勒索病毒引发“网络保险”反思

本报驻美国特约记者 孙卫赤 本报记者 李晓骁

15日是席卷全球的电脑病毒“想哭”设定的3天期限的到期日。自12日以来，全球150多个国家和地区被这一病毒“勒索”，如果不幸中招必须支付300美元（1美元约合人民币6.89元）或等值的比特币。如果3天内不支付，赎金可能会翻倍，7天内未付款，被锁的文件会被彻底删除。据路透社15日报道，欧洲和亚洲的公司因网络攻击造成的损失累计可能高达数十亿美元，而缺乏网络安全保险，可能使这些损失求偿无门。

有保险才有人赔

“想哭”病毒造成国际知名企业和机构业务中断，如英国国家健康中心、法国汽车制造商雷诺以及西班牙电信公司Telefonica等。英国《泰晤士报》称，网络攻击者已经收到了4.2万美元赎金，但这些赎金并未被黑客取走。而美国保险及风险管理公司怡安集团（Aon）网络风险实践全球主管卡林尼奇称，对于那些受勒索病毒攻击的公司来说，业务中断带来的损失可能会远远高于赎金。

西班牙《世界报》称，西班牙电信公司Telefonica表示，受病毒感染业务中断造成的损失达40亿美元左右，不过该公司购买了相关保险，相关损失与理赔的计算仍在进行中。路透社称，欧洲和亚洲的公司因为缺乏相关保险业务，可能面临无法理赔的情况。

美国网络保险产品经纪公司Marsh的信息安全险产品负责人帕里斯称，大多数网络保险公司最高的理赔金额为5000万美元，其中大部分损失与公司的业务中断有关；少数的网络保险最高的理赔金额甚至可能达到5亿至6亿美元。不过，企业并非付了保险费就了事，必须负起管理责任，如果企业是因为没有及时下载补丁造成风险导致损失，保险公司不予理赔。而如果企业没有通报保险公司就付了赎金，各项损失保险公司也不负责。

90%保单在美国

面对电脑病毒攻击造成的损失，美国公司的情况会好很多。路透社称，美国保险及风险管理公司怡安集团（Aon）网络风险实践全球主管卡林尼奇称，目前全球90%的网络安全保单美国，年保险费市场在25亿到30亿美元。

帕里斯称，美国过去10年来有许多州立法，规定资料外泄时企业必须主动通报，公开透明的规范让公司乐于为需要上报的网络安全问题投保，促使了该保险业务的增加，减少企业因资料泄露产生的额外成本。

路透社称，网络保险还涵盖以下事项产生的费用：通知信息被泄漏了的受害人、雇用公关机构处理公司声誉受损问题、安排对受影响人员进行信用监控和处理潜在的法律诉讼等。网络保险是一个高利润的行业，如Sciemus保险公司曾表示，为价值1000万美元的数据投保费用约为10万美元，这一保费是人身伤害保险的7倍。

全球保单或大幅增加

路透社称，面对大面积的网络攻击，欧盟预计将在2018年通过新的法规，要求发生资料外泄的企业主动上报，保险从业者预计信息安全险种的需求将大幅增加。卡林尼奇认为，“想哭”让保险公司今后会更加仔细地评估他们会承担的风险，拟定保单和免赔事项时也会更加审慎。

在中国，网络安全相关保险还比较陌生。中国平安财产保险股份有限公司总公司团体财产险部企财险负责人彭菲菲15日接受《环球时报》记者采访时表示，平安已经推出了平安网络安全综合保险等险种，但是市场的需求有限。

彭菲菲认为，美国相关保险业务大概有20多年的历程，而中国这方面的业务才刚刚起步，究其原因在于企业和个人的保险意识仍有待提高，此次席卷全球的勒索病毒也给企业和个人敲响了警钟，网络的风险并不是不存在或者离自身很遥远，而即将于6月1日生效的《网络安全法》，也会推动全社会网络安全风险意识的提高。▲