2020放眼云端：美國網絡保險業巨災損失研究 -GUY CARPENTER &ampamp; CyberCube（英文版）(28頁).pdf

1、數字經濟不可阻擋的蔓延正在從根本上改變風險的性質，給(再)保險業帶來了獨特的機遇和挑戰。該行業如何應對技術變革的快速步伐，對其長期相關性和增長至關重要。網絡風險不斷演變的本質使得確定量化具有挑戰性，但對于(再保險)保險公司來說，了解嚴重事件的影響以告知策略和風險容忍度是至關重要的。深入了解網絡災難事件的特征以及它們對當今獨立的網絡保險市場可能產生的金融影響是至關重要的。隨著(再)保險業尋求減少保護缺口并推動網絡產品的采用，其結果是未來的增長將有助于發展一個強健的市場，更好地準備吸收大規模損失的潛力?？紤]到這一前提，CyberCube Analytics和Guy Carpenter合作，致力于幫

2、助(再)保險公司量化網絡風險。CyberCube Analytics為網絡風險聚合建模和保險承保提供軟件即服務分析平臺。這是通過匯集數據資源和分析能力來實現的，目的是從一系列網絡災難場景中培養對美國網絡行業潛在損失的看法。本研究旨在探討美國網絡保險市場中災難性保險損失的主要驅動因素，以及如何將這些結果納入投資組合構建、風險保留和轉移策略以及資本配置中。我們關注了導致最高損失價值的五種情況。對于每一個攻擊，我們都考慮了損失的大小、執行攻擊的單點故障(SPOF)以及這些發現對保險市場的影響。五種主要的促成災難情景是:l  一家領先的云服務提供商長期宕機(143億美元的損失)l 

3、 一家領先的云服務提供商的大規模云勒索軟件(115億美元的損失)l  主要操作系統供應商的大量數據丟失(238億美元的損失)l  來自主要電子郵件服務提供商的廣泛盜竊(191億美元的損失)l  云服務提供商大規模數據丟失(2200億美元損失)保險公司和他們承保的組織需要了解這些重大的災難性情況，并了解應對方案的必要性和潛在的經濟損失。牢記這一點，保險業必須投資于有效地評估和管理聚合，教育商業界推動產品的采用，并量化網絡風險以促進購買適當的保險限額。以下是我們為(再保險)保險公司和其他利益相關者強調的5個關鍵考慮事項，以幫助保護盈利能力和檢查現有美國網絡獨立保險業的

4、資本充足率:美國行業100年一遇的回報期每年產生的網絡災難保險損失總額為146億美元(這可能包括同一年內發生的一次或多次事件)。內部和云服務提供商都面臨來自惡意第三方的外部威脅。以云服務提供商為例，計算出的勒索軟件發生的概率是其他宕機概率的四倍。排名前五的情景類大約占了美國航空公司年平均損失總額的75%。最昂貴的網絡災難場景是一個領先的操作系統供應商的大范圍數據丟失，可能產生高達238億美元的保險損失。最有可能發生的網絡災難損失是來自主要電子郵件服務提供商的廣泛數據盜竊。據估計，到2020年，全球網絡保險市場規模將增長到80 - 90億美元，是2017年的兩倍多。隨著許多傳統保險業務的增長陷入

5、停滯，網絡保險越來越被視為商業財產和意外險(再保險)保險公司具有巨大的增長潛力。盡管有這種增長潛力，但隨著網絡保險的持續發展和演變，仍有一些逆風需要克服。由于新進入者尋求利用增長潛力，競爭日益加劇，這給費率帶來了壓力，也擴大了可覆蓋范圍。隨著保險覆蓋范圍的成熟，以及(再)保險公司對如何將網絡安全指標轉化為損失指標有了更深的理解，(再)保險公司用于量化和適當定價網絡風險的暴露數據是一個移動目標。從歷史上看,網絡保險公司已經看到一系列一次性數據泄露損失,其中一些2018年萬豪數據泄露,例如,違約成本估計超過20億美元并沒有完全被工業性能損失,自保險限制購買遠遠低于預期的最終經濟損失。網絡攻擊造成的

6、最大多保險損失是2017年的NotPetya事件，據財產索賠服務公司(PCS)估計，損失超過30億美元。然而，由于受影響企業的保額不足和產品滲透率低，大部分損失可能會落在非肯定保險市場。分析了全球數百萬家公司的企業數據，包括:l  組織足跡:根據企業內部和外部因素進行評估，支持對關鍵技術依賴和惡意參與者可用的“攻擊面”的全面視圖。l  組織吸引力:測量一系列資產和特征，這些資產和特征可以為任何一類威脅行動者瞄準企業提供動機。l  網絡漏洞:源自內部和外部遙測分析。這一整體觀點使我們能夠衡量網絡攻擊的相對成功率。l  網絡安全態勢:根據提供現有安全質量洞察

7、力的一系列指標進行衡量一些關鍵的技術依賴再次出現，并表現為跨多個地區同時對多個公司進行廣泛網絡攻擊的潛在載體。我們稱之為單點故障(SPOFs)?？赡軐е聯p失最慘重的主要企業包括:操作系統提供商、電子郵件服務提供商、云服務提供商和關鍵的公用事業提供商。許多網絡保險商認為云是引發系統性網絡攻擊的一個主要因素。對云的業務應用肯定在急劇增加。LogicMonitor 2018年的一項調查顯示，到2020年，83%的公司將使用云計算。保險業對云服務的影響了解較少。云不是一種服務，而是幾種不同類型的服務存儲、計算能力、備份服務等等對這些服務的依賴程度各不相同。然而，我們的研究發現，主要的云服務提供商只是SPOF中產生巨災損失的一類。應該考慮的其他SPOFs包括操作系統提供商、電子郵件服務器和關鍵基礎設施提供商，因為這些也可以作為聚合點，因此在網絡安全出現故障時，會造成系統性損失。我們堅信，對網絡災難風險采取穩健、建模和前瞻性的觀點，有助于網絡保險市場的可持續發展。最終，可持續增長將使保險公司更好地填補企業的保護缺口，并作為強大的網絡安全框架的一部分形成持久的合作伙伴關系。