保监会原副主席周延礼:智能化时代如何化解网络安全风险?

2020年11月27日 15:40  

本文7933字,约11分钟

“我们现在已经进入网络化、数字化和智能化的阶段,需要面临的一个重要问题便是如何防范网络安全风险。”11月27日,国务院参事室特约研究员、全国政协经济委员会委员、保监会原副主席周延礼在“《财经》年会2021:预测与战略”大会上强调。

国务院参事室特约研究员、全国政协经济委员会委员、保监会原副主席 周延礼

周延礼指出,目前网络风险已与经济风险、安全风险、国家风险、金融风险共同构成了全球五大风险,预计2021年由此带来的经济损失将超过1万亿元。就中国而言,平均每年在网络安全领域的损失高达600亿美元,居全球第二、亚洲首位。他表示,造成这一巨大损失的原因主要包括数据泄露、勒索软件等。

“这些网络安全事件范围广、损失大,它波及的行业比较多,但大家对勒索软件的认识还没有上升到风险的高度、经济损失的高度”,周延礼强调,加强对网络安全风险的重视已刻不容缓。

那么,我们应如何分散并降低这一风险?周延礼建议,可以充分发挥网络安全保险的效用。例如,保险公司可以承保其他风险管理手段无法处置的风险,从而为企业提供风险管理服务;同时,它能够帮助企业解决事故责任,提高风险防范水平。

以下为发言实录:

主持人(张燕冬):非常感谢刘首席对近年来银行保险业所取得的成就进行的一些梳理,尤其提到了P2P五千多家已经完全归零,您讲的时候媒体已经报道了,我自己已经转发了,就是P2P5千多家已经归零,同时对新阶段银行保险业又提出了一些新的要求,其核心还是要服务于实体经济,我感觉到有几个词还是非常好的,高度的适应性、竞争性以及普惠性的集合,再加上我们的开放,谢谢刘首席。

下面有请全国政协经济委员会委员、保监会原副主席周延礼先生给我们做网络安全保险—赋能企业网络安全风险管理的主旨演讲,周主席从事保险行业已经40年,拥有丰富的保险业的从业领导和专业经验,有请周主席。

周延礼:谢谢主持人,刚才大家都听了刘首席就金融监管政策的宣讲,尤其是下一步银保监会主要的具体工作、对将来2021年的工作将会产生重要影响,今年我围绕比较窄的主题来展开,前段时间就网络安全问题做了深入的调研,我们现在已经进入网络化、数字化和智能化的阶段,在这个阶段当中很重要的一个问题就是要加强风险的防范,如何防范风险,我们要有一些工具,保险就是很重要的一项内容。刚才大家注意到刘首席在他的讲话中强调两点,一点是P2P5千多家现在已经清零完毕,另外他特别强调了隐私和信息安全问题,我想这些对社会关注性都是非常高的,我今天围绕着网络安全保险—赋能企业网络安全风险管理来展开,与大家进行交流。前段时间我对这些问题做了调研,去了一些科技机构做了一些研究,尤其是南京源堡科技研究院提供了大量的素材,我借此机会表示感谢,下面我围绕四方面的问题与大家进行分享。第一是网络安全的形势,第二是防范和化解、转移、分散网络安全的风险问题,第三是解决这些问题需要有具体措施和办法,我提出一些具体措施和办法与大家进行分享。第四是给大家讲两个案例,尤其是在网络安全领域出现的情况。

网络安全的形势,我认为总的判断是非常严峻的,主要有以下三个方面。第一,网络风险已经成为全球五大风险之一,经济风险、安全风险、国家风险、金融风险,网络安全风险是非常重要的内容,预计2021年经济损失将超过1万亿元,这是从科技预测的角度,当然不是说我们自己的预测,是国际上一些权威性的网络风险的管控机构做的分析。第二,这些风险的产生主要由勒索软件、数据泄露这些网络安全最常见的事件。第三,党和政府是如何对待这些事件的?党和政府高度重视网络安全问题,加强网络安全建设,加强执法力度,这是我们中国政府所采取的具体措施。

下面我给大家详细介绍一下网络安全风险对全球造成的损失的具体情况。根据国外的机构迈克菲,他是专门搞网络安全风险预测的,他和美国的国家战略研究中心有一个联合公布的研究报告,这份研究报告是非常权威的,就网络安全风险的敞口做了一些指数级的分析,并且分析得出的结果对网络安全问题将来要产生一个指数级的放大,它主要回顾过去几年来尤其是从2016年以来网络安全犯罪的情况,2016年全球的经济损失高达4500亿美元,这有一个分析,2016年-2021年它做了一个分析,右边这个图表可以看出每年的风险数量呈指数级增长,2016年4562亿美元,2021年增长幅度过万亿,针对这种情况加强网络安全的风险是一项当务之急的工作。对中国的情况,他们也做了一些研究,中国平均每年在网络安全领域造成的损失有600亿美元,居全球第二,亚洲首位,它主要根据我们数字化网络化和智能化发展的阶段以及下一步在数字化转型过程中加强网络安全风险做了一些工作,相对来讲国家加强网络安全风险控制是很到位的,但是这种风险也会出现。

造成的损失有哪几方面呢?第一是数据泄露,刚才刘首席特别强调了个人隐私和信息的问题,数据泄露是一个最大的风险源,产生的一些营业中断,现在是网络化的时代,一旦营业中断,网络出现一些问题,将来带来的风险是非常巨大的。第三是勒索软件,现在经常看到手机给你发的软件,大家一定要看清楚了,不要轻易打开,一旦打开之后个人的一些信息就要泄露出去,它植入各种木马软件,给你带来的损害是不可想象的。大家现在都有这样一个习惯,出去之后别的都不带,首先要带手机,为什么?因为好多信息都在里面,中国现在发展的阶段性在移动终端的发展方面在全球领先,尤其是在金融领域支付结算、个人消费方面我们在全球领先,大家可以想一想如果我们的手机植入一些勒索软件造成了经济损失可想而知,我们的银行帐户、消费账户、支付宝、微信支付、银联的闪付等等的损失是不可想象的。

另外就是数据的损害,数据要留痕,要有真实性,恶意的给你损害,数据的制真带来你的决策判断的影响是非常巨大的。还有网页的篡改,你上了APP也好上了网页也好,假如是一个电商,你上错了网页购买了一些东西,将来你收不到货,甚至你买到的东西是假的,甚至带来的经济损失个人是无法承担的。还有设备损坏问题,带来这些损失我们做了一些分析,从2017到2018年全球网络安全攻击损失最大的前十个行业,我们做了简单的分析,第一是银行业,刚才刘首席特别强调银行业的信息化网络化网络安全的管理问题,银行业是最大的,每年银行业造成的损失有增无减,2017年的数据和2018年的数据,2018年的数据增长,2019年的数据还没有出来,咱们无法做一些判断,我们希望能够有所收敛。银保监会在这方面做了很多工作,对加强网络安全的监管甚至打击一些P2P的违法违规行为,效果逐步体现。

在公共事业方面放在第二位,第三位是软件,下载一些软件,第四是汽车行业,2017和2018年的情况发生了很大的变化,2018年这些数据还是往上走的,通过这个可以看出汽车领域有一些犯罪行为造成的攻击带来的经济损失在增长,另外还有高科技、能源,我们现在的能源消耗、能源管理、能源网络化管理水平在全球领先,相对来说是双刃剑,风险也是同时存在的。还有消费、零售、通信和媒体、公共部门,现在看来这些网络攻击造成的损失都是侧重于金融部门,尤其是银行业、能源、汽车,消费领域和公共事务领域造成了损失,通过这些损失对全球17个国家355家大型公司做分析判断,这种损失真是不可低估,所以到2021年有一个数据的增长,大家可以想象网络安全的风险要给予高度重视。

咱们具体分析一下勒索软件攻击的趋势。2021年造成的损失将达200亿美元,大家对勒索软件的认识还没有上升到风险的高度、经济损失的高度,我这里和大家分享一下,因为前段时间搞了一些调研可以看到有一些网络公司和我介绍,设计的一些软件中漏洞无处不在,甚至还有一些预先设置的漏洞,对这些风险我们一定要予以高度重视,尤其是带有勒索软件性质的风险漏洞是我们今后要加以高度防范的。比如2020年前十大网络威胁的案件当中,勒索病毒是摆在第一位的,其次接下来是木马,驱动类的木马、疫情钓鱼邮件、远程办公的隐患,现在都是疫情期间居家隔离远程办公,有很多黑客看准了这样一个机会植入一些软件,破坏你的远程办公的效果。还有隔离网络突破横向进行渗透,供应链的感染,我们现在供应链是产业互联网非常重要的一环,病毒的感染对我们产业链供应链产生的价值最终的结果影响是非常大的。虚拟的技术还有变形虫的攻击带来的损失要引起大家的注意。

在这里举几个数据,2019年第三季度有4.1万亿美元勒索金,2019年第四季度上了1倍,8.4万亿,当然勒索案件不一定完全成功,对这些问题我们要予以高度重视,他们提出的要价是非常高的。预计到2021年勒索案件造成的损失将会达到200亿美元,换言之每11秒钟就会发生一起网络勒索事件,这个数据来源是国外的Coverware,它所报告的信息是通过网络系统获取的,通过这个我们可以看出近年来勒索软件事故的频发且造成的损失越来越高,用户除了搭建完备的安全防御系统之外,我们还需要保险发挥作用,保险承担这样的职责,承担风险转移风险分散风险,遇到病毒攻击时获得一些经济的保障,保险可以发挥这样一些作用。

对这些网络安全的事件总的判断是范围广、损失大,它波及的行业比较多,比如在金融业,多家境内外的金融保险证券机构会造成网络安全的事故,制造业发生的网络安全事故的重灾区,比如默克、台积电等这种大型企业均发生过网络安全事故。十四五期间我们要建立质量强国、制造强国、网络强国,这些往往都和我们防范网络风险是直接相关的,IT行业比如网易、易到用车、酷米、ACFUN等均受到过攻击,勒索事件的发生。还有酒店、文化、娱乐,包括万豪、美高梅等国际大型酒店和多家游戏传媒公司都发生过数据泄露和被盗的事件,可以看出不断扩大的趋势,攻击的方式是多样的,比如流量攻击。数据窃取、勒索病毒,勒索病毒攻击非常厉害,涉及到的国家、企业和赎金不断增加,刚才我介绍了一下,一个季度翻倍,预计2021年风险还会加大。还有供应链攻击问题,80%的企业都发生过供应链网络安全事件,90%企业没有做好这方面的准备。

事件影响非常严重,因为损失金额近三年来国内外网络安全事故造成的损失初步统计有20亿美元,国内企业直接损失超过了10亿人民币。对企业处理的成本带来的压力是非常大的,网络安全出现一些事故造成企业的声誉会带来很大的影响。从保险的角度我们可以看到保险的赔款规模近年来因为网络安全事故造成的损失已经超过2亿美元,索赔的申请是多家企业发生网络安全事件之后向保险公司提出了网络安全索赔申请,近几年来索赔申请的频率越来越高,到目前为止和上一年比较翻了3倍多。对于这种情况,党和国家高度重视,习近平总书记在全国网络安全和信息化工作会议上做重要讲话时特别强调“没有网络安全就没有国家安全,没有经济的社会稳定运行,广大人民群众的利益也难以得到保障”,总书记的讲话高屋建瓴,国家专门出台了网络安全法,所以对这些网络安全,是十四五期间我们要抓好非常重要的工作,十四五有质量强国、制造强国、网络强国,网络安全是非常重要的内容。十九大报告中也特别强调要加强互联网内容的建设,要建立网络综合治理的体系,要营造晴朗的网络空间,对我们提出的一些要求、压力都是非常巨大的。

我们要做的工作,这里列了一个图表,党政机关加强网络安全建设和执法,现在有一些路线图。比如中央网信办联合国家互联网信息办加强对晴朗网络空间和加强个人信息保护方面采取了一些重要作用,这也是银保监会加强信息安全和隐私保护非常重要的一项内容,刚才刘首席特别强调了这一点。公安部加大惩罚各类电信诈骗和套路贷款的力度,现在套路贷形式变化多样,尤其是互联网金融领域,去年前年连续两年清理P2P发现了很多问题,花费的力度,各部门核心协力齐抓共管打造的效果,非常来之不易。工信部出台了多个文件和行政措施,强化了工业互联网。国家市场监管总局查处了违法违规行为,深化网络交易的管理,中国人民银行加强了互联网金融犯罪整治,严控金融和网络贷款的风险。多部委联合制定了《网络安全审查办法》,开展了网络信息安全专项整治,严打违法犯罪行为,通过这个可以看出对加强网络安全建设和执法力度,我们党和国家政府高度重视,保证了国家安全网络安全,抓好网络安全执法是非常重要的一项工作。

下面我分享第二个问题,网络安全保险是分散网络风险的有效工具。从两方面与大家进行分享。第一是保险公司通过承保其他的风险管理的手段无法处置的风险为企业提供风险管理服务,第二是网络安全保险能够帮助这些企业解决事故责任,提高风险防范水平。大家知道网络安全风险是相对的,可以通过保险的方式转移不确定的风险,网络安全风险不一定是必定发生的,我们如果做到安全的防范是可以有效避免的,发生经济损失我们可以有一个兜底的办法,通过保险的补偿措施加以解决,减少企业的经济损失。网络安全风险总的感觉是无处不在,漏洞到处都有,防不胜防。我们觉得保险是非常必要的,可以通过保险来进行风险的转移。

有几种保险,第一是自身的安全风险问题,主要是外部导致的部分业务营业中断,勒索病毒导致的赎金和营业中断中内部人员操作导致的营业中断问题,还有一些大规模的数据泄露事件。第二是供应商的安全风险问题,由于分包商和供应商安全管理不到位导致的一些营业中断和数据泄露问题,造成的经济损失和重大的声誉损失都可能发生。第三是客户安全风险问题,大型的央企有众多的B端客户、C端客户他们都会参与进来,有些客户的系统可能会受到网络攻击导致的营业中断、数据泄露、勒索软件等安全事件发生,这些可以通过保险的形式来解决大家的风险保障问题。

接下来大家会问什么是网络安全保险,下面我通过这样一些欧洲的和美国的相关部门的定义做一下解释。网络保险在欧洲的网络与信息安全局有这样一个定义,网络保险是指承保与网络空间风险相关的风险为目的的保险合同,保险合同的内容覆盖:责任问题、财产损失和盗窃、数据损坏、网络中断和计算机故障或网站损坏造成的收入损失。这是欧洲网络和信息安全局做的定位。这里有几个关键词,网络空间的风险和相关风险,因为它覆盖面比较大,所以你在购买这种保险的时候要把企业所面临的风险用科学的方式进行甄别分析,做出一个预判,使这个保险更好的全覆盖。保险的覆盖主要是有这么几个方面,一个是责任问题,一个是财产损失问题,一个是数据损坏如何恢复问题,要有一些经济价值,因为恢复需要人员物理方面的投入。还有计算机中断、计算机事故等造成的机器损坏,这些都可以得到一些赔偿。风险管理是源于保险,保险公司可以通过其他的风险管理手段无法处理的风险来提供风险的管理服务。

从风险管理的风险手段这方面可以从低风险到高风险,从低概率到高概率,我们做一下分析,缓解、保留、规避、转移,通过这四方面分析。网络安全风险在风险转移的缓释和风险转移的方式通过数据的计量,我们可以看出效用和投入之间的关系。网络安全事故可能会对企业造成重大损失,网络安全保险可以提供有效的保障,主要是通过这四方面,比如营业中断、受到攻击、遭受第三方的勒索和行政处罚、数据泄露以及勒索软件等,通过这个我们可以看出网络安全事件不仅对企业造成了重大的经济损失,同时也会对企业的声誉造成巨大的负面影响,所以网络安全保险不仅可以帮助企业评估预防这种风险事故的发生以后的经济补偿,同时也为企业事故发生做出一些制度性安排,确保安全事故可以通过网络安全保险提供有效的保障。

我再给分享一下美国企业将网络安全保险作为重要的风险管理手段所做的一些工作。他们也有一个发展的过程,从九十年代到2000年代,整个发展过程当中我们可以看出从制度建设发现一些风险,甚至进行制度的安排,他们都有一个逐渐的认识和发展的过程,因为他们看到经济损失在过去的发展历程中必须通过一个经济的办法来解决这方面存在的风险隐患和经济损失问题,比如未来2024年经济损失将会怎么样,他们都会做这方面的预测,预计每年的损失还会增加。这里有个图表,到2024年将来要突破千亿的规模,这是美国网络安全从保费收入的预测,他肯定看到了这方面的风险,对此他做出了这方面的预测。通过这个可以看出每年风险的发生率甚至20、30、40的速度进行增长,我国的网络安全保险这些事情,我们可以通过横轴来回顾一下,2016年我们认识到这个问题,国家出台了网络安全法,2017年我们个人信息和重要数据出境的安全评估的安全,我们这个数据要有一个管理,数据不是随便就出境的。2018年个人信息安全的规范也出台了,2019年中央央企有关国资的负责人经营业绩中特别强调了导致发生网络安全事故,国资委要根据情节对相关责任人经过责任追究这样一个程序,说明要把企业的网络安全责任压实。

未来关键信息技术设施的条例,中央网信办抓紧推进这方面的工作,新基建是我们下一步所做的工作,这方面我们要加强信息安全的包谷,尤其是网络的建设、新基建的建设、5G网络的建设都面临着这些方面的问题。

第三,我和大家分享一下网络安全保险问题,我们要主动通过风险管理的手段降低企业网络安全风险问题。下一步要从识别风险的情况来预测评估风险,并针对有关的情况进行风险的管控,做到承包企业的网络安全风险对风险的持续进行管控。我们从哪几个方面保障资产安全呢?从以下几方面我们可以做些考虑,第一是从保险标的,我们要从网络安全的物理空间的延伸、传统的保险逐一覆盖网络安全所带来的风险,我们要有相关的有形财产与相关的经济责任和损害赔偿责任为标的。第二是我们要有风险环境的分析,我们风险环境的分析暴露出的实物物资和实物环境来源于网络空间,比如黑客攻击、程序设计这些方面,所以我们要在这方面认真的做一下研究,通过保险来解决。

保险产品有哪些呢?我列举了一下。要针对大中型企业保障责任全面,具体的我不一一向大家介绍,但是这里要强调的一点是要针对不同场景下的网络安全风险问题进行设计保险的产品。这里有网络安全的综合案例提供,现在有中国人寿、源堡科技、瑞士再保险,他们都设计了这样一些保险方案。网络安全的保险产品已经在银保监会进行顺利的备案,承保金额超过1亿元。网络安全的综合案例的设计理念方面,我们重点要强调的是防和保结合,风险管理服务和网络安全保险要结合起来,因为我们的保险很重要的一点是预防保险,防止发生风险,理赔后第一时间的技术支持都是防的要求。接下来就是保,经济补偿的作用。这个过程中我们要注意网络安全+风险管理,我们如何做好预防和风险转移方面的问题,来提高我们管理的能力和手段。目标主要是不出险少出险和出小险,主要是降低这种风险,因为保险是风险管理的手段,服务则是风险管理的重要依托。

下一步风控的服务,精准的网络安全风险的量化和评估,主动型的损失预防服务,这是我们要强调的重要内容。时间已经到了,我还有两个案例的分析,用PPT向大家演示一下,大家可以拍照做一下了解。我讲一下Yahoo案例,主要是数据泄露造成的损失,数据造成损失带来的影响是非常巨大的,比如涉及到的费用很多,律师费用、具体诉讼费用、请网络安全专家的费用,发现问题需要悬赏重金抓黑客,还需要付出一些费用,服务奖励的费用,费用造成的损失是非常巨大的,比如2020年7月22号费用判决下来之后,这是最新的一个案例,达到2438.95万美元,数据非常惊人。还有美国电信巨头AT&T,就是美国电报公司的案例,大家可以拍照回去研究,还有英国TalkTalk,6千万英镑的损失,损失非常巨大。

我今天就和大家分享到这里,非常感谢大家的聆听,谢谢。