来源:中国银行保险报
□记者 谭乐之
近日,微软公布消息称,全球技术故障已影响850万使用视窗操作系统的设备。
本次影响之广不仅显示了数字化世界的脆弱,也同样为我国金融业数字化进程敲响了警钟。此外,另一个备受关注的问题是,近年来热议的网络安全保险,是否可以为此次“IT事故”买单?
对中国影响甚微
据多家媒体报道,在海外,这次微软“宕机”(计算机不能正常工作,且不能短时间内恢复,俗称“死机”)波及了航空、医疗、传媒、金融、零售、物流等多个行业。
以航空业为例,此次事件造成全球数千架次航班被取消,数万架次航班延误,大量旅客滞留机场。
此次事件对全球金融业也造成了显著冲击。对外经济贸易大学创新与风险管理研究中心副主任龙格表示,此次事件不仅造成业务中断和交易延迟,全球多个金融机构的员工遭遇蓝屏错误,无法正常登录公司系统,中断了金融业务操作;还造成了市场波动,技术事故导致投资者信心受损,对金融机构的财务状况产生负面影响,事故暴露出的技术漏洞和安全问题损害了投资者对金融机构的信心。
不过,此次事件对包括中国金融业在内的各行业影响甚微。这主要是因为本次事件导火索CrowdStrike的安全软件仅在国外市场有较高占有率,在中国市场占有率极低。龙格表示,相比其他国家,中国金融业对国际高科技公司的依赖程度较低。中国努力实现IT自给自足,在关键服务方面受到的影响很小。
那么,未来这样的事件是否有可能会发生在中国金融业?
中央财经大学中国精算科技实验室主任陈辉认为,严格意义上来说,类似安全事件要做到完全避免是很难的,此次“蓝屏事件”促使金融业界深思,除了从基础操作系统到顶层应用构筑完全自主可控的能力之外,关键要提高信息系统安全等级保护。
龙格认为,尽管中国金融业可能面临一定的挑战,但由于较为完善的IT风险管控体系,影响可能会在可控范围内。此次事件为全球金融业敲响了警钟,凸显了信息安全在数字化时代的重要性,同时也展示了中国在IT自给自足方面的努力和优势。
网络安全保险赔吗?
本次事件另一关注的话题是近年来备受关注的网络安全保险,是否可以为此次“IT事故”买单?
根据多家媒体报道,全球四大保险经纪公司之一威达信集团(Marsh McLennan)分析称,超过75家客户可能会因为CrowdStrike全球性崩溃事件而提出网络故障索赔。威达信集团主要为企业提供风险、战略和人力资本方面的咨询和解决方案服务。
《中国银行保险报》记者从威达信集团了解到,网络安全保险可以广泛覆盖因网络中断而导致的业务中断,包括对非恶意行为(含人为错误)导致的系统故障,承保范围也可以扩展到意外业务中断(CBI),即由被保险人的网络供应商中断造成的。如果中断影响了客户的业务,威达信集团建议尽快联系公司网络专家;即使客户不确定是否在网络安全保险保障范围,也建议尽快与相关保险公司沟通。
针对此次事件,也有多位业界人士分享了自己的看法。
阳光财险财产险部负责人林霁光表示,一般来说,根据网络安全保险保障内容及免责事项,大部分网络安全保险的保障范围包括因计算机恶意行为、恶意软件或者遭受拒绝服务带来的数据恢复或者费用损失、利润损失或者给三方造成的侵权直接损失。而对自身的系统设计、规格、材料或工艺的错误、缺陷、瑕疵等情况,多数属于责任免除范围。
龙格认为,网络安全保险通常涵盖因网络事件造成的经济损失,包括但不限于业务中断、威胁响应和补救、法律费用、数据泄漏恢复、监管行动、声誉管理以及赎金支付等。
记者梳理了国内多家保险公司的网络安全保险产品。
比如,太保产险《宁波市网络安全保险条款》指出,“……各计算机系统发生网络安全事故,导致被保险人的下列经济损失,保险人按照保险合同的约定负责赔偿”。其中网络安全事故包括“营业中断损失”。不过,在责任免除中也包括“任何基础设施故障或供应中断”等。
又比如,中华财险《企业网络安全责任保险附加险(2020版)条款》指出,“在保险期间内,因安全事故造成被保险人营业中断损失,保险人以保险单第七项所载的相应分项责任限额为限,依法承担免赔期届满后相应的赔偿责任”。不过“计算机系统更新、升级、增强或更换后的水平超过遭受营业中断损失前的水平”“去除软件程序中的错误或弱点”等属于责任免除范围内。
太极华保执行总裁喻凌认为,从国内网络安全保险的条款来看,“因安全事故造成被保险人营业中断损失”“重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力”等表述,都意味着此类事件属于网络安全保险的保障范围。不过,也需要注意“计算机系统更新、升级、增强或更换后的水平超过遭受营业中断损失前的水平”等免责条款。
“目前网络上出现大规模蓝屏事件,是因为安全软件公司CrowdStrike打补丁造成的,界定是否属于计算机系统的更新,得看保险公司如何界定。”喻凌表示,网络安全保险对应的赔付由承保人和购买人协商,行业并无具体的条款收费和赔付标准。
金融信息安全响警钟
比起保险赔付与否,更为重要的是此次事件为金融业信息安全问题敲响了警钟。
“此事件引发了对技术和服务自主可控的深入讨论,保险业应考虑减少对外部供应商的依赖,特别是在关键技术和服务方面。”龙格认为,保险业可以通过与本土技术供应商合作,推动使用国产操作系统和解决方案,以提高系统的安全性和可控性。
“金融行业业务不能暂停,一旦暂停损失不可估量,企业需要重视基础能力建设,形成多套的灾备机制,在遇到问题时,备份机制能够接管,充分保障业务不中断,保证业务连续性。”喻凌表示,中国保险业数字化转型过程中,需要重视计算机产品选用及兼容性测试,加强内部流程管控。“金融机构也需要选择专业性较强的服务伙伴,只有足够专业,解决复杂问题的能力才越强,也才能够为客户的系统建设和重大变更提供参考意见”。
陈辉表示,保险业在数字化转型过程中,既要做好自身的计算机硬件、软件、网络安全等风险管理,提高信息系统安全等级保护并落到实处;又要发挥保险的风险治理和风险保障作用,深耕“计算机综合保险”“网络安全责任保险”等产品,为数字经济、数字生活提供安全保障。