网络安全事件导致的连带营业中断

随着经济全球化的不断深入，生产制造业日益趋向全球分布，同时物流网络也愈发重要，这使得企业越来越依赖 IT 服务。供应链或外包技术环境中发生网络安全事件造成的全球性生产中断，不断凸显出风险管理和风险评估的重要性。尽量避免生产损失，尽可能地减小声誉和市场份额下降给企业造成的永久性消极影响，对任何公司来说都将大有裨益。因此，将日益加剧的网络风险转移至保险的需求在不断增长。对于此类复杂的风险，只有在极少数情况下能够获得适当的风险评估和充分的承保保障。因此，保险业有必要对网络安全连带营业中断损失进行承保的可行性分析，仔细研究在何种情况下可以提供此类保险保障。 

网络安全事件连带营业中断（CBI）保险损失可以是由被保险人所倚赖的服务提供商或产品供应商的计算机系统被损坏所引起。

为了详细阐释由于信息或电信服务等关键性技术提供商的故障而造成的网络安全CBI情形，特以一家汽车空调压缩机制造商作为被保险人为例。假设被保险人需要依赖外部提供的云平台来存储库存信息。试想发生网络攻击之后，云服务提供商暂时无法提供服务时，对被保险人压缩机制造商会有怎样的影响？不难发现，此次事故会导致被保险人停产，进而也会使其财务和声誉受损。

第二个案例情形相似。被保险人为一家食品生产商，由于其核心香料提供商在一次网络安全事件后无法供货，导致了被保险人无法维持生产。这种情况也可以从相反的角度来看：一家食品制造商因遭受网络攻击而导致停产，故无法接收作为被保险人的香料提供商的产品供货。这两个非技术性的网络安全CBI情形，无论是从其供应商或是从其客户的角度来看，都会严重影响到原材料、零部件或配料、操作技术（例如生产机器）、操作材料（例如润滑剂）等供应链，以及物流或基础设施服务。

网络安全CBI发生的可能性和损失的严重性不仅取决于第三方的特性，同时也会受到被保险人自身的结构和商业模式的影响。合同是否经过缜密设计，是否对服务级别有充分且符合实际的约定？在可能的情况下，是否可以让被保险人监控到第三方的信息安全水平，确保其有交付货品或提供服务的能力？大型公司通常在组织、技术、以及人力等方面拥有较多和较好的资源。因此，相对于小型公司，大型公司更容易在察觉和理解风险的同时，进行有效监控并持续改善防御措施。

一家严谨的网络安全承保公司必须对风险进行严格的评估，以了解被保险人商业模式的复杂关联性，同时还需要进行全面的核保分析考量，才有可能实现承保利润。在此对这两方面详细说明如下。

单就被保险公司本身而言，网络安全CBI风险在一定程度上依赖于其 IT 服务提供商或产品供应商的风险暴露和信息安全水平。有些被保险企业由于行业原因，会比其他行业的风险更高。例如，零售业、金融机构、IT 服务提供商、旅游业、餐饮业、物流和运输业等，它们对于 IT 服务的依赖程度会高于一般水平。此外，IT 硬件、电子产品、食品、药物和汽车产业的制造商等，会高度依赖货物和零部件/配料供货商。

评估网络安全CBI风险的控制点始于解决第三方协议内包含的网络安全问题，并需要定期监管和审查服务内容，包括服务的任何变更。若要从信息安全事件中学习，那么创建一个开放的薄弱节点通报机制是非常重要的。此外，在供应链管理中，信息安全的持续性不应只是一次性的计划和实施，同样也不能仅进行一次验证、审核和评估。相反地，需要在业务连续性和事故恢复管理的框架内考虑网络安全CBI风险，将信息安全的持续性保持在可接受的范围内，这是一个长期不可或缺的过程。

保险公司在识别风险时所面临的挑战，主要是在评估过程中经常无法取得所需信息或者只能获取非常有限的信息。为了缩减差距，慕尼黑再保险公司在原有的网络安全风险评估问卷体系之上又开发了一个补充问卷，以便最好地收集全面评估所需的信息。

为了将理论付诸实践，风险识别应从与第三方机构就解决网络安全问题达成一致开始，持续到当某重要供应商因遭受严重网络安全事故导致营业中断之后，并加以实施和管理信息安全连续性才结束。同时，也应考虑到被保险人本身的网络安全CBI风险评估、变更管理和从过去信息安全事件中吸取的教训等因素。

不仅技术风险难以评估，风险暴露如此复杂的网络安全CBI在核保上也同样困难。保险公司可能会发现，要全面了解供应/服务链是非常困难的，而且需要在一定程度上依赖对被保险人付出的努力进行审核。因此，专业的供应链管理应该是为被保险人提供保险保障的先决条件。

在网络安全保险中，不能将CBI纳入标准保障范围内。仅在如下特定情况下考虑涵盖此类风险：

• 供应商的风险状况必须透明化，以确保能够对风险进行评估。
• 更明智的做法是，仅保障被保险人的直接合同伙伴造成的营业中断损失，并明确排除第二及第三级供应商。否则，网络安全CBI损失的频率可能会因为难以控制的风险积累而飙升至无法保障的程度。
• 建议网络安全CBI仅提供给保单中指定列明的合作伙伴。或对非指定供应商的分项限额进行严格限定，使其仅能占到总保额的极小比例。
• 网络安全保险旨在赔偿纯财务损失，因此应排除任何类型的物质损失。

可以想象，一个产品或服务的关键供应商未能充分保护自身系统的安全性，或是其内部人员可能怀有恶意，再或者供应商的系统管理员未能适当保护网络的访问权限，都可能导致有漏洞可以被利用。因此，在评估网络攻击所造成的营业中断风险时，核保人员应特别注意CBI损失所涵盖的内容。

这在实践中又有何意味？被保险人的一级供应商由于恶意软件而遭受网络安全漏洞可以包含在保险范围内。但是，为其供应商的系统故障提供保险，无异于极端的风险蔓延。这需要更高程度的细致严谨和经验水平，因为此时的损失频率将显著增加。被保险人的网络安全保单并不是为了赔偿该供应商的所有 IT 相关事故，即使这些事故可能是由于其 IT 相关水平低劣所引起。

谨慎设定的分项限额在一定程度上可以减少CBI风险。相反地，无限额的保单会导致风险累积到达无法计算的程度。在一条供应链中可能涉及到许多未知的路径链条和相关方。再者，一家保险公司承保的所有此类业务作为一个整体又包含了很多这样的供应链，因此具有更大的不确定性。这就意味着高度风险累积的可能性。保险公司有足够的理由来限定保险金额，以控制其风险暴露。

另外，保险公司在核保中需要考虑设定足够的等待期作为免赔条件，以便于对其客户即被保险人的损失提供赔偿。因此，事故的开始时点应该是被保险人而不是供应商受到重大影响时。被保险人可能自身有库存货品，或者可以借助其他三方供应商作为缓冲，得以弥补某一供应商的营业中断或服务停止所造成的缺口。

全球化和技术与商业之间日益紧密的联系，以及由此产生的依赖性，将推动企业不断寻求保险解决方案。然而，高复杂性和缺乏透明度使得网络安全CBI风险成为整个保险产业必须面临的严峻挑战。从大型企业财产险CBI的赔案中，不难看出我们并没有完全控制住风险。网络安全保险是新兴产品，我们必须自问，如何从财产险中学习并改进方法以适用在这个新的保障范围。

综上，鉴于风险的高复杂度和损失的潜在性，网络安全CBI保障不应在市场上作为标准产品提供。慕再希望保险公司能始终保持谨慎认真的态度进行有选择性地承保。对风险暴露进行科学评估，并谨慎选择风险偏好，以提高风险的透明度，从而奠定慎重承保的基础。和全行业一样，我们也在不断学习来改进风险管理的方法和质量，并高度期待与您进一步沟通交流。