江苏公众科技网          首   页     组织人才     调研宣传       学会学术       科学普及      对外交流        党的建设       信息公开         政务信息平台       江苏科技报      
cce3932fc97476648ca313e32e0c03e1
首页 > 法律服务 > 以案说法

科技创新与法律前沿:勒索软件来袭,我们可以投保吗?

发布日期:2021-09-26 14:41


前  言

  近年来,勒索软件攻击事件多次出现。在国内,有攻击者采用勒索软件攻击某网络短视频平台公司,使公司蒙受巨额损失。而在国外,也曾有攻击者利用勒索软件袭击葡萄牙某能源公司,并且索要巨额比特币赎金的案例。据FBI调查称,勒索软件目前已严重威胁企业网络安全,有些勒索软件攻击者甚至开始为受害企业“量身定做”赎金金额。
  应对勒索软件攻击的传统手段是提高安全技术,但在近年来,越来越多企业“另辟蹊径”,通过购买网络安全保险的方式降低勒索软件攻击造成的损失。什么是勒索软件和网络安全保险?投保网络安全保险是否为缓解勒索软件攻击风险的有效方式?投保网络安全保险有哪些注意事项?以下请见我们的解读和建议。

  一、勒索软件和网络安全保险是什么
  勒索软件攻击是近年来数量增长最快的网络安全威胁之一。勒索软件攻击者通过锁屏、植入病毒、加密文件等方式劫持受害企业的数字资产或资源,随后向受害企业要求赎金(如比特币等)。而网络安全保险则是以企业因网络安全事件而产生的损失作为理赔范围的保险产品,如投保企业因网络攻击而遭受损失,保险公司会对投保企业进行赔付。

  二、网络安全保险发展情况
  2013年,苏黎世保险首次在中国推出网络安全保险。2016年11月《中华人民共和国网络安全法》通过,境内企业对网络安全保险意识开始提升,保险公司也开始推出相关险种。目前国内众多保险机构(例如中国人寿、平安财险、阳光保险等)及互联网技术公司已联合开发多款网络安全保险产品,为投保企业提供风险监测预警服务、恢复数据服务及相应的理赔服务。 


  三、网络安全保险理赔范围
  大部分网络安全保险均将勒索软件攻击的损失纳入保险理赔范围。例如,某保险机构的网络安全保险条款中明确约定:
  “在保险期间内,因网络敲诈者的计算机恶意行为或其使用计算机恶意软件向被保险人发起了网络敲诈,可能或已经发生下列保险事故,并由此造成被保险人的直接损失,保险人按照本保险合同的约定负责赔偿:……
被保险人的直接损失是指事先经保险人书面同意支付的以下必要且合理的费用:(一)被保险人支付的网络敲诈赎金;(二)聘请专家处理网络敲诈所产生的费用;(三)为拘留及逮捕网络敲诈者,向线索提供人员支付的赏金。”
  由此可见,网络安全保险已将投保企业支付给勒索软件攻击者的赎金及其他处理费用纳入保险理赔范围。因此,对于企业而言,投保适当的网络安全保险是缓解勒索软件攻击风险的有效方式。

  四、投保网络安全保险的注意事项
  1. 详细了解网络安全保险的定价和赔付额度
  由于我国尚无关于网络安全保险统一定价标准,保险公司出于保守定价考虑,难以为网络安全保险进行准确定价及确定合理的赔付额度,可能出现定价不合理或赔付额度不足以覆盖投保企业全部损失的情况。
  我们建议,企业在投保网络安全保险时应对产品定价及赔付额度进行详细调研,选择价格及赔付额度合适的保险产品。
  2. 明确网络安全保险的理赔范围
  不同保险公司对于理赔范围和不予赔付的事项范围有不同规定。例如,部分网络安全保险不能为数字资产损失提供补偿,则对于注重数字资产价值的短视频平台等公司而言,该类网络安全保险产品可能并不适用。此外,部分网络安全保险将“政府的敌对或战争行为”列入不予赔付的事项范围,则企业受到的勒索软件攻击一旦被认定为是政府之间的攻击行为,保险公司就可以拒绝赔付。
  我们建议,企业在投保网络安全保险时,应对产品的理赔范围和不予赔付的事项范围进行详细调研,确定合适的理赔范围和不予赔付的事项范围。
  3. 警惕保险公司的道德风险
  目前市场上绝大部分的网络安全保险可以为遭受网络勒索攻击的企业提供恢复数据的服务及赎金的赔付服务。
  在实践中,恢复数据可能消耗大量人力、物力、财力,且在恢复的过程中难以避免因服务中断或数据未备份等情况造成的损失,这些情况都将使保险公司面临高昂的成本。而直接支付赎金可以避免前述费用支出,最大限度地降低保险公司须承担的成本。因此,相较于为投保企业恢复数据,保险公司可能更愿意直接赔付赎金。但是,向勒索软件攻击者支付赎金无疑会为更多的勒索软件攻击起到推波助澜的作用,从而对投保企业造成更大的风险。
  我们建议,企业在投保网络安全保险时,应对产品理赔范围、保险公司的责任范围进行明确约定,并对保险公司及与其合作的互联网技术公司的技术水平进行详细调研,以避免保险公司的道德风险。

结  语

  勒索软件攻击令许多企业深受其害,除了完善自身安全技术以外,投保网络安全保险已成为加固企业网络安全的“防火墙”。企业在投保网络安全保险产品时,应对产品的定价、赔付额度、理赔范围等进行详细调研,选择符合自身情况的网络安全保险产品。



本稿件由 北京大成(广州)律师事务所 周亮、谷郡  创作

版权所有:江苏省科协人才服务中心 (江苏省科协院士专家服务中心)       苏ICP备19039136号-1