沃伦-巴菲特(Warren Buffett)和伯克希尔-哈撒韦公司(Berkshire Hathaway)最高保险主管阿吉特-詹恩(Ajit Jain)在该公司最近于奥马哈举行的年度股东大会上向投资者传达的信息之一是,网络保险虽然目前有利可图,但仍有太多的未知因素和风险,伯克希尔公司作为保险市场的巨头,无法完全放心地承保网络保险。
Jain 在年会上说,网络保险已经成为一种非常时髦的产品。至少到目前为止,网络保险一直是保险公司的赚钱工具。他认为目前的利润率相当高,至少有 20% 的总保费落入了保险公司的口袋。但在伯克希尔,向代理人传达的信息是谨慎。一个主要原因是,很难评估单一事件造成的损失如何不会演变成潜在网络损失的累积。Jain 举了一个假设的例子,当一个主要云计算提供商的平台瘫痪时。
他说,这种聚合潜力可能是巨大的,我们担心的是无法在最坏的情况下缩小差距。
巴菲特说,没有什么地方比网络更容易陷入这种困境。你可能会遇到你做梦也想不到的风险,也许比某个地方发生的地震还要糟糕。
业内分析师普遍认为,虽然伯克希尔的谨慎态度是有道理的,但随着网络安全保险有利可图,网络安全保险市场的总体状况正在趋于稳定。惠誉评级公司(Fitch Rating)美国保险部高级总监杰拉尔德-格隆比基(Gerald Glombicki)指出,尽管巴菲特持谨慎态度,但伯克希尔-哈撒韦公司仍在发行网络安全保单。根据惠誉的分析,伯克希尔-哈撒韦公司是此类保单的第六大发行商。伯克希尔最近透露大举投资的 Chubb 和 AIG 是最大的发行商。
Glombicki 说,目前,[网络安全保险]对许多保险公司来说仍然是一种可行的商业模式。据 Glombicki 称,这仍然是一个很小的市场,只占所有已签发保单的百分之一。由于网络安全业务规模很小,这就给保险公司提供了实施各种政策的空间,以了解哪些政策有效,哪些无效,而不必承担巨大的风险。
伯克希尔以及 Chubb 和 AIG 均拒绝发表评论。
Glombicki 说:"有一种不可预测性让人非常不安,我理解 [巴菲特] 的想法,但我认为很难完全避免网络风险。但他补充说,目前还没有重大的诉讼来认定责任或检验保单的界限,在法院审理一些责任案件之前,一些保险公司可能会更加谨慎。
即使每份保单的限额为 100 万美元,但如果单个事件影响到 1,000 份保单,就会产生问题。巴菲特说:"你写的东西,我们根本没有得到合适的价格,可能会让公司破产。
虽然一些知名领导人,如前国土安全局局长迈克尔-切尔托夫(Michael Chertoff)(他现在经营着一家全球安全风险管理公司)呼吁政府建立某种网络安全后盾,但大多数专家认为现在还不需要。Glombicki说,虽然联邦政府正在研究他们能发挥什么作用,但在事件发生之前,干预很可能不会发生。
他说,政府的任何介入都可能发生在代价高昂的重大网络事件之后。9-11 事件后,政府制定了一项恐怖主义风险计划。在网络方面,我们还没有看到如此大规模的攻击。我们仍在思考可能的方法。
虽然目前正在编写的网络安全政策数量不多,但分析师预计不会一直如此。
保险信息研究所发言人马克-弗里德兰德(Mark Friedlander)说,保险费率正在下降,这表明市场趋于稳定。根据其数据,网络保险费在未来十年内预计将翻一番。2022 年,保费总额为 119 亿美元。弗里德兰德说,到 2025 年,保费预计将翻一番,达到 225 亿美元,到 2027 年将增至 333 亿美元。
这显然是增长最快的保险领域之一。弗里德兰德说,越来越多的公司开始承保网络安全保险,这归因于保险公司对更复杂的承保和稳定的费率充满信心。他举例说,继 2024 年网络安全保险费率下降 3% 之后,2024 年第一季度网络安全保险费率又下降了 6%,这是一个明确的信号,表明保险公司对开展这项业务更有信心了。
大多数商业保险,如车险、家财险和人寿保险都在增长,因此下降幅度很大。弗里德兰德说,这是一个稳定和理赔严重性下降的迹象。
越来越多的保险公司正在进入这一市场,因为他们拥有为风险定价的工具和数据。弗里德兰德说,如果你能以合理的费率承保,你就会承保。
巴菲特和他的高级保险副手并不同意。让伯克希尔公司对网络保险持观望态度的是保险损失成本--销售成本可能达到的水平。詹恩说,到目前为止,损失已经得到了很好的控制--在过去的四五年里,损失没有超过保单金额的 40 美分--但他补充说,目前还没有足够的数据来说明真正的损失成本是多少。
Jain 说,在大多数情况下,伯克希尔公司不鼓励代理人承保网络保险,除非他们需要承保网络保险来满足特定客户的需求。即使他们这样做了,Jain 也会给他们留下这样的信息:无论你收取多少费用,你都应该告诉自己,每当你承保一份网络保险时,你都在赔钱。我们可以争论你损失了多少钱,但你的心态应该是你并没有在网络保险上赚钱....。然后,我们应该从这里开始。
谷歌云(Google Cloud)业务风险和保险主管莫妮卡-肖克莱(Monica Shokrai)说,人们认为网络风险瞬息万变,因此难以预测,无法以系统的方式进行承保。但她补充说,这种看法与现实并不相符,这种风险在很大程度上是可以管理的。
她说,在这个问题上,我们与沃伦-巴菲特的观点不同。谷歌认为,大多数网络损失都可以通过基本的网络卫生来预防或减轻。
Shokrai 说,了解了安全问题,你就能更好地控制风险。与此同时,来自民族国家的破坏性攻击属于另一个类别,而且很少发生。保险公司已经通过为某些灾难性事件提供免责条款来规避潜在风险。许多网络安全保险都有针对民族国家攻击的免责条款。
Shokrai 说,他们所要做的是在发生大范围事件时保持复原力和偿付能力;他们所采取的管理措施是加入排除条款,其中包括关键基础设施、网络战争和其他大范围破坏性事件。
模糊性和主观性依然存在。如果有人是一个外国帮派网络攻击的受害者,而这个帮派与某个民族国家没有正式联系,但可能得到了一些辅助性的后勤支持,该怎么办? 保险公司能否援引民族国家免责条款?Shokrai 说,如何对事件进行归类是保险公司之间争论不休的话题。Shokrai 说,保险公司之间对此争论很大;这是一个需要澄清的重要区别。
一些专家表示,正是由于该行业利润率的不确定性,让巴菲特等投资者和伯克希尔等保险企业感到恐慌。但迄今为止,事实证明该行业总体上是稳健的。塔夫茨大学弗莱彻学院(The Fletcher School at Tufts University)网络安全政策副教授约瑟芬-沃尔夫(Josephine Wolff)说,对许多保险公司来说,这仍然是一种可行的商业模式。但她补充说,认为该业务可行并不意味着情况不会不断变化,她指出,最近几年勒索软件激增,保险公司支付了大笔赔款,但值得注意的是,这还不足以让大多数发行商无利可图。
网络保险有助于提高整个生态系统的安全性,加利福尼亚州专门从事网络安全的托管服务提供商 L3 Networks 的联合创始人史蒂夫-格里芬(Steve Griffin)如是说。保单要求企业遵守一定的网络标准,以获得保险,而投保的企业越多,整个系统就越安全。如果企业知道,如果他们没有采取一些基本的网络安全保障措施,就会被拒绝理赔,这就会促使他们采取这些措施。
伯克希尔公司相信业务会增长,只是不确定要付出多大的代价。詹恩说:"我的猜测是,在某些时候,它可能会成为一项巨大的业务,但也可能伴随着巨大的损失。
我会告诉你,大多数人在承保时都想参与任何时髦的事情。巴菲特说,网络保险是个简单的问题。你可以承保很多。代理人喜欢它。他们每写一份保单都能拿到佣金....。我想说的是,人性就是这样,大多数保险公司会非常兴奋,他们的代理人也会非常兴奋,这很时髦,也很有趣,正如查理(芒格)所说,这可能是老鼠药。
格里芬理解巴菲特的谨慎,但他认为风险前景存在代沟,并对网络安全保险行业持乐观态度。
他说,沃伦-巴菲特(Warren Buffet)年轻时可能会把网络安全保险称为一个机会。
