“维护金融安全,促进经济高质量发展”研讨会

作者: 2021年09月29日

2021年6月8日,由上海金融与发展实验室与中科金审(北京)科技有限公司联合主办的“维护金融安全,促进经济高质量发展”主题研讨会在上海成功召开,来自国家级智库、科研院校以及实践领域的多位专家学者围绕经济开放与国家金融安全,金融安全与城市数字化转型,以及金融科技在金融安全领域中的应用等主题展开了深入研习与交流。上海金融与发展实验室将陆续推出各位嘉宾演讲实录。

 

魏晨阳

清华大学金融科技研究院副院长



尊敬的李扬老师,周老师,非常有幸参加上海金融与发展实验室金融安全研究中心成立揭牌仪式,向中心成立表示热烈的祝贺。刚才两位老师的讲话非常有启发,李扬老师讲的是整体系统在理论架构上的核心概念,非常有启发。周老师的研究聚焦银行业,属于金融科技范畴,非常有意义。

 

我这次主要结合清华大学金融科技研究院的研究方向和我负责的保险和养老金研究中心做的一些工作,从网络安全保险、相应市场机制的设立和监管政策方面跟大家做一些汇报,与各位专家探讨,也请大家指正。

 

目前金融安全已经是一个全球热点议题,主要是由于两个方面的因素。一方面,全球面临金融资产重新定价风险,这一点在2008年金融危机之后就开始了。全球经济经历了从2009年开始一直到2020年的最长的恢复增长周期,2020年疫情发生以后又导致了一系列非常规的货币政策、财政政策和经济增长政策的推出,使得全球金融市场波动加大、不确定性上升。国际金融市场的频繁波动,伴随实体经济复苏的市场通胀预期和发达国家货币政策转向的预期升温,都大大增加了金融市场的不确定性和脆弱性。另一方面,疫情本身造成了全球数字化进程极大加速,数字经济表现出非常强劲的韧性,促进了金融业和科技的加速融合。我国数字经济的发展是一个亮点,从全球数字经济总量看,我国数字经济总量排名第二位,数字经济在国民经济中占比已达36%以上。我国金融业在科技驱动下正向移动化、网络化、场景化和智能化的更高阶段发展,为金融产品和服务设计带来前所未有的发展契机。与此同时,技术加速融入,互联网化指数级增长,实际上会带来很多新型的安全风险,对监管提出了严峻考验,从风险角度对智能监管的思路和执行都提出了非常强的要求。不仅有事前金融风险预测,还有事后网络安全保险机制,这种市场机制的保障与补偿都显得格外重要。在这些新的风险中,全球日益关注的是网络安全。而由于金融业务比较复杂,涉及金额高,向来是被黑客攻击的重点,那么金融领域是发生网络安全问题的一个非常重要的风险区。所以今天分享以下几个方面内容,国际网络安全发展经验;我国网络安全的严峻形势;我国网络安全保险发展现状;未来我国网络安全保险发展展望。

 

一、国际网络安全发展经验


全球网络安全保险的发展趋势主要有以下几个方面,一是风险频出推高网络安全保险市场需求。在世界经济论坛发布的区域商业风险报告中,欧洲、北美、亚太三大主要经济区域的企业客户均把网络攻击列为排名第一的最大风险。波耐蒙2019年研究显示,目前单次数字泄露事件造成的平均经济损失是392万美元,还不包括银行和金融机构因为造成的损失在客户那失掉的信誉等无形资产,这是非常大的潜在风险。虽然不同公司做出的预测不一样,但是总体来都认为网络安全保险市场有巨大增长潜力。

 

二是网络安全保险市场发展不是很均衡,主要集中在美国。美国占全球网络安全保险市场份额90%以上,而且其中三家保险公司(美国国际集团AIG、丘博Chubb、信利XL集团)约占45%的美国份额。欧洲地区市场占比约为6%,亚洲地区的网络安全保险主要集中在新加坡和日本。

 

三是重大网络安全风险仍存在保障缺口,从保障范围来看,即使是最成熟的国际化保险公司提出的网络安全保险范围很多也是不全面的;从投保率上看,与不动产、工厂、设备等有形资产和传统资产相比,对于网络安全的投保率很低,很多公司仅有12的%数据信息资产是有保险保障的,相比之下,不动产、工厂和设备投保率达到50%以上,保障缺口的存在和不平衡性非常明显。

 

四是后疫情时代,网络安全保险赔付率激增。2019年美国网络安全保险同比增长11%,达到创记录的22.6亿美元,前十大保险公司占比69%。值得注意的是,不仅保费快速增长,勒索软件的攻击也在快速增长,2019年全球前十大保险公司的网络安全赔付率由40%以下增加到45%。后疫情时代对于保险公司的压力,在网络安全保险方面也是激增。

 

从全球网络安全险发展历程看,网络安全险的时间不长,不到40年。最早是在20世纪70年代,第一代黑客出现在了美国,造成了对这类保险的需求。随后AIG推出了历史上首份网络安全险。2000年互联网大潮兴起,在整个线上互联这样的趋势下,大家发现网络安全变得越来越严峻,非常重要的里程碑是加州政府在2003年颁布了第一部有关安全漏洞的法令,一方面法令做了很多的界定,例如要求企业在用户个人信息被泄露时要及时披露和通知用户,另一方面对企业购买这种保险给予更多激励,这些极大地推动了网络安全保险的发展。2019年,美国已经有超过500家保险公司提供网络安全险产品,保费规模达30亿美金以上。据Finaria.it预测,到2025年全球网络保险规模预计将达到200亿美金以上,市场增长非常迅猛。这里很重要的一点是美国和欧洲的监管和政策制定相对来说走在前面。美国50个州以及哥伦比亚特区、波多黎各和美属维尔京群岛陆续颁布《数据安全泄露通知法案》,欧盟2012年颁布《通用数据保护条例》等。建立健全法律法规,鼓励了网络安全保险的发展,鼓励企业重视网络安全风险,为网络安全保险的发展带来契机。

 

最近一些案例已经显示出网络安全保险变得越来越重要,也显示出对实体经济非常重要的保护作用。美国石油运输公司Colonial遭遇黑客攻击勒索,在一个星期里面被迫关闭大量油管,美国17个州和华盛顿特区都进入了紧急状态,在这种情况下被迫给付黑客500万美金后才恢复正常。因为Colonial购买了网络攻击保险,据称保险金额至少为1500万美金,虽然没有消息说最后保险公司赔付了多少,但是总的保额是足够大的。这个案例凸显了突如其来极端网络安全事件下保险会起非常重要的作用。

 

后疫情时代,随着非接触式生活方式以及线上办公的普及,网络安全风险解决方案成为企业重点关注内容,2021年上半年,网络安全保险初创投融资活跃,非常多初创公司受到了资本青睐,千万级和上亿级融资规模流向了网络保险技术这样的初创公司。这是新晋的独角兽公司Coalition案例。Coalition成立于2017年3月,总部位于旧金山,它通过提供网络安全和事件响应服务,为美国各地的中小企业提供高达1500万美元的全面网络安全保险。它的创始团队两个人都是网络安全方面的专家。2020年Coalition登上了福布斯全美未来独角兽企业榜单。Coalition从2018年到现在融了3亿美金,可以看到资本对这样的公司是非常重视和支持的。Coalition提供的保险产品全面,整个投保的流程简洁快速。Coalition推出的首个网络保险产品不仅补偿公司在使用业务服务时因遇到诈骗而造成的直接经济损失,还避免了非法访问导致的一些间接风险出现。第二个案例是面向中小企业网络风险提供解决方案的Zeguro。Zeguro于2016年在旧金山成立。我们可以看到一些好的受到关注的网络安全公司大多都是成立四、五年不长时间,是一个非常新兴的行业。这种资金充足,并且工程师数量较多的公司,在硅谷有一个称呼“白客公司”,是指这里很多人是从黑客背景华丽转身变成了白客。这些公司接到委托业务后,会围绕委托公司的IT和业务进行攻击,攻击之后做出评估并提供改进方案,很多公司认可这种“先黑后白”的模式,因为不经过专业人士打磨,实际上也知道漏洞在什么地方。

 

二、我国网络安全形势严峻


我们国家的网络安全形势很严峻。先不说我们国家的网络安全险,其实我们国家的网络安全本身就面临很大挑战,这主要是我国数字经济发展速度快,网络基础设施加速度完善,网民数量和网络普及程度显著提高。目前在电子商务、网络零售、移动支付等金融领域的数字化程度正逐步迈向世界领先水平。2020年我国数字经济规模数达到39.2万亿元,占GDP比重为38.6%,在新兴市场居首位。我国现在移动支付用户已超8亿,2020年全国网上零售额117601亿元,都是天文级的数字。

 

我国网络安全风险具有动态性,复杂度不断上升,这主要有三类原因,一是数字化商业模式转型加速,迭代速度变化快,风险复杂度上升;二是数字化设备高度互联,推升了薄弱环节的影响范围,这是互联网的两面性;三是云计算的广泛采用降低了操作透明度,一旦出现攻击诈骗行为不容易被发现,使得网络安全问题进一步复杂化。这三类问题叠加使得我国特别是在金融领域,网络安全风险复杂度不断上升。

 

我国网络安全风险种类基本上有四类,计算机硬件本身技术问题;病毒攻击;数据“窃听”拦截,在网络中传输数据时一些核心敏感数据被拦截,拦截之后用于诈骗或用于其他非法行为;拒绝服务攻击,即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。

 

我们国家对网络安全很重视,采取了网络安全风险治理举措。2017年开始一系列相关法规出台,虽然还不能完全跟上实际需求,但国家高度重视这个问题,2019年、2020年大量关于网络安全的有关法规出台。

 

三、我国网络安全险发展现状

 

从我国网络安全险的发展现状看,我国保险的风险敞口大,据美国著名防毒软件McAfee公司报告估计,2017年我们国家网络犯罪事件造成的潜在经济损失是800-1200亿美金,而与此同时据瑞士再保险2019年发布报告显示,我们国家网络安全保险保费规模只有1000万美金,潜在1200亿美元损失对应只有1000万美元保费,1000万美元保费占美国网络保险市场规模只有0.5%,还有很大差距。如果看中国安全市场占整个IT市场的比例,我们国家是1.84,美国是4.8,全球平均是3.7,所以这几个数字都反映出来,在我们国家网络安全不管从技术还是保险市场体量来看都有很大发展空间。现在估计认为我们国家网络安全市场规模有望从2018年的400多亿,增长至2025年的2000亿元以上,7年的复合增速20%以上,从保险市场发展角度来说这个市场不容忽视。

 

目前我国网络安全险市场产品种类主要以个人为主,基本上是一些防止银行卡盗刷等的。但是从金融安全角度和系统角度来说,是真正希望企业和行业注重网络安全险的问题,这方面我们国家还是处于初级阶段。

 

我国网络安全保险保障缺口分析主要有以下几个方面:首先,是需求和供给两维度分析。需求方是保险意识不够,市场有效需求比较低,尤其是中小企业。中小企业可能对其他商业保险还没有考虑,对网络安全险认识更滞后一些。另外供给方的供给产品单一,产品保障范围不足,创新能力较低。供给方需要足够数据,去定价,去做风险评估,这个问题在美国市场都没有很好地解决题,我们国家很多保司在提供产品的时候,就很难有信心把定价的事情做好。其次,是数据问题,网络安全保险缺乏充分定价数据支持,现在我国整个行业还没有一个系统有这样一个数据库,能够让保司和监管根据数据库系统地分析问题,数据库的建设是基础建设,也是我们合作研究方面最核心的内容。再有,数据缺乏就很难做出安全风险模型,缺乏网络安全风险模型,风控能力有待进一步提升。最后,是缺乏对网络安全有效的法律支持与政策推动。这几个方面既是我们国家网络安全保险保障的缺口,同时也是发展空间。


四、未来我国网络安全保险发展展望


从未来我国网络安全发展的展望角度向大家汇报一下。首先,进一步加强政策引导以及完善法律体系和监管制度,对这个问题需要从行业层面持续关注,这是核心。其次,加强网络安全数据支持,加强网络安全风险经济模型的建立。最后,在数据支持下,鼓励多元化网络安全生态体系,制定保障充分的保险产品,这个是保险行业保司层面做的事情。

 

今天成立金融安全中心是特别重要的,希望将来有机会能够跟曾主任和周老师,在金融科技研究院平台上,一起做一些探索,也希望将来有机会与李扬老师和建军老师合作研究和修改政策,希望多多探讨,今天跟大家先汇报到这里,谢谢大家。