长久以来，保险商以其极有条理地使用数据分析来衡量风险并据此承保而闻名。这套方法在车险和房屋险等保险市场上运作良好，因为这些保险的精算表有数十年或更长时间的风险数据可用。

但如果保险公司想承保几乎不存在长期数据的多变风险环境，那他们的很多精算科学就会变得更像是猜谜游戏了。

01、猜谜游戏

这就是当前网络保险承保的处境。

由于保险商一直在努力解决非常现实的盈利能力差距，过去几年网络保险市场可谓一路狂飙。在保险公司一头扎进网络保险市场滋润过活十年之后，保险商及其投保人撞上了勒索软件和数据泄露这堵代价高昂的南墙。

如今，算总账的时候到了。面对不断攀升的赔付率，保险公司纷纷开始调整其网络保险产品组合。他们于几年前开始陆续大幅提高网络保险费用。到2023年，网络保费增长某种程度上已然稳定，然而，保单更贵，保险覆盖范围却更少，只有除外条款和限制增加了很多。

提供昂贵但排除了勒索软件或民族国家攻击之类常见风险的保单显然不是可持续发展之路。这种方式虽然当下能助保险商增加盈利，但仅仅是眼前真正问题的短期解决方案。比如说，网络保单的承保流程就依旧没那么精密复杂。大多数保险商都缺乏有效衡量新客户或续签客户网络风险暴露情况的工具。

02、网络保险商见不得人的小秘密

网络保险市场的秘密就是，现今大多数保单都是基于自我评估调查表承保的。

有时候这些调查表过于简单，几乎不验证投保人给出的答案。不断累积的损失迫使一些保险商加强了对投保人技术细节的要求。但最终，自我评估仍然是判断公司可保性的主要手段。

这在几个方面造成了问题。有些调查表未能充分审查重大风险，无法科学评估投保人的网络暴露情况。而除非遇到索赔，理赔师想要找到解除合同的办法，否则保险公司一般也不会去检查这些答案。最关键的是，即使投保人完全诚实、全面、准确地填写了调查表，保险公司拿到的当时，调查表就过时了。

网络保险承保中自我评估的局限所反映出的问题，与供应商管理企业在判断合作伙伴与供应商所构成风险时面临的问题相同。最近十年里整个第三方风险管理（TPRM）平台市场乘势而上的原因就在于此。TPRM监测平台用于简单地持续监测第三方联网基础设施的风险暴露情况，即便这些第三方会在第一方要求监督其内部系统时让他们走开。

网络保险承保人可以从这一市场演变中学到很多。

03、网络保险承保变革时机已至

网络保险承保人可以借鉴供应商管理经验，以持续监测补充调查表。但区别于TPRM提供的粗略指标，网络保险承保的正确方法可能更多地落在持续控制监测（CCM）上。

CCM被谷歌云首席信息安全官Phil Venables称为是近实时持续评估企业安全控制成熟度的好方法，主要用于帮助企业跟踪其治理、风险与合规（GRC）审计的内部控制，但也可经有效调整后为网络保险公司提供风险暴露度量。

通过保单条款和捆绑安全产品，保险公司可能有足够的影响力在自身客户群中实现这种由内而外的监测方法。但CCM仍旧主要面向中端市场或中小企业，所以网络保险公司必须创造性地在这些领域打开其知名度。某些情况下，该方法可以搭配托管安全服务提供商（MSSP），甚至直接提供包含CCM的MSSP-网络保险捆绑包。

无论出自CCM还是其他形式的监测，这都是网络保险承保领域保险公司不得不寻求的颠覆性创新，不如此不足以令保单对其最终盈利和其承保的客户都具有吸引力。网络保险商需要能跟上威胁变化步伐的风险衡量方法。这是创建造福各方的网络保险市场的唯一途径。

原文地址：

https://www.darkreading.com/risk/cyber-insurance-underwriting-is-still-stuck-in-the-dark-ages

原文来源：数世咨询