对于5G网络安全威胁的解决方案
人工智能技术的加持,5G建设的全面铺开,加速了工业互联网的普及,包括云计算、移动互联网、物联网/车联网、大数据、区块链、云存储、人工智能/人脸识别/自动驾驶等新技术在内的广泛应用,迅速带来互联网世界的新变化, 成为企业成长和转型的关键动力。
据IDC统计,全球数字信息在未来几年将呈现惊人增长,预计到2020年总量将增长44倍。另外一份调查显示,全球90%的数据都是在过去两年中生成的。每天,遍布世界各个角落的传感器、移动设备、在线交易和社交网络生成上百万兆字节的数据。目前有300亿台设备互联,2020年将有500亿台设备互联。
新科技带来变革的同时,新的风险也伴生而来。而保险业在引入人工智能等新技术进行承保、理赔时,必须考虑到可能出现差错带来的风险以及应对。当前,5G正在开辟移动通信发展的新时代,加速经济社会数字化转型进程。与此同时,5G网络产生新的信任模型,新的服务模式,不断变化的威胁环境以及增加的隐私问题等特征,对安全提出了新的挑战和需求。
5G网络对安全提出了更高的要求,万物互联的应用场景、多样化的终端形态与接入技术、移动边缘计算技术、网络切片技术将产生新的安全问题,需要从机密性、隐私保护、伪基站防护、网间安全、完整性、认证类型这些方面,来提升5G背景下的网络安全。
建立一个网络风险模型的基础便是经验数据。传统保险商建立风险模型时通常依靠官方数据提供者,比如自然灾害险可以寻求国家地震局、气象局的数据支持;但显然,目前尚不存在可以支持网络风险评估的官方数据源。除此以外,网络风险是动态的、变化的,随着网络技术的更新而变动,因此网络风险数据的搜集同样必须是实时的、动态的,而这也区别于传统风险模型的相对静态的数据,并且前者的数量和处理难度也远大于后者
与自然风险不同,网络风险不仅仅来自于外部事件,也来自于内部行为。据2014年IBM调查显示,95%的网络犯罪都涉及员工行为错误,比如无意间丢失了储有重要信息的移动设备、账户密码安全等级弱等,甚至有内部员工故意偷窃并传播公司机密数据。自然,相应的风险管理质量也同样关系着网络信息的安全。而风控质量和行为风险的量化和数据搜集成为了另一道难题。
网络安全风险数据是保险机构开展网络保险业务的基础。在这方面保险机构可以通过以下三种方式获得这些数据。通过业务发展不断的积累数据和经验;通过基于自身需求的网络安全建设来提取或反推获得相应的数据。有些保险机构就是通过自己公司的第一手网络安全经验来促进外部业务的发展;向专业的咨询公司、安全厂商等第三方寻求获取相关的数据以充实自身的数据库。
在缺乏更多有效数据的情况下,保险机构可建立一套基于风险管理成熟度模型的评估体系对客户开展承保前的安全评估,通过评估了解客户的安全投入及安全管控的持续性和有效性,评价客户安全需求与现有产品的吻合程度以及可能的产品灵活定价。
不同的客户群因行业因素、发展因素、监管要求因素存在着不同需求。网络安全风险内容繁多且不断的发生变化。因此保险机构需认真深入的了解其目标客户群的网络安全威胁和网络安全需求,避免产品出现安全风险覆盖不满足需求的情况。同时保险机构需保持对网络安全风险变化的持续跟踪,使产品能根据网络安全风险的变化而进行适应性调整,快速跟进并满足市场需求。
国外保险机构由于较早开展该项业务,市场竞争也较为激烈,因此他们在商业活动中倾向于提供更多与网络安全相关的服务以增加产品的附加值。这些方式包括:和知名的网络安全厂家进行合作,在客户进行产品采购前提供相应的安全咨询,承保评估;采购后提供安全应急服务、承保定损;甚至推销网络安全厂家的一些产品和服务。保险机构寻求成为对某个特定网络安全领域非常熟悉的专业机构。这样可在对应领域向客户提供专业的网络安全建设咨询,增加客户粘性。
在以往网络安全市场的社会及媒体宣传活动中,政府机构、咨询机构、安全厂商以及网络服务商构成了网络安全宣传的四大主角。作为网络安全保险的提供者,保险机构也需要积极参与其中,一方面让社会全员更多的关心和了解网络安全风险,一方面也也有利于推动和扩展商业市场。
网络安全保险是一种切实可行的风险转嫁策略机制。在我国,该市场领域目前还处于探索初始阶段。而伴随网络安全建设的持续进行,一些机构已接受和认可这一安全策略并逐渐开始实施或准备实施该策略以进一步完善企业信息安全管理体系。一方面,众多的国内保险机构纷纷试水,期待在该蓝海市场领域占据商业份额,另一方面,机构用户也期待该机制将帮助降低机构面临的监管压力和业务安全压力。关于网络安全保险的后续发展,还将持续观察。