在刚刚过去的第三季度，几乎每月都有一些安全领域的大事发生，用“事件高发，影响深远”来形容也不为过。2018年7月，腾讯云由于硬件故障，导致前沿数控的数据资产遭遇损毁；2018年8月，华住集团遭黑客入侵，造成1.3亿客户数据的泄漏；2018年9月，顺丰的工程师因操作失误删除生产库，对公司业务产生了严重的负面影响。

 这三例事件分别来自于硬件设备、外部威胁和内部人员，这也是信息安全最容易出现问题的几个方面。安全事件，是悬在每一名IT人员头上的一把剑。

科技保险的核心价值

在信息安全风险面前，我们需要把“IT抵御技术风险”的能力升级成“企业抵御IT风险”的能力。也就是传统的以IT部门防范技术风险为主，尽快转化为举企业之力防范数据资产可能出现的风险。

数据资产出现问题时，至少带来四个方面的影响，一是需要调动各种可能找到的技术力量，采取应急响应，包括找到专业的数据恢复团队；二是因系统瘫痪或效率低下，带给公司业务收入上的损失，这种损失不仅是金额上的，有时也可能是致命的，需要建立能够帮助企业恢复元气的补偿能力；三是影响到企业的外部形象和商业信誉，需要专业的公关团队或者律师团队；四是影响到IT人员、IT主管甚或公司高管的职业生涯。上述的影响应对中，仅仅第一种是技术为主的。

在这种情况下，以网络安全保险为代表的科技保险产品，成为了当前仍在承担信息安全风险的信息化主管的最佳选择。保险通过其“定价、定责、定损”的量化能力，至少能够帮助信息化主管建立3种机制。

1.正向量化风险。企业数据资产的大小、IT系统对企业经营的影响程度、出现问题之后的响应机制，需要由决策层、业务部门、信息部门的参与，让安全生产与企业经营挂钩，真正成为企业共同负责的事情。大家与保险顾问坐在一起，把无形的安全需求转化成显性的保额保费，达到提高对数据资产认识程度的重要效果。

2.应对能力提升。任何软件都有可能存在BUG，任何安全防范措施都不能100%地隔离危险。企业的技术力量主要是保障正常需求响应，所以在出现黑客攻击、存储损坏、诉讼赔偿时，绝非企业现有的内部技术力量能够解决的。保险公司不但能用保险赔偿解决费用问题，更有价值之处是在承保过程中与出现问题后，帮助对接到专业的第三方机构，节省了不必要的时间，提高了响应的效率。

3.IT价值评估。企业在安全上的投入主要是由CIO和信息化主管完成的，用于购置安全设备、现场服务等的都视作单纯的费用支出。通过引入科技保险，由外部的保险专家在分析安全技术措施的有效性、安全制度流程的合理性开展安全评估核保，由此厘定出企业保险费的整个过程，实际上正是以第三方的身份，帮助IT部门展现其工作价值的过程。

科技保险存在的问题

然而，我们心中会有一个问题，既然数据资产的风险这么大，科技保险的作用这么好，为什么此前的了解不多呢？现成的保险市场是否成熟呢？的确，科技保险的发展，需要解决以下几个问题。

1.供给不足。国内目前有网络安全保险、IT职业责任保险等科技保险产品的保险公司不多，真正开展这类业务的就更少了。保险从总体上来说，是一个先有需求、后有产品的行业。保险产品的供给不足，除了保险公司自身的承保专业能力之外，侧面反映出业务需求，特别是有效需求尚不明确的现状。

2.面子问题。长期以来，IT部门都是以技术“万能”的身份出现，只要提得出需求，IT没有搞不定的。特别是本身就是搞安全的，再买个这方面的保险，是不是表示我们自己技术不过关？其实，我们看一看身边。当企业聘请了专业的司机，是否就不再买车险？美国对于上市公司，为什么会要求购买专门的董事长和总裁的高管责任险？所以，车险与驾驶水平无关，高管险与管理水平无关，保险仅仅是一种风险转移的财务安排。所以，我们要跳出技术视角，不再是“IT抵御技术风险”的孤军作战，而是营造“企业抵御IT风险”的全民皆兵。

3.制约因素。笔者认为，制约科技保险良性快速发展的原因有以下3个。

（1）没有第三方的标准。以医疗保险的赔付为例，保险公司是以“到公立医院就医、医院开具的医疗收据”作为理赔依据，原因就在于公立医院和医师资格由国家卫生部门进行评级、医疗价格统一规定的。信息安全保险比起医疗保险来说，复杂数倍。在没有第三方标准的情况下，保险公司和承保企业都很难在“定价、定责、定损”上达成一致，从而造成承保效率低、理赔纠纷多的风险。

（2）没有强制性要求。车险是我国最大的财产保险品类，机动车交通事故责任强制保险（交强险）作为车主必须购买的保险，功不可没。企业社会保险如果没有行政处罚的强制要求，征缴成本必须大幅上升、征缴效率还将急剧下降。在没有强制性要求下，就需要保险公司自己来营造销售场景，对客户的教育成本高、展业成本大。这也是整个商业保险的现状。

（3）损失恐惧感不强。购买保险另外的动因，是对风险所造成经济损失的恐惧。在网络安全法中，仅仅规定了一些对于企业违反之后的处罚条文，没有涉及到对客户的经济赔偿规定。为了体现行政处罚的“痛”，在我国还不能把行政和监管的罚金作为保险赔偿范围，否则有保险包容作恶的嫌疑。

对于很多IT从业者来说，由于风险事件造成职业生涯受损，是其最大的风险。不过，这个损失基本上属于精神层面而不属于经济损失层面，所以也需要保险产品的创新来解决。