幾天前，雷鋒網(wǎng)宅客頻道編輯參加綠盟科技（以下簡稱綠盟）的媒體溝通會時，對方發(fā)布了一系列產(chǎn)品與戰(zhàn)略合作計劃。其中，有一組數(shù)據(jù)和一項合作引起了我的關(guān)注。

綠盟和平安金融聯(lián)合發(fā)布了一份《2017金融科技安全分析報告》，平安金融的妹子解讀了目前金融業(yè)的網(wǎng)絡(luò)安全風險，然后表示，根據(jù)他們的調(diào)查：籌碼到位的話，35%的員工愿意泄露企業(yè)內(nèi)部數(shù)據(jù)。

編輯仔細翻了翻這份報告，發(fā)現(xiàn)這是妹子演講時新增的料（報告中沒有）。

其實，去年雷鋒網(wǎng)宅客頻道就發(fā)布了普華永道的一項調(diào)研結(jié)論：42% 的中國內(nèi)地與香港受訪企業(yè)認為前雇員是導(dǎo)致安全事件發(fā)生的重要來源，前員工比黑客和友商更危險。

按照“不寫在對外資料中的信息可能更加有點意思”的定律（我自己總結(jié)的），我在朋友圈把這一調(diào)查結(jié)論發(fā)布，獲取了一波業(yè)內(nèi)外人士的討論。

我們來看下主要觀點是什么樣的：

前同事 K：請我吃頓飯，我把上家公司所有單身男同事聯(lián)系方式給你。（呸，不要！）

業(yè)內(nèi)人士1：這個比例不合理，說明籌碼不到位，到位了，肯定遠高于50%。

某警察蜀黍：有很多現(xiàn)實案例。

業(yè)內(nèi)人士2：這么低？？？人是最薄弱的環(huán)節(jié)。

業(yè)內(nèi)人士3：多數(shù)企業(yè)的安全問題確實不是技術(shù)問題。

業(yè)內(nèi)人士4：太保守，至少50% 。

。。。。。

總結(jié)一下：基本沒有反對觀點，而且大家對于“人是薄弱環(huán)節(jié)”這個觀點是認同的。

提出了問題，總要有解決方案。

其實，對于心懷惡意的前員工也好，無法抗拒利益誘惑，主動或者無意識泄露企業(yè)內(nèi)部機密數(shù)據(jù)的“內(nèi)鬼”也罷，我們看到的，要么是法律法規(guī)和企業(yè)內(nèi)部相關(guān)條例的約束與應(yīng)對，要么是加強員工安全意識培訓，再者就是從技術(shù)層面對企業(yè)內(nèi)部行為的跟蹤與規(guī)范。關(guān)于損失如何處理，還真的很少有好的解決方案。

因此，雷鋒網(wǎng)還注意到了上述會上的另外一項合作，綠盟科技聯(lián)合前海財險推出網(wǎng)絡(luò)安全險，比較明晰地寫出了承保的具體范圍：

1.事故鑒定服務(wù)費用

企業(yè)聘請專業(yè)機構(gòu)進行事故鑒定需要支付的服務(wù)費用。

2.數(shù)據(jù)恢復(fù)費用

企業(yè)為恢復(fù)、重建或重新收集電子數(shù)據(jù)，需要支付的費用。如：服務(wù)器數(shù)據(jù)恢復(fù)、硬件或軟件數(shù)據(jù)恢復(fù)費用等。

3.計算機勒索贖金

由于遭受安全威脅而支付的勒索贖金。如：黑客攻擊并竊取了網(wǎng)站信息，向網(wǎng)站提出贖金要求。

4.數(shù)據(jù)泄密責任

因個人信息或公司信息發(fā)生泄漏，受害者向泄露信息的企業(yè)提出的賠償要求。如：酒店泄露客戶信息數(shù)據(jù)，受害者向酒店及數(shù)據(jù)商提出的索賠。

5.外包商導(dǎo)致的數(shù)據(jù)泄密責任

因外包商原因?qū)е滦畔⑿孤?，受害方向企業(yè)提出的賠償要求。如：企業(yè)使用外包商維護系統(tǒng)，由于外包商自身的管理原因造成信息泄露。

6.數(shù)據(jù)安全責任

企業(yè)因疏忽或過失，致第三方財產(chǎn)損失而需要支付的賠償金。如：企業(yè)被植入惡意代碼、竊取口令或硬件被盜而造成其服務(wù)的客戶遭受損失。

7.法律服務(wù)費用

企業(yè)發(fā)生數(shù)據(jù)安全事故而被提起仲裁或者訴訟而產(chǎn)生的仲裁費、訴訟費、律師費等。

你可以發(fā)現(xiàn)，這 7 項內(nèi)容中，4、5、6 項都與數(shù)據(jù)泄密相關(guān)。

編輯沒有輕易相信，網(wǎng)絡(luò)安全險可以解決或者真的降低上述“問題”里的內(nèi)鬼風險。但是，有沒有可能，它真的是解決方案選項之一？這是我接下來主要想討論的問題。

困境

讓編輯產(chǎn)生疑慮的地方有：

第一，網(wǎng)絡(luò)安全險在國外已有較長應(yīng)用實踐，但在國內(nèi)推廣不是特別多。從網(wǎng)搜資料看，2015年，美亞保險和安聯(lián)財險推出了相關(guān)產(chǎn)品，2017年，藍盾股份與平安保險廣東分公司簽訂網(wǎng)絡(luò)安全保險合作框架協(xié)議，眾安保險與杭州安恒信息了簽訂戰(zhàn)略合作協(xié)議，陽光產(chǎn)險也推出了網(wǎng)絡(luò)安全綜合保險。不過，也就如此了，尚未有什么轟動的“后續(xù)劇情”。

第二，出人意料的是，綠盟科技金融事業(yè)部技術(shù)總監(jiān)徐特對我強調(diào)了兩點：他們不是迫于友商競爭壓力聯(lián)合推出相關(guān)險種，他們在與客戶的實際接觸和調(diào)研中，也沒有類似客戶發(fā)出急切的需求，希望安全公司和保險公司推出這類險種。

這就有意思了。于是，我聯(lián)系了徐特和前海財險的相關(guān)人員。

先來說說徐特對這個市場的態(tài)度。

觀點1：一些網(wǎng)絡(luò)安全險其實在變相收取“應(yīng)急響應(yīng)”的錢。

徐特認為，有些網(wǎng)絡(luò)安全險更像換了一個方式在收應(yīng)急響應(yīng)的錢。

比如，網(wǎng)絡(luò)安全公司也提供應(yīng)急響應(yīng)的服務(wù)。

應(yīng)急響應(yīng)如何收費？客戶自己根據(jù)公司情況選擇一年需要的應(yīng)急響應(yīng)的次數(shù)：四次、六次、八次、十次，安全公司基于次數(shù)或者人天收費。

很多情況下，到了年底，并沒有發(fā)生這么多次的安全事件，部分客戶會認為這部分服務(wù)買虧了。有些網(wǎng)絡(luò)安全險的內(nèi)容主要就是應(yīng)急響應(yīng)，收取較為低廉的保費協(xié)助被保險人處置安全事件。

假如保險公司有 100 個這樣的客戶，100 個客戶平均出兩次險，以 3 萬塊錢一家的數(shù)額來收，即使有個別的公司事故特別多，保險公司這種險種賣得多了，可以以較低的平均出險率為個別客戶提供較多次的應(yīng)急響應(yīng)，同時保證整體的盈利水平。

“它其實就在憑運氣。因此，現(xiàn)在網(wǎng)絡(luò)安全險市場上沒有出現(xiàn)很強的競爭。因為大家并沒有找到好的點，即使大家都在談網(wǎng)絡(luò)安全險，覺得是一個藍海，但這個東西怎么做，并沒有非常明晰的路徑?！毙焯卣f。

觀點2：網(wǎng)絡(luò)安全險賣給誰，這是一個問題。

相對于旅行險等基數(shù)大、風險評估比較簡單的險種，網(wǎng)絡(luò)安全險面臨劣勢：第一，基數(shù)不大；第二，保險公司很難在專業(yè)領(lǐng)域內(nèi)對一家企業(yè)的安全情況進行評估、確定保額、賠率等。這也是之前一些網(wǎng)絡(luò)安全險種尋找“替代應(yīng)急”這種簡單可操作方案的原因。因此，保險公司在專業(yè)險領(lǐng)域，要與專業(yè)公司進行合作。

說白了，就是風險評估。

但是，問題來了。這類風險評估包括漏洞掃描、背景檢查、深度測試等一堆的基礎(chǔ)工作，可能需要花費10-20天時間、10萬左右的成本。

“客戶想來買網(wǎng)絡(luò)安全險，需要先花個10萬塊錢測試，測試做完后，有可能機構(gòu)還是不賣給你。這種商業(yè)邏輯不太現(xiàn)實?！毙焯卣f。

嘗試

事實上，徐特透露，在此之前，綠盟和多家財險公司有過探討，但面臨了這一問題——很難找到種子客戶。

從已經(jīng)接受了網(wǎng)絡(luò)安全公司服務(wù)的公司里找種子客戶，是徐特和前海認為，可能可以獲取種子客戶的一種最優(yōu)路徑——假如對方已經(jīng)向網(wǎng)絡(luò)安全公司投資了一筆100萬的綜合服務(wù)費用，再加上5萬的保費，對他們而言，并不是多么難以下定決心的事情。

前海方面告訴我，目前在網(wǎng)絡(luò)保險方面確實面臨缺乏技術(shù)儲備，數(shù)據(jù)支撐和承保理賠經(jīng)驗等困難，聯(lián)結(jié)非常重要?！巴ㄟ^行業(yè)聯(lián)合，與國際優(yōu)秀再保人合作，打造產(chǎn)品，解決定價，承保和理賠的問題?！?/p>

這意味著，此次與綠盟的聯(lián)手，他們可以解決上述問題。此外，他們還要和合作方綠盟一起，完成事前的信息安全評估、事中的應(yīng)急響應(yīng)服務(wù)、事后的成本和責任認定。在網(wǎng)絡(luò)風險事故發(fā)生后的損失確定方面，前海表示，會與綠盟合作，在客戶發(fā)生網(wǎng)絡(luò)安全事故時，提供應(yīng)急響應(yīng)和恢復(fù)。“對于復(fù)雜情況的損失鑒定，必要時我們也會聘請第三方專業(yè)機構(gòu)進行協(xié)助?！?/p>

其實，這樣表述也許更加清晰：保險公司不用再擔心自己在專業(yè)領(lǐng)域里的短板——他們能借助安全公司找到種子客戶，他們多了一把尺子，知道應(yīng)該把網(wǎng)絡(luò)安全險賣給誰，而愿意為自己的安全大力付費的用戶會更認可網(wǎng)絡(luò)安全險的價值。對安全公司而言，他們能為客戶提供更全面的服務(wù)，保險＋一攬子解決方案可以幫客戶消除和減輕各類殘余的安全風險，將其轉(zhuǎn)移給財險公司，實現(xiàn)對不可預(yù)知風險的財務(wù)覆蓋。

這就是他們目前正在探索的路徑。

面向未來的動作

回到最初的問題，兩家在網(wǎng)絡(luò)安全險進行嘗試的“合作”真的能解決問題嗎？

徐特告訴雷鋒網(wǎng)，綠盟的出發(fā)點是——這是一個面向未來的動作。

我試圖詢問，上面承保的 7 項中，有哪幾項可能是“賠付”最多的風險。倍感意外的是，徐特說，之前很多安全公司發(fā)出預(yù)警的“勒索蠕蟲威脅”可能不是現(xiàn)階段最可怕的點。

“勒索蠕蟲不是最可怕的，蠕蟲面對對象都是同一動作的，要命的是勒索的場景化，弄到隱私勒索一個小職員‘支付企業(yè)內(nèi)部數(shù)據(jù)’，通過網(wǎng)絡(luò)劫持拿到 CEO 電腦里的重要合約，問他要1000萬。什么時候做電信詐騙的轉(zhuǎn)行定向勒索問題就大了?！毙焯卣J為。

另外，數(shù)據(jù)泄密責任的賠付可能是未來的重點。比如，不久前鬧得沸沸揚揚的 Facebook 泄露隱私事件，用戶就數(shù)據(jù)泄露起訴 Facebook，要求對所有涉及用戶賠償。

“但在中國，現(xiàn)在的實際狀況是沒人罰它，包括一些大型企業(yè)曾有泄露過大量用戶數(shù)據(jù)的事件，沒有哪一個被執(zhí)法機構(gòu)開過高額的懲罰性罰款。長期來看，早晚有一天也要跟人家一樣開始罰的，這個時候就真的很需要這個險了?！毙焯卣f。

所以，也許這能部分解決開頭所提到的，無論是有心的內(nèi)鬼，還是無意的員工，或是不靠譜的第三方帶來的數(shù)據(jù)泄露風險及損失的問題。

不過，對綠盟和前海而言，完全解決眼前的問題“實屬野心太大”。他們的目標更加現(xiàn)實——接下來的一段時間里獲取一些種子客戶，運營一段時間，積累一些經(jīng)驗后，才能再談進一步的推廣。

網(wǎng)絡(luò)安全險會有“爆點”出現(xiàn)，只是時間早晚的問題。

徐特希望，這是擴大一家老牌網(wǎng)絡(luò)安全企業(yè)版圖上的一塊重要拼圖。他們想做的，就是盡早開始。

本文作者：雷鋒網(wǎng)宅客頻道主筆，李勤，qinqin0511

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。