随着互联网技术应用的快速发展,其所蕴含的技术风险、网络安全风险、业务风险、操作风险以及信用保险风险等问题层出不穷,已成为金融机构、监管部门、学术界等共同关注的焦点。11月7日下午,以“网络风险与金融安全”为主题的“2016陆家嘴金融风险管理论坛”在中国金融信息中心举行。论坛由陆家嘴金融城人力资源管理联合会、上海财经大学、中国金融信息中心联合主办,英国精算师协会、新加坡南洋理工大学协办。论坛现场,“陆家嘴金融风险研究和人才培训基地”揭牌成立。
中国金融信息中心总经理叶国标、英国精算师协会代表Sarah Mathieson作为论坛主协办单位代表致辞,新加坡南洋理工大学保险风险和金融研究中心主任王树勋教授、原中国保监会副主席魏迎宁、美国顶级网络安全专家Sean Kanuck、达信(香港)亚洲区执行董事Richard Green、英国金融行为监管局FCA财产险监管部负责人Michael Sicsic做主旨演讲,瑞士再大中华区CEO陈东辉、太保财产险公司总精算师陈森、劳合社(中国)副总经理徐军、Symantec战略方案部亚太和日本业务总监Wickie Fung、SAS公司金融行业总监陈云凯参与了圆桌讨论。上海保监局副局长王晓东、上海陆家嘴金融城发展局局长王华、上海证监局机构一处调研员诸晓敏、上海市金融服务办公室合作处副处长马丽、上海银监局信息科技处副处长何炜丽、陆家嘴金融城发展局金融航运部总监任凯峰、复旦大学尚汉冀教授、上海交通大学费方域教授、上海财经大学金融学院保险系主任钟明、英国精算师协会在华首席代表李文立等,近400位来自中外金融保险界、学界和金融监管部门从事风险管理、风险控制、信息安全、信息科技等领域的企业高管、专家和精算师出席了论坛。本次论坛由上海陆家嘴金融城人力资源管理联合会副秘书长朱丽萍、中国金融信息中心总经理助理刘功润、毕马威中国精算合伙人张非非、上海财经大学金融学院谢志刚教授联袂主持。
叶国标:金融创新必须加强风险防范
中国金融信息中心总经理叶国标致辞
中国金融信息中心总经理叶国标表示,互联网给我们带来了翻天覆地的革命性变化,改变了人类的思维方式、生产方式、生活方式、消费方式等诸多方面。我们在享受互联网带来的便利的同时,也遭遇困扰、威胁和挑战。如同硬币的两面,一种先进的高新科技的诞生,在带来福利的同时,也伴生风险和隐患。今天,这么多来自中外的专家来共同探讨网络风险与金融安全,意义非同寻常。
每个人都有切身体会,当下似乎须臾离不开网络了,包括金融、经济的方方面面都基于互联网的基础和架构之上。但在互联网世界,有时候我们并不清楚对方是谁,提供服务的人和需要服务的人,彼此不认识,缺乏身份识别和信用支持,经常难以区分“馅饼“和“陷阱”。
应从几方面来预防和化解这种网络风险:第一,加强投资者和消费者的风险提示和教育,帮助其掌握一些自我保护、规避风险的常识、方法和技术。第二,加强新技术的开发和应用,增强金融服务的“防火墙”和安全等级。第三,加强对网络犯罪的法律惩治。
安全的范围很广,内涵很深,包括国土安全、粮食安全、生态安全,也包括网络安全和金融安全。金融是经济的核心和命脉,它必须是安全的,稳如磐石,不然我们整个经济体系就缺乏可靠的根基。最近国家出台《网络安全法》,就是要治理网络空间,构建安全有序的网络世界。
陆家嘴金融城是上海国际金融中心建设的重要载体,正如曼哈顿之于纽约,陆家嘴己成为上海国际金融中心城市的代名词,上海超过半数的金融元素聚集在陆家嘴,它正在向国际一流、世界知名的金融城目标迈进。包括即将揭牌的陆家嘴金融风险研究和人才培训基地,也是金融城建设的一个有益探索。一个金融城必须是安全的,高效的,便利的,无论在法治方面、科技方面、服务方面、人才方面,都必须占领制高点。陆家嘴金融城人力资源管理联合会、上海财经大学和中国金融信息中心三方合作,举办这样的年度论坛,并将开展日常性的沙龙活动,就是一个很好的跨界交流、资源整合的服务平台。
中国金融信息中心是新华社的直属机构,是新华社和上海市人民政府战略合作的重大成果,既是陆家嘴金融城的标志性建筑,更是上海国际金融中心建设的一个功能性、服务性、资源性平台,这是一个开放、服务、分享、共赢的多功能国际化平台,服务上海,服务总社,服务金融市场,以服务创造价值,以服务提升核心竞争力。
Sarah Mathieson:英国精算师协会提供专业的教育培训资源
英国精算师协会代表 Sarah Mathieson致辞
英国精算师协会代表 Sarah Mathieson首先介绍了英国精算师协会。她提到,协会在北京有代表办公室,除此之外,在香港、新加坡都有设立办公室,在全球有超过28000多名的会员。作为一个专业人士的协会,我们希望能够为会员提供一些培训教育的资源,同时,我们也对监管方提供一些支持,我们还做相应的研究工作。
针对网络风险和金融安全这方面,她表示,我们之前非常关注公共政策的制定,我们也向监管方、政府,还有当局提供一些信息以及资源方面的支持和咨询工作。还有我们对于学生以及未来行业内的从业人员也提供很多教育培训的资源。
她表示,我们也非常希望能够联合行业内的研究人士、学者一起进行分享,进行探讨。今天下午就有行业内的从业人员,也有来自学校的教授,还有科研人员,这是非常好的一个组合。我们能够从多个不同的角度一起来去探讨,如何来解决网络风险和金融安全的问题。我相信这样一个复杂的主题,我们需要从多方面进行思考。比如说,对于消费者,对于我们的客户来说,可能他就非常关注自己在网上活动的安全性,还有在金融服务行业,网络安全也是非常的重要。
“陆家嘴金融风险研究和人才培训基地”揭牌仪式
陆家嘴金融城发展局局长王华以及中国金融信息中心总经理叶国标、参与合作的机构代表英国精算师协会代表Sarah Mathieson、新加坡南洋理工大学保险风险和金融研究中心主任王树勋教授、上海财经大学金融学院谢志刚教授共同为“陆家嘴金融风险研究和人才培训基地”揭牌。
主题演讲
王树勋:今日议题研究探讨的几个层面
新加坡南洋理工大学保险风险和金融研究中心主任、教授王树勋作主旨演讲
新加坡南洋理工大学保险风险和金融研究中心主任王树勋教授在主题演讲中表示, 网络风险需要突破性的思维。从保险业的角度来看,保险公司要将自身的网络风险管理好,然后提供网络安全保险的产品服务。最重要的是有管理网络风险的新型商业运行模式。这需要IT行业和政府部门的合作,以及监管部门的支持。此外必须要有国际化合作,正如今天也有很多国际专家来到这里探讨问题。
移动互联网时代是人为网络犯罪野蛮增长的时代。例如电信诈骗,徐玉玉这样一个高中毕业生,如果当时有保险帮助她的话,至少不会有那么大冲击。另外一个例子是雅虎, IT领军公司的网络都能够被破坏,恐怕没有哪家公司可以保证数据的绝对安全。网络安全主要危险包括计算机入侵、电信诈骗等,还有精细价格的地下数据库市场。全球网络犯罪的受害者已经超过4000万人数,年度损失大概是4000亿美金。如果将所有的网络犯罪组成一个国家的话,应该是全球前三十名的经济体。网络犯罪取证难。犯罪的人投入少,赚钱快,而网络犯罪被抓的概率小于1%。
目前网络保险体量很小,刚起步,它占全球非寿险保费2万亿的0.1%,可以说是杯水车薪。但另一方面,网络保险产品增长迅速。其中美国网络保险发展较快,责任险要求较高是其网络保险业务增加的很大原因。网络风险能够被保取决于几个条件,首先是承保合同,这需要风险评估、评级,精算数据分析,以及 IT评估。现在的趋势是大型保险公司和IT公司合作,他们作为保险人部分,IT公司做评估,负责理赔取证,发挥各自的长处。其次是被保程度,很多公司被入侵之后并没有意识到,被保范围也容易发生纠纷,需要一个合理、有效的理赔仲裁机制。
从战略层的角度来看,各个金融机构保障年度网络安全的花费上万亿美元。在网络安全上的大量预算还是不能挡住被黑客入侵。因为这是一个社会问题。对于这些问题,需要政府和业界合作。他认为,在未来三年到五年的时间,国际上会出现凭借金融和科技打击犯罪分子的新五百强公司。在具体操作上,这些公司需要得到政府的支持,还要和警署部门合作,可以主动的设一些“蜜罐”,让黑客进来将其套住。这需要有国际公司之间的合作,政府合作,形成一个商业性的模式,商业的成果可以公私共享。具体操作还要求精算师评估各方投资,测算经济效益,设计公式分配成果。如果做好的话,它可以起到事半功倍的效用,当然也还需要政府部门、监管部门以及律师等共同合作。
魏迎宁:关于网络风险的保险思考
原中国保监会副主席魏迎宁作主旨演讲
我国是一个网络大国,我们不但要当网络大国,还要当网络强国,因此我们需要一个网络强国战略。2016年10月9日,中共中央政治局就实施网络强国战略进行第三十六次集体学习。中共中央总书记习近平在主持学习时强调,要加快推进网络信息技术自主创新,加快数字经济对经济发展的推动,加快提高网络管理水平,加快增强网络空间安全防御能力,加快用网络信息技术推进社会治理,加快提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力。
首先,魏迎宁对网络风险进行了介绍。网络风险是指企事业单位、社团组织或个人(用户),因使用互联网而造成损害、损失的风险。网络风险的受害人包括利用网络提供服务者和接受服务者。与一般常见风险不同,网络风险具有脆弱性、隐蔽性,并且其后果难以预料。可以说,社会生活与网络越密切,网络的危害后果就越严重,金融、交通、社会公共管理应当被重点关注。
他用保险业讲风险的三个要素分析了网络风险。一是风险因素,主要包括系统的缺陷和漏洞、自然灾害和意外事故、攻击、入侵、干扰、破坏、非法使用、网络诈骗,内部人故意、用户疏忽、操作不当等。二是风险事故,包括运营中断、病毒感染、数据泄露及丧失、数据被窃取及篡改等。三是风险损失,包括经济损失、精神损失、信誉及声誉的损失、法律责任。
其次,魏迎宁介绍了我国网络安全的政策现状。他说,国家高度重视网络安全,强调其基本原则是网络安全与信息化发展并重。我们国家还制定了《中华人民共和国 网络安全法(草案)》,可能于明年生效实施。此外,国家还设立了网络安全宣传周,每年一次,向社会公众宣传网络安全的意义,目前已成功举办三届。
他说,网络安全保障措施主要有三个方面。一是制度建设,国家需要制定相关法律法规,行业需要制定技术标准,各个单位还要制定内部的规章制度。二是技术措施,包括内外网“防火墙”、数据加密、智能卡、数据备份、定期杀毒、运用区块链等。其中,区块链是一种网上分布式的公开的数据库,同时运用了保密技术。这个技术去中心化,没有一个中心化的管理机构,也没有一个设备作为中心去存储这些数据,当任何一个节点不能运行时,整个系统的运行不会受到影响。三是加强管理,包括监测跟踪记录、制定应急预案、开展专项治理、打击网络犯罪诈骗,还要向社会公众广泛的进行宣传教育,提高大家的网络安全的意识和知识、技能。
最后,魏迎宁用实例向与会者介绍了目前有关网络风险的保险。他认为,国内保险业对于网络风险的保险进行了一些探索:中国人保财险推出了计算机保险,保计算机硬件损失,是一个传统保险;众安保险开办的信息安全综合保险包含了数字资产损失保险和数字资产安全责任保险;外资保险公司推出了企业网络安全保险,它的承保范围包括网络营业中断损失,可以保恢复数据的费用等;苏黎士保险办的安全与隐私保护综合保险也是有关网络风险的;阳光财险办的个人账户资金损失保险开拓出了经营者以外的网络风险保险市场。
他表示,目前,网络风险保险在我国处于探索阶段,承保的保险公司少,产品不够丰富,投保量不大。因此他认为,网络风险保险可能需要和网络安全服务相结合,比如说网络安全服务的公司可以和保险公司合作,可在提供的网络安全维护服务出现风险时提供保障。我国是网络大国,网络风险保险市场潜力巨大。
Sean Kanuck:实现网络安全需要国际合作
美国顶级网络安全专家Sean Kanuck作主旨演讲
美国顶级网络安全专家Sean Kanuck在陆家嘴金融风险管理论坛上和大家分享了关于网络安全和金融安全方面战略性架构的内容。他讲到,在网络风险这方面,有很多信息是被掩盖的,而且在公司与公司之间,公司与政府之间的信息分享很不通畅的,甚至有一些政府没有要求我们要进行数据的上报或者分享,这个是我们的第一个挑战。第二个挑战,我们既有直接,又有间接的风险。这意味着什么?对于第一方保险,要评估第三方,认证第三方保险并不容易,它可能代表的是一种串联级的保险,相互之间会有广泛的影响。
对于整个网络网络社会,Sean Kanuck提到了三种不同类型的关健词,首先是数据的保密性,第二网络的可用性,第三信息的完整性。我提到了不同的风险以及我们对于这些风险的思考。如果在保险业的角度来看,有什么样的后果呢?包括如何修复成本、解决成本?有时候可能真的很难给到一个定价,对于一部分的损失可以定价,也包括法律责任和营业中断,无论在刑事还是民事下承担的法律责任必须要明确。
此外,Sean Kanuck还表示,各个国家国内的很多政策需要发布,当然还有很多在技术层面上发生的,包括对于恶意的IT地址,包括其它的恶意软件的信号,能够尽快的实现相互之间的沟通,让世界其它地区避免受到攻击。还有做一个国家国内的工作,我们也可以从其他国家学到他们的最佳实践,包括法律的立法,提高整个检察官调查人员的专业水平,能够实现不同的政府部门在整个网络安全意识方面的提高,有很多的政府部门共同合作,能够在国内,包括在双边、多边方面让整个网络变得更安全。
Sean Kanuck说,最后要加强民营行业或者非政府机构之间的合作,甚至跨行业,实现国际合作。有时候有很多民营企业在中间的扮演的角色更显著,我们需要一些企业做好风险评估,并且能够充分的意识到在安全网络方面,什么是最佳实践。我们要去尊重独立性,有一些金融机构彼此之间会进行一个沟通分享。但几个重要的部门,重要的领域也需要有一些机制,能够去促成其直接的信息互动。比如说我们可以有一些信息的分享,或者是分析中心。特别是在一些比较关键的基础设施领域防御风险。
Richard Green:国际网络安全保险产品
达信(香港)亚洲区执行董事Richard Green作主旨演讲
Richard Green在主题演讲中分享了对于网络安全保险产品的看法。他认为,很多企业,包括利益相关方包括政府都已经意识到网络的风险,然而大家没有做好准备去解决问题,保证百分之百的安全。人们对于黑客的攻击意识也严重滞后,且亚洲地区比在欧洲、美国滞后意识的时间更长。
达信通过调研发现很多人对于网络保险产品有很大的质疑,需要公司去推广普及保险产品以及确定它的保险涵盖的范围。此外市场缺少标准化的保险合同,每一个公司都有自己的合同条款。而监管环境对于网络保险产品也十分关键,企业可能会困惑保单的可保范围。数据资产可能就很难去评估。还有像勒索和绑架的风险,要求公司进行网络保险合同设计的时候涵盖此类条款,进行一个非常详细的考虑。
对于消费者还有行业来说都要详细考虑被保范围,将网络安全保险作为一个独立的产品与财险产品区分开来。许多保险公司目前采取的是观望态度,不确定网络风险保险的情况,不清楚风险或者它的赔付率,因此暂缓推出。也有一些公司走在前沿的位置,先推出几款产品,比如说当公司声誉受到损失,会去雇公关公司恢复声誉,也需要律师出面,这笔费用会包括在保险产品里。
通过对比分析现有保险产品和网络保险产品的涵盖范围,针对不同的行业的分析,可以看到美国网络保险方面的增长超出了预期,预计未来在亚洲市场也会有较快的增长,从美国开始增长,随后欧洲,再到亚洲,是网络风险保险产品的发展趋势。同时达信发现在银行业、金融服务业、基础设施、医疗行业、水力、电力行业、医疗、教育等行业都非常关注网络风险。
金融机构对于自己目前网络风险的暴露还没有一个非常完整、全面的了解,而黑客组织的破坏能力十分巨大。从达信角度,希望能够帮助他们平铺网络风险的敞口,包括第一方、第三方,监管方,对于网络的风险敞口,希望帮助大家基于评估去实现更好的保单设置。这可能是整个解决方案中的一部分。很多企业投入巨大防止整个网络安全系统风险,背后也需要有像达信这样的机构帮助应对可能产生风险的一些情况,这是一个整体的系统解决方案当中的一部分。网络安全不仅仅是IT人士的责任,它的责任其实是在于整个系统,整个利益相关方,整个董事会等等。
Michael Sicsic:从网络监管官角度看网络安全和保险
英国金融行为监管局FCA财产险监管部负责人 Michael Sicsic作主旨演讲
英国金融行为监管局FCA对证券行业、保险行业、银行业大大小小的五万六千多家公司进行监管。我们希望帮助这些企业提高遇到事件时的韧性,我们的目标是保护我们的客户,保持市场的完整性和健全性,实现更健康的市场发展。目前,网络风险是一个不对称的环境,易攻难守,关于网络安全的数据也呈现出一个上升的趋势。很多信息共享来自于银行业,我们希望更好地了解网络风险对保险业的冲击。
应对网络风险的挑战时,我们有如下几个方面的注意点。一是要强调协作,我们通过分享信息来加深英国各个不同政府部门、各个行业之间的沟通,让个人、民营、政府共同应对不断发起的攻击或者产生的风险。二是要重视基础设施和架构,英国有一个涵盖了70%不同保险网站的专门网络,如果这个网络没有办法起很好作用的时候,它会影响到整个市场。此外,国际协作也相当重要,包括英国金融行为监管局本身也是一个美国、英国之间的韧性的共享机制,我们希望能够在整个行业在遇到攻击、风险的时候实现更好的协作,尤其是实现政府和社会行业之间的协作。
在未来的发展中,我们可能会面临以下几个方面的挑战。一是现在出现了黑客在窃取信息后,会在进行敲诈后才将数据还回来的现象,因此,我们要对客户进行更好地教育,让他们提高意识,让客户了解网络是什么,以便更好地保护自己。二是我们在有了云端这样一个技术后,如果将云计算服务外包,我们的文件数据会暴露在更大的威胁之中。云服务成本非常低、工作非常高效、非常方便,但也会增加网络风险,因此我们要非常谨慎的进行云计算服务外包。三是我们将需要更加专业的懂得IT的人才及团队,来有效的进行网络风险管理和问题解决。此外,还需要在公司内部加强系统的安全性和保护,在企业里建立安全文化,投入更多到人、流程、技术、资源等。
英国金融行为监管局非常希望能够跟行业内合作,以便建立更好的一些网络风险及安全方面的标准。FCA也希望跟国际的相关机构进行更多的交流和合作。
圆桌论坛:IT行业和保险业的合作
Symantec资深总监Wickie Fung圆桌发言
Symantec战略方案部亚太和日本业务总监Wickie Fung在圆桌论坛中表示,邮件是很多网络攻击的第一个源头,所以要重视保障电邮系统。在美国,所有的通信都要有邮件平台,此类系统操作便捷,可以用手机处理邮件。然而客户却没有留意到安全保障方面的问题。
IT做了很多工作,研发了工具,但他们没有网络安全的意识,这需要在座每一位去努力,建立共同责任的意识。每个人都要考虑怎样保障自己的信息。
SAS公司金融行业总监陈云凯圆桌发言
SAS公司金融行业总监陈云凯表示,申请信用卡时需要看申请人的公司或者邮箱后缀,但是这个邮箱很有可能是黑客做的假的邮箱。对一个公司来说,和黑客之间的斗争是一个巨大的挑战。面对这样的作假,我们无法从邮箱本身来甄别申请人的身份,但我们可以分享信息源,查看其在别处的不良记录。如果能够看到这个不良记录,那么不管申请人是不是这个公司的员工,发放信用卡的银行都可以将此人拒之门外。信息越全,镖局的武器更有力量。因此,当犯罪分子用高精尖的技术来作案时,我们需要用更加先进的技术来防范。
劳合社(中国)副总经理徐军圆桌发言
劳合社(中国)副总经理徐军在圆桌论坛上讲到了,现在人们认为传统意义上的网络保险已经有很大的变化,原来主要是去承保一些IT的系统和网络的数据丢失的风险,但现在这样的保险不光是风险转移的机制,它有很多含义,其实是一个全面的风控概念,比如说出现数据丢失的情况,如何去处理危机,如果发现了危机之后,如何去面对声誉风险,还有操作风险。所以保险其实不光是一个简单的像财产险或者其它的责任险一样。
劳合社在这个方面有七个方面风险可以得到保障。第一个,如果出现了数据丢失的情况,怎么去通知客户,并要去识别是什么样的风险,有哪些客户遭受了损失。第二个,就是一个责任险,责任险主要是第三方的。第三个,有法律的处罚,这个公司如果错误处理客户的信息,法律会有一定处罚。第四部分,公司可能因为各种各样的网络攻击,可能使其运营要停顿,就会造成收入的损失。还有一个风险是会有恶意的黑客欺诈行为。此外,如果是第三方支付的,这个也会引起另一种风险,这些都是网络保险,不是一个简单的保险形式。
瑞士再大中华区CEO陈东辉圆桌发言
瑞士再大中华区CEO陈东辉在圆桌论坛发表了自己的看法,他认为,风险的来源分类不清晰,也就是说哪种网络攻击,哪种风险会带来什么样的后果。这个研究现在还处在一个非常初级的阶段。当然业务规模是非常大的。但对于瑞再,我们倒不太急于去做这个产品,去推这个产品,去接受这个风险。我们感觉还是要对这个风险要有透彻的刻划。
陈东辉还谈到,我们现在写进来的业务里面隐藏着大量的网络安全风险,除非条款里面明确的规定把网络风险剔除,在很多现有的业务领域,已经有大量的网络风险承担了。我们也知道有一些再保人,对一块业务采取相对比较开放的态度。对这些问题呢,我自己感觉都处在一个摸索的过程当中,实际上根源在什么地方?网络风险是一个人为风险,它不是一个自然风险。所以对于这种网络人为的风险,它的风险特征尚未明显。
太保财产险公司总精算师陈森圆桌发言
太保财产险公司总精算师陈森在圆桌论坛谈到了,从产品的需求方,目前应该说产品的需求市场并没有那么大。很多原因,我们国内的法律诉讼环境还没有制造出这么大的需求。如果网站泄露了几百万、上千万的客户信息的话,很可能招来的结果就是集体诉讼,这个在美国判例法法系的国家是非常典型,上万甚至几万的受害人抱成一团集体诉讼,其中一个人把官司打赢的话,所有人都可以获得同等,至少不低于这一个人赔偿的水平。如果有这种集体诉讼非常流行的话,市场就起来了。但是我们看到新闻之后,没有采取法律诉讼的行为,因为我们国家现实的行为,至少没有典型的案例是通过集体诉讼赢得判决的。几百万的信息泄露一个一个人去打官司,这是不可想象的,因为一个人对电商这么强大的利益团体是没有胜算把握的,所以这种法律环境造成了需求方没有那么迫切,具体的经济损失目前在国内没有能够看见的,也是造成这些公司没有太大的动力去大规模的找保险公司来投保这一类的保单,所以这是需求方的问题。
开幕式主持人上海陆家嘴金融城人力资源管理联合会副秘书长朱丽萍
中文主旨演讲主持人中国金融信息中心总经理助理刘功润
英文主旨演讲主持人毕马威中国精算合伙人张非非
圆桌论坛主持人上海财经大学金融学院谢志刚教授
文字编辑:顾若君 顾舒徐 朱瑞仪 刘维舟 贺雨佳(实习生) 责任编辑:林颖
图片编辑:金伟良
CFIC公众号编辑:桑爽
)
