幾天前，雷鋒網(wǎng)宅客頻道編輯參加綠盟科技（以下簡(jiǎn)稱綠盟）的媒體溝通會(huì)時(shí)，對(duì)方發(fā)布了一系列產(chǎn)品與戰(zhàn)略合作計(jì)劃。其中，有一組數(shù)據(jù)和一項(xiàng)合作引起了我的關(guān)注。

綠盟和平安金融聯(lián)合發(fā)布了一份《2017金融科技安全分析報(bào)告》，平安金融的妹子解讀了目前金融業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，然后表示，根據(jù)他們的調(diào)查：籌碼到位的話，35%的員工愿意泄露企業(yè)內(nèi)部數(shù)據(jù)。

編輯仔細(xì)翻了翻這份報(bào)告，發(fā)現(xiàn)這是妹子演講時(shí)新增的料（報(bào)告中沒(méi)有）。

其實(shí)，去年雷鋒網(wǎng)宅客頻道就發(fā)布了普華永道的一項(xiàng)調(diào)研結(jié)論：42% 的中國(guó)內(nèi)地與香港受訪企業(yè)認(rèn)為前雇員是導(dǎo)致安全事件發(fā)生的重要來(lái)源，前員工比黑客和友商更危險(xiǎn)。

按照“不寫(xiě)在對(duì)外資料中的信息可能更加有點(diǎn)意思”的定律（我自己總結(jié)的），我在朋友圈把這一調(diào)查結(jié)論發(fā)布，獲取了一波業(yè)內(nèi)外人士的討論。

我們來(lái)看下主要觀點(diǎn)是什么樣的：

前同事 K：請(qǐng)我吃頓飯，我把上家公司所有單身男同事聯(lián)系方式給你。（呸，不要?。?/strong>

業(yè)內(nèi)人士1：這個(gè)比例不合理，說(shuō)明籌碼不到位，到位了，肯定遠(yuǎn)高于50%。

某警察蜀黍：有很多現(xiàn)實(shí)案例。

業(yè)內(nèi)人士2：這么低？？？人是最薄弱的環(huán)節(jié)。

業(yè)內(nèi)人士3：多數(shù)企業(yè)的安全問(wèn)題確實(shí)不是技術(shù)問(wèn)題。

業(yè)內(nèi)人士4：太保守，至少50% 。

。。。。。

總結(jié)一下：基本沒(méi)有反對(duì)觀點(diǎn)，而且大家對(duì)于“人是薄弱環(huán)節(jié)”這個(gè)觀點(diǎn)是認(rèn)同的。

提出了問(wèn)題，總要有解決方案。

其實(shí)，對(duì)于心懷惡意的前員工也好，無(wú)法抗拒利益誘惑，主動(dòng)或者無(wú)意識(shí)泄露企業(yè)內(nèi)部機(jī)密數(shù)據(jù)的“內(nèi)鬼”也罷，我們看到的，要么是法律法規(guī)和企業(yè)內(nèi)部相關(guān)條例的約束與應(yīng)對(duì)，要么是加強(qiáng)員工安全意識(shí)培訓(xùn)，再者就是從技術(shù)層面對(duì)企業(yè)內(nèi)部行為的跟蹤與規(guī)范。關(guān)于損失如何處理，還真的很少有好的解決方案。

因此，雷鋒網(wǎng)還注意到了上述會(huì)上的另外一項(xiàng)合作，綠盟科技聯(lián)合前海財(cái)險(xiǎn)推出網(wǎng)絡(luò)安全險(xiǎn)，比較明晰地寫(xiě)出了承保的具體范圍：

1.事故鑒定服務(wù)費(fèi)用

企業(yè)聘請(qǐng)專業(yè)機(jī)構(gòu)進(jìn)行事故鑒定需要支付的服務(wù)費(fèi)用。

2.數(shù)據(jù)恢復(fù)費(fèi)用

企業(yè)為恢復(fù)、重建或重新收集電子數(shù)據(jù)，需要支付的費(fèi)用。如：服務(wù)器數(shù)據(jù)恢復(fù)、硬件或軟件數(shù)據(jù)恢復(fù)費(fèi)用等。

3.計(jì)算機(jī)勒索贖金

由于遭受安全威脅而支付的勒索贖金。如：黑客攻擊并竊取了網(wǎng)站信息，向網(wǎng)站提出贖金要求。

4.數(shù)據(jù)泄密責(zé)任

因個(gè)人信息或公司信息發(fā)生泄漏，受害者向泄露信息的企業(yè)提出的賠償要求。如：酒店泄露客戶信息數(shù)據(jù)，受害者向酒店及數(shù)據(jù)商提出的索賠。

5.外包商導(dǎo)致的數(shù)據(jù)泄密責(zé)任

因外包商原因?qū)е滦畔⑿孤?，受害方向企業(yè)提出的賠償要求。如：企業(yè)使用外包商維護(hù)系統(tǒng)，由于外包商自身的管理原因造成信息泄露。

6.數(shù)據(jù)安全責(zé)任

企業(yè)因疏忽或過(guò)失，致第三方財(cái)產(chǎn)損失而需要支付的賠償金。如：企業(yè)被植入惡意代碼、竊取口令或硬件被盜而造成其服務(wù)的客戶遭受損失。

7.法律服務(wù)費(fèi)用

企業(yè)發(fā)生數(shù)據(jù)安全事故而被提起仲裁或者訴訟而產(chǎn)生的仲裁費(fèi)、訴訟費(fèi)、律師費(fèi)等。

你可以發(fā)現(xiàn)，這 7 項(xiàng)內(nèi)容中，4、5、6 項(xiàng)都與數(shù)據(jù)泄密相關(guān)。

編輯沒(méi)有輕易相信，網(wǎng)絡(luò)安全險(xiǎn)可以解決或者真的降低上述“問(wèn)題”里的內(nèi)鬼風(fēng)險(xiǎn)。但是，有沒(méi)有可能，它真的是解決方案選項(xiàng)之一？這是我接下來(lái)主要想討論的問(wèn)題。

困境

讓編輯產(chǎn)生疑慮的地方有：

第一，網(wǎng)絡(luò)安全險(xiǎn)在國(guó)外已有較長(zhǎng)應(yīng)用實(shí)踐，但在國(guó)內(nèi)推廣不是特別多。從網(wǎng)搜資料看，2015年，美亞保險(xiǎn)和安聯(lián)財(cái)險(xiǎn)推出了相關(guān)產(chǎn)品，2017年，藍(lán)盾股份與平安保險(xiǎn)廣東分公司簽訂網(wǎng)絡(luò)安全保險(xiǎn)合作框架協(xié)議，眾安保險(xiǎn)與杭州安恒信息了簽訂戰(zhàn)略合作協(xié)議，陽(yáng)光產(chǎn)險(xiǎn)也推出了網(wǎng)絡(luò)安全綜合保險(xiǎn)。不過(guò)，也就如此了，尚未有什么轟動(dòng)的“后續(xù)劇情”。

第二，出人意料的是，綠盟科技金融事業(yè)部技術(shù)總監(jiān)徐特對(duì)我強(qiáng)調(diào)了兩點(diǎn)：他們不是迫于友商競(jìng)爭(zhēng)壓力聯(lián)合推出相關(guān)險(xiǎn)種，他們?cè)谂c客戶的實(shí)際接觸和調(diào)研中，也沒(méi)有類似客戶發(fā)出急切的需求，希望安全公司和保險(xiǎn)公司推出這類險(xiǎn)種。

這就有意思了。于是，我聯(lián)系了徐特和前海財(cái)險(xiǎn)的相關(guān)人員。

先來(lái)說(shuō)說(shuō)徐特對(duì)這個(gè)市場(chǎng)的態(tài)度。

觀點(diǎn)1：一些網(wǎng)絡(luò)安全險(xiǎn)其實(shí)在變相收取“應(yīng)急響應(yīng)”的錢。

徐特認(rèn)為，有些網(wǎng)絡(luò)安全險(xiǎn)更像換了一個(gè)方式在收應(yīng)急響應(yīng)的錢。

比如，網(wǎng)絡(luò)安全公司也提供應(yīng)急響應(yīng)的服務(wù)。

應(yīng)急響應(yīng)如何收費(fèi)？客戶自己根據(jù)公司情況選擇一年需要的應(yīng)急響應(yīng)的次數(shù)：四次、六次、八次、十次，安全公司基于次數(shù)或者人天收費(fèi)。

很多情況下，到了年底，并沒(méi)有發(fā)生這么多次的安全事件，部分客戶會(huì)認(rèn)為這部分服務(wù)買虧了。有些網(wǎng)絡(luò)安全險(xiǎn)的內(nèi)容主要就是應(yīng)急響應(yīng)，收取較為低廉的保費(fèi)協(xié)助被保險(xiǎn)人處置安全事件。

假如保險(xiǎn)公司有 100 個(gè)這樣的客戶，100 個(gè)客戶平均出兩次險(xiǎn)，以 3 萬(wàn)塊錢一家的數(shù)額來(lái)收，即使有個(gè)別的公司事故特別多，保險(xiǎn)公司這種險(xiǎn)種賣得多了，可以以較低的平均出險(xiǎn)率為個(gè)別客戶提供較多次的應(yīng)急響應(yīng)，同時(shí)保證整體的盈利水平。

“它其實(shí)就在憑運(yùn)氣。因此，現(xiàn)在網(wǎng)絡(luò)安全險(xiǎn)市場(chǎng)上沒(méi)有出現(xiàn)很強(qiáng)的競(jìng)爭(zhēng)。因?yàn)榇蠹也](méi)有找到好的點(diǎn)，即使大家都在談網(wǎng)絡(luò)安全險(xiǎn)，覺(jué)得是一個(gè)藍(lán)海，但這個(gè)東西怎么做，并沒(méi)有非常明晰的路徑。”徐特說(shuō)。

觀點(diǎn)2：網(wǎng)絡(luò)安全險(xiǎn)賣給誰(shuí)，這是一個(gè)問(wèn)題。

相對(duì)于旅行險(xiǎn)等基數(shù)大、風(fēng)險(xiǎn)評(píng)估比較簡(jiǎn)單的險(xiǎn)種，網(wǎng)絡(luò)安全險(xiǎn)面臨劣勢(shì)：第一，基數(shù)不大；第二，保險(xiǎn)公司很難在專業(yè)領(lǐng)域內(nèi)對(duì)一家企業(yè)的安全情況進(jìn)行評(píng)估、確定保額、賠率等。這也是之前一些網(wǎng)絡(luò)安全險(xiǎn)種尋找“替代應(yīng)急”這種簡(jiǎn)單可操作方案的原因。因此，保險(xiǎn)公司在專業(yè)險(xiǎn)領(lǐng)域，要與專業(yè)公司進(jìn)行合作。

說(shuō)白了，就是風(fēng)險(xiǎn)評(píng)估。

但是，問(wèn)題來(lái)了。這類風(fēng)險(xiǎn)評(píng)估包括漏洞掃描、背景檢查、深度測(cè)試等一堆的基礎(chǔ)工作，可能需要花費(fèi)10-20天時(shí)間、10萬(wàn)左右的成本。

“客戶想來(lái)買網(wǎng)絡(luò)安全險(xiǎn)，需要先花個(gè)10萬(wàn)塊錢測(cè)試，測(cè)試做完后，有可能機(jī)構(gòu)還是不賣給你。這種商業(yè)邏輯不太現(xiàn)實(shí)?！毙焯卣f(shuō)。

嘗試

事實(shí)上，徐特透露，在此之前，綠盟和多家財(cái)險(xiǎn)公司有過(guò)探討，但面臨了這一問(wèn)題——很難找到種子客戶。

從已經(jīng)接受了網(wǎng)絡(luò)安全公司服務(wù)的公司里找種子客戶，是徐特和前海認(rèn)為，可能可以獲取種子客戶的一種最優(yōu)路徑——假如對(duì)方已經(jīng)向網(wǎng)絡(luò)安全公司投資了一筆100萬(wàn)的綜合服務(wù)費(fèi)用，再加上5萬(wàn)的保費(fèi)，對(duì)他們而言，并不是多么難以下定決心的事情。

前海方面告訴我，目前在網(wǎng)絡(luò)保險(xiǎn)方面確實(shí)面臨缺乏技術(shù)儲(chǔ)備，數(shù)據(jù)支撐和承保理賠經(jīng)驗(yàn)等困難，聯(lián)結(jié)非常重要。“通過(guò)行業(yè)聯(lián)合，與國(guó)際優(yōu)秀再保人合作，打造產(chǎn)品，解決定價(jià)，承保和理賠的問(wèn)題。”

這意味著，此次與綠盟的聯(lián)手，他們可以解決上述問(wèn)題。此外，他們還要和合作方綠盟一起，完成事前的信息安全評(píng)估、事中的應(yīng)急響應(yīng)服務(wù)、事后的成本和責(zé)任認(rèn)定。在網(wǎng)絡(luò)風(fēng)險(xiǎn)事故發(fā)生后的損失確定方面，前海表示，會(huì)與綠盟合作，在客戶發(fā)生網(wǎng)絡(luò)安全事故時(shí)，提供應(yīng)急響應(yīng)和恢復(fù)。“對(duì)于復(fù)雜情況的損失鑒定，必要時(shí)我們也會(huì)聘請(qǐng)第三方專業(yè)機(jī)構(gòu)進(jìn)行協(xié)助?！?/p>

其實(shí)，這樣表述也許更加清晰：保險(xiǎn)公司不用再擔(dān)心自己在專業(yè)領(lǐng)域里的短板——他們能借助安全公司找到種子客戶，他們多了一把尺子，知道應(yīng)該把網(wǎng)絡(luò)安全險(xiǎn)賣給誰(shuí)，而愿意為自己的安全大力付費(fèi)的用戶會(huì)更認(rèn)可網(wǎng)絡(luò)安全險(xiǎn)的價(jià)值。對(duì)安全公司而言，他們能為客戶提供更全面的服務(wù)，保險(xiǎn)＋一攬子解決方案可以幫客戶消除和減輕各類殘余的安全風(fēng)險(xiǎn)，將其轉(zhuǎn)移給財(cái)險(xiǎn)公司，實(shí)現(xiàn)對(duì)不可預(yù)知風(fēng)險(xiǎn)的財(cái)務(wù)覆蓋。

這就是他們目前正在探索的路徑。

面向未來(lái)的動(dòng)作

回到最初的問(wèn)題，兩家在網(wǎng)絡(luò)安全險(xiǎn)進(jìn)行嘗試的“合作”真的能解決問(wèn)題嗎？

徐特告訴雷鋒網(wǎng)，綠盟的出發(fā)點(diǎn)是——這是一個(gè)面向未來(lái)的動(dòng)作。

我試圖詢問(wèn)，上面承保的 7 項(xiàng)中，有哪幾項(xiàng)可能是“賠付”最多的風(fēng)險(xiǎn)。倍感意外的是，徐特說(shuō)，之前很多安全公司發(fā)出預(yù)警的“勒索蠕蟲(chóng)威脅”可能不是現(xiàn)階段最可怕的點(diǎn)。

“勒索蠕蟲(chóng)不是最可怕的，蠕蟲(chóng)面對(duì)對(duì)象都是同一動(dòng)作的，要命的是勒索的場(chǎng)景化，弄到隱私勒索一個(gè)小職員‘支付企業(yè)內(nèi)部數(shù)據(jù)’，通過(guò)網(wǎng)絡(luò)劫持拿到 CEO 電腦里的重要合約，問(wèn)他要1000萬(wàn)。什么時(shí)候做電信詐騙的轉(zhuǎn)行定向勒索問(wèn)題就大了。”徐特認(rèn)為。

另外，數(shù)據(jù)泄密責(zé)任的賠付可能是未來(lái)的重點(diǎn)。比如，不久前鬧得沸沸揚(yáng)揚(yáng)的 Facebook 泄露隱私事件，用戶就數(shù)據(jù)泄露起訴 Facebook，要求對(duì)所有涉及用戶賠償。

“但在中國(guó)，現(xiàn)在的實(shí)際狀況是沒(méi)人罰它，包括一些大型企業(yè)曾有泄露過(guò)大量用戶數(shù)據(jù)的事件，沒(méi)有哪一個(gè)被執(zhí)法機(jī)構(gòu)開(kāi)過(guò)高額的懲罰性罰款。長(zhǎng)期來(lái)看，早晚有一天也要跟人家一樣開(kāi)始罰的，這個(gè)時(shí)候就真的很需要這個(gè)險(xiǎn)了?！毙焯卣f(shuō)。

所以，也許這能部分解決開(kāi)頭所提到的，無(wú)論是有心的內(nèi)鬼，還是無(wú)意的員工，或是不靠譜的第三方帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn)及損失的問(wèn)題。

不過(guò)，對(duì)綠盟和前海而言，完全解決眼前的問(wèn)題“實(shí)屬野心太大”。他們的目標(biāo)更加現(xiàn)實(shí)——接下來(lái)的一段時(shí)間里獲取一些種子客戶，運(yùn)營(yíng)一段時(shí)間，積累一些經(jīng)驗(yàn)后，才能再談進(jìn)一步的推廣。

網(wǎng)絡(luò)安全險(xiǎn)會(huì)有“爆點(diǎn)”出現(xiàn)，只是時(shí)間早晚的問(wèn)題。

徐特希望，這是擴(kuò)大一家老牌網(wǎng)絡(luò)安全企業(yè)版圖上的一塊重要拼圖。他們想做的，就是盡早開(kāi)始。

本文作者：雷鋒網(wǎng)宅客頻道主筆，李勤，qinqin0511

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。