幾天前，雷鋒網(wǎng)宅客頻道編輯參加綠盟科技（以下簡稱綠盟）的媒體溝通會時(shí)，對方發(fā)布了一系列產(chǎn)品與戰(zhàn)略合作計(jì)劃。其中，有一組數(shù)據(jù)和一項(xiàng)合作引起了我的關(guān)注。

綠盟和平安金融聯(lián)合發(fā)布了一份《2017金融科技安全分析報(bào)告》，平安金融的妹子解讀了目前金融業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，然后表示，根據(jù)他們的調(diào)查：籌碼到位的話，35%的員工愿意泄露企業(yè)內(nèi)部數(shù)據(jù)。

編輯仔細(xì)翻了翻這份報(bào)告，發(fā)現(xiàn)這是妹子演講時(shí)新增的料（報(bào)告中沒有）。

其實(shí)，去年雷鋒網(wǎng)宅客頻道就發(fā)布了普華永道的一項(xiàng)調(diào)研結(jié)論：42% 的中國內(nèi)地與香港受訪企業(yè)認(rèn)為前雇員是導(dǎo)致安全事件發(fā)生的重要來源，前員工比黑客和友商更危險(xiǎn)。

按照“不寫在對外資料中的信息可能更加有點(diǎn)意思”的定律（我自己總結(jié)的），我在朋友圈把這一調(diào)查結(jié)論發(fā)布，獲取了一波業(yè)內(nèi)外人士的討論。

我們來看下主要觀點(diǎn)是什么樣的：

前同事 K：請我吃頓飯，我把上家公司所有單身男同事聯(lián)系方式給你。（呸，不要！）

業(yè)內(nèi)人士1：這個(gè)比例不合理，說明籌碼不到位，到位了，肯定遠(yuǎn)高于50%。

某警察蜀黍：有很多現(xiàn)實(shí)案例。

業(yè)內(nèi)人士2：這么低？？？人是最薄弱的環(huán)節(jié)。

業(yè)內(nèi)人士3：多數(shù)企業(yè)的安全問題確實(shí)不是技術(shù)問題。

業(yè)內(nèi)人士4：太保守，至少50% 。

。。。。。

總結(jié)一下：基本沒有反對觀點(diǎn)，而且大家對于“人是薄弱環(huán)節(jié)”這個(gè)觀點(diǎn)是認(rèn)同的。

提出了問題，總要有解決方案。

其實(shí)，對于心懷惡意的前員工也好，無法抗拒利益誘惑，主動或者無意識泄露企業(yè)內(nèi)部機(jī)密數(shù)據(jù)的“內(nèi)鬼”也罷，我們看到的，要么是法律法規(guī)和企業(yè)內(nèi)部相關(guān)條例的約束與應(yīng)對，要么是加強(qiáng)員工安全意識培訓(xùn)，再者就是從技術(shù)層面對企業(yè)內(nèi)部行為的跟蹤與規(guī)范。關(guān)于損失如何處理，還真的很少有好的解決方案。

因此，雷鋒網(wǎng)還注意到了上述會上的另外一項(xiàng)合作，綠盟科技聯(lián)合前海財(cái)險(xiǎn)推出網(wǎng)絡(luò)安全險(xiǎn)，比較明晰地寫出了承保的具體范圍：

1.事故鑒定服務(wù)費(fèi)用

企業(yè)聘請專業(yè)機(jī)構(gòu)進(jìn)行事故鑒定需要支付的服務(wù)費(fèi)用。

2.數(shù)據(jù)恢復(fù)費(fèi)用

企業(yè)為恢復(fù)、重建或重新收集電子數(shù)據(jù)，需要支付的費(fèi)用。如：服務(wù)器數(shù)據(jù)恢復(fù)、硬件或軟件數(shù)據(jù)恢復(fù)費(fèi)用等。

3.計(jì)算機(jī)勒索贖金

由于遭受安全威脅而支付的勒索贖金。如：黑客攻擊并竊取了網(wǎng)站信息，向網(wǎng)站提出贖金要求。

4.數(shù)據(jù)泄密責(zé)任

因個(gè)人信息或公司信息發(fā)生泄漏，受害者向泄露信息的企業(yè)提出的賠償要求。如：酒店泄露客戶信息數(shù)據(jù)，受害者向酒店及數(shù)據(jù)商提出的索賠。

5.外包商導(dǎo)致的數(shù)據(jù)泄密責(zé)任

因外包商原因?qū)е滦畔⑿孤?，受害方向企業(yè)提出的賠償要求。如：企業(yè)使用外包商維護(hù)系統(tǒng)，由于外包商自身的管理原因造成信息泄露。

6.數(shù)據(jù)安全責(zé)任

企業(yè)因疏忽或過失，致第三方財(cái)產(chǎn)損失而需要支付的賠償金。如：企業(yè)被植入惡意代碼、竊取口令或硬件被盜而造成其服務(wù)的客戶遭受損失。

7.法律服務(wù)費(fèi)用

企業(yè)發(fā)生數(shù)據(jù)安全事故而被提起仲裁或者訴訟而產(chǎn)生的仲裁費(fèi)、訴訟費(fèi)、律師費(fèi)等。

你可以發(fā)現(xiàn)，這 7 項(xiàng)內(nèi)容中，4、5、6 項(xiàng)都與數(shù)據(jù)泄密相關(guān)。

編輯沒有輕易相信，網(wǎng)絡(luò)安全險(xiǎn)可以解決或者真的降低上述“問題”里的內(nèi)鬼風(fēng)險(xiǎn)。但是，有沒有可能，它真的是解決方案選項(xiàng)之一？這是我接下來主要想討論的問題。

困境

讓編輯產(chǎn)生疑慮的地方有：

第一，網(wǎng)絡(luò)安全險(xiǎn)在國外已有較長應(yīng)用實(shí)踐，但在國內(nèi)推廣不是特別多。從網(wǎng)搜資料看，2015年，美亞保險(xiǎn)和安聯(lián)財(cái)險(xiǎn)推出了相關(guān)產(chǎn)品，2017年，藍(lán)盾股份與平安保險(xiǎn)廣東分公司簽訂網(wǎng)絡(luò)安全保險(xiǎn)合作框架協(xié)議，眾安保險(xiǎn)與杭州安恒信息了簽訂戰(zhàn)略合作協(xié)議，陽光產(chǎn)險(xiǎn)也推出了網(wǎng)絡(luò)安全綜合保險(xiǎn)。不過，也就如此了，尚未有什么轟動的“后續(xù)劇情”。

第二，出人意料的是，綠盟科技金融事業(yè)部技術(shù)總監(jiān)徐特對我強(qiáng)調(diào)了兩點(diǎn)：他們不是迫于友商競爭壓力聯(lián)合推出相關(guān)險(xiǎn)種，他們在與客戶的實(shí)際接觸和調(diào)研中，也沒有類似客戶發(fā)出急切的需求，希望安全公司和保險(xiǎn)公司推出這類險(xiǎn)種。

這就有意思了。于是，我聯(lián)系了徐特和前海財(cái)險(xiǎn)的相關(guān)人員。

先來說說徐特對這個(gè)市場的態(tài)度。

觀點(diǎn)1：一些網(wǎng)絡(luò)安全險(xiǎn)其實(shí)在變相收取“應(yīng)急響應(yīng)”的錢。

徐特認(rèn)為，有些網(wǎng)絡(luò)安全險(xiǎn)更像換了一個(gè)方式在收應(yīng)急響應(yīng)的錢。

比如，網(wǎng)絡(luò)安全公司也提供應(yīng)急響應(yīng)的服務(wù)。

應(yīng)急響應(yīng)如何收費(fèi)？客戶自己根據(jù)公司情況選擇一年需要的應(yīng)急響應(yīng)的次數(shù)：四次、六次、八次、十次，安全公司基于次數(shù)或者人天收費(fèi)。

很多情況下，到了年底，并沒有發(fā)生這么多次的安全事件，部分客戶會認(rèn)為這部分服務(wù)買虧了。有些網(wǎng)絡(luò)安全險(xiǎn)的內(nèi)容主要就是應(yīng)急響應(yīng)，收取較為低廉的保費(fèi)協(xié)助被保險(xiǎn)人處置安全事件。

假如保險(xiǎn)公司有 100 個(gè)這樣的客戶，100 個(gè)客戶平均出兩次險(xiǎn)，以 3 萬塊錢一家的數(shù)額來收，即使有個(gè)別的公司事故特別多，保險(xiǎn)公司這種險(xiǎn)種賣得多了，可以以較低的平均出險(xiǎn)率為個(gè)別客戶提供較多次的應(yīng)急響應(yīng)，同時(shí)保證整體的盈利水平。

“它其實(shí)就在憑運(yùn)氣。因此，現(xiàn)在網(wǎng)絡(luò)安全險(xiǎn)市場上沒有出現(xiàn)很強(qiáng)的競爭。因?yàn)榇蠹也]有找到好的點(diǎn)，即使大家都在談網(wǎng)絡(luò)安全險(xiǎn)，覺得是一個(gè)藍(lán)海，但這個(gè)東西怎么做，并沒有非常明晰的路徑?！毙焯卣f。

觀點(diǎn)2：網(wǎng)絡(luò)安全險(xiǎn)賣給誰，這是一個(gè)問題。

相對于旅行險(xiǎn)等基數(shù)大、風(fēng)險(xiǎn)評估比較簡單的險(xiǎn)種，網(wǎng)絡(luò)安全險(xiǎn)面臨劣勢：第一，基數(shù)不大；第二，保險(xiǎn)公司很難在專業(yè)領(lǐng)域內(nèi)對一家企業(yè)的安全情況進(jìn)行評估、確定保額、賠率等。這也是之前一些網(wǎng)絡(luò)安全險(xiǎn)種尋找“替代應(yīng)急”這種簡單可操作方案的原因。因此，保險(xiǎn)公司在專業(yè)險(xiǎn)領(lǐng)域，要與專業(yè)公司進(jìn)行合作。

說白了，就是風(fēng)險(xiǎn)評估。

但是，問題來了。這類風(fēng)險(xiǎn)評估包括漏洞掃描、背景檢查、深度測試等一堆的基礎(chǔ)工作，可能需要花費(fèi)10-20天時(shí)間、10萬左右的成本。

“客戶想來買網(wǎng)絡(luò)安全險(xiǎn)，需要先花個(gè)10萬塊錢測試，測試做完后，有可能機(jī)構(gòu)還是不賣給你。這種商業(yè)邏輯不太現(xiàn)實(shí)?！毙焯卣f。

嘗試

事實(shí)上，徐特透露，在此之前，綠盟和多家財(cái)險(xiǎn)公司有過探討，但面臨了這一問題——很難找到種子客戶。

從已經(jīng)接受了網(wǎng)絡(luò)安全公司服務(wù)的公司里找種子客戶，是徐特和前海認(rèn)為，可能可以獲取種子客戶的一種最優(yōu)路徑——假如對方已經(jīng)向網(wǎng)絡(luò)安全公司投資了一筆100萬的綜合服務(wù)費(fèi)用，再加上5萬的保費(fèi)，對他們而言，并不是多么難以下定決心的事情。

前海方面告訴我，目前在網(wǎng)絡(luò)保險(xiǎn)方面確實(shí)面臨缺乏技術(shù)儲備，數(shù)據(jù)支撐和承保理賠經(jīng)驗(yàn)等困難，聯(lián)結(jié)非常重要?！巴ㄟ^行業(yè)聯(lián)合，與國際優(yōu)秀再保人合作，打造產(chǎn)品，解決定價(jià)，承保和理賠的問題。”

這意味著，此次與綠盟的聯(lián)手，他們可以解決上述問題。此外，他們還要和合作方綠盟一起，完成事前的信息安全評估、事中的應(yīng)急響應(yīng)服務(wù)、事后的成本和責(zé)任認(rèn)定。在網(wǎng)絡(luò)風(fēng)險(xiǎn)事故發(fā)生后的損失確定方面，前海表示，會與綠盟合作，在客戶發(fā)生網(wǎng)絡(luò)安全事故時(shí)，提供應(yīng)急響應(yīng)和恢復(fù)?！皩τ趶?fù)雜情況的損失鑒定，必要時(shí)我們也會聘請第三方專業(yè)機(jī)構(gòu)進(jìn)行協(xié)助?！?/p>

其實(shí)，這樣表述也許更加清晰：保險(xiǎn)公司不用再擔(dān)心自己在專業(yè)領(lǐng)域里的短板——他們能借助安全公司找到種子客戶，他們多了一把尺子，知道應(yīng)該把網(wǎng)絡(luò)安全險(xiǎn)賣給誰，而愿意為自己的安全大力付費(fèi)的用戶會更認(rèn)可網(wǎng)絡(luò)安全險(xiǎn)的價(jià)值。對安全公司而言，他們能為客戶提供更全面的服務(wù)，保險(xiǎn)＋一攬子解決方案可以幫客戶消除和減輕各類殘余的安全風(fēng)險(xiǎn)，將其轉(zhuǎn)移給財(cái)險(xiǎn)公司，實(shí)現(xiàn)對不可預(yù)知風(fēng)險(xiǎn)的財(cái)務(wù)覆蓋。

這就是他們目前正在探索的路徑。

面向未來的動作

回到最初的問題，兩家在網(wǎng)絡(luò)安全險(xiǎn)進(jìn)行嘗試的“合作”真的能解決問題嗎？

徐特告訴雷鋒網(wǎng)，綠盟的出發(fā)點(diǎn)是——這是一個(gè)面向未來的動作。

我試圖詢問，上面承保的 7 項(xiàng)中，有哪幾項(xiàng)可能是“賠付”最多的風(fēng)險(xiǎn)。倍感意外的是，徐特說，之前很多安全公司發(fā)出預(yù)警的“勒索蠕蟲威脅”可能不是現(xiàn)階段最可怕的點(diǎn)。

“勒索蠕蟲不是最可怕的，蠕蟲面對對象都是同一動作的，要命的是勒索的場景化，弄到隱私勒索一個(gè)小職員‘支付企業(yè)內(nèi)部數(shù)據(jù)’，通過網(wǎng)絡(luò)劫持拿到 CEO 電腦里的重要合約，問他要1000萬。什么時(shí)候做電信詐騙的轉(zhuǎn)行定向勒索問題就大了?！毙焯卣J(rèn)為。

另外，數(shù)據(jù)泄密責(zé)任的賠付可能是未來的重點(diǎn)。比如，不久前鬧得沸沸揚(yáng)揚(yáng)的 Facebook 泄露隱私事件，用戶就數(shù)據(jù)泄露起訴 Facebook，要求對所有涉及用戶賠償。

“但在中國，現(xiàn)在的實(shí)際狀況是沒人罰它，包括一些大型企業(yè)曾有泄露過大量用戶數(shù)據(jù)的事件，沒有哪一個(gè)被執(zhí)法機(jī)構(gòu)開過高額的懲罰性罰款。長期來看，早晚有一天也要跟人家一樣開始罰的，這個(gè)時(shí)候就真的很需要這個(gè)險(xiǎn)了。”徐特說。

所以，也許這能部分解決開頭所提到的，無論是有心的內(nèi)鬼，還是無意的員工，或是不靠譜的第三方帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)及損失的問題。

不過，對綠盟和前海而言，完全解決眼前的問題“實(shí)屬野心太大”。他們的目標(biāo)更加現(xiàn)實(shí)——接下來的一段時(shí)間里獲取一些種子客戶，運(yùn)營一段時(shí)間，積累一些經(jīng)驗(yàn)后，才能再談進(jìn)一步的推廣。

網(wǎng)絡(luò)安全險(xiǎn)會有“爆點(diǎn)”出現(xiàn)，只是時(shí)間早晚的問題。

徐特希望，這是擴(kuò)大一家老牌網(wǎng)絡(luò)安全企業(yè)版圖上的一塊重要拼圖。他們想做的，就是盡早開始。

本文作者：雷鋒網(wǎng)宅客頻道主筆，李勤，qinqin0511

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。