些控制可以中斷甚至隔 離對精益生產線和數字供應鏈流程至關重要的制造系統。但是，對于那些考慮納入網絡責任 保險范圍的財產和一般責任 / 產品責任保險承保人，他

45、們希望了解互聯系統的網絡可見性和 實時監控，因為這對于識別攻擊制造基礎設施者早期行為的跡象起著重要作用。企業的資源 有限，但風險、威脅和攻擊者卻無窮無盡。在滿足了各種保險對的最低網絡彈性的要求后， 制造商可以選擇增加保險的保障，以保護其資產負債表免受網絡相關損失。網絡保險仍將是 企業整體安全態勢的重要組成部分。 34. 例如，安聯集團于 2018 年 11 月宣布：考慮到多方面因素，集團打算將網絡相關的有形財產損失和人身傷害損失從獨立網絡保險轉移 到傳統的財產和傷亡保單中。AIG 已經允許在增加附加保險費的情況下，在財產、傷亡或獨立的網絡政策中為被保險人提供某些適用的 網絡風險投保。 35.

46、美國財政部使獨立的網絡保險政策更具有價值： 36. 網絡保險公司可能會因為某一單一事件中損失 119的保單持有人盈余報告：https：/independent.ng/cyber-insurers-may-lose-119- of-policyholders-surplus- in-single-event-report / “但是，該報告還為考慮到這些公司的“隱性網絡責任范圍”。A.M. Best 警告道，這 些“隱性網絡責任范圍”也非常重要。 37. 威脅列表：工業控制系統攻擊的崛起，https：/ 38. 工業物聯網增加全球網絡攻擊的風險：https：/ 14 新興市場中的網絡風險 雖然一

47、些商業財產保險可能承保一些如因計算機病毒造成的損失，但一般保險范圍提供的 保護是有限的，47因為這些保單只能在數據明確遭到物理性損壞時才能賠付。48一般責任 保險保單通常僅承保人身傷害或有形財產，以及被保險人因發布侵犯個人隱私權的內容而 產生的責任。對于計算機犯罪防護保險這類產品，它們有時會被認為是針對網絡索賠的保 險，但是通常不承保因機密信息被盜而產生的直接或間接損失，任何其他間接損失以及潛 在收入損失，包括但不限于利息和股息。 為了明確這些模糊的保險范圍，從而最大限度為網絡安全風險提 供保障，我們提供以下幾種選擇： 獲得不排除網絡或專業服務保險內容的一般責任保險單（即使需要支付額外費用以獲

48、 得確切的網絡風險保障）。否則，應確保排除內容的范圍較窄（或包括?；貤l款）才 可以接受。 。 對于專業和商業服務公司組織（或提供有形產品之外的服務和信息等的實體），須 購買包含下列內容的職業責任保險單：1）對被承保的專業服務的定義要足夠廣泛， 2）對或有的身體傷害 / 財產損失提供保障，3）擴展承保公司處理網絡安全事件（包 括但不限于業務中斷和網絡勒索）的成本。 無論規模大小、所屬行業、或所在何地的公司都應考慮安排對網絡事故導致業務中斷 的保障條款。 由于多種保險保單可能適用于同一網絡事件，因此必須以一致的方式起草所有保單中的 “其他保險”條款，從而確保保險范圍應用的順序能夠清晰準確，并最大限度地擴大覆蓋 范圍。例如，我們通常建議將網絡保單的第一方保險，特別是對事故發生時費用的保障作 為基礎層保險（即第一時間響應及賠付），并將職業責任保單視為超賠層保險（即在網絡 保單賠付之后后作出賠付）。這樣可使得網絡保險承保公司能夠將其專業知識運用到網絡 事件中去，并為被保險人提供相應資源，以減少甚至防止職業