全球网络安全风险因素及相关统计

    一、网络风险的定义

    网络风险（Cyber risk）：

• 从最广义的范围来理解，网络风险是信息安全风险或导致信息系统故障的风险，这既包括计算机系统遭受入侵而导致的商务中断、遭受黑客或病毒袭击而引起的数据和机密资料信息丧失、电子窃盗、商业声誉在网络上遭受诽谤等第三方故意或意外的行为，也包括地震、洪水、风暴、太阳耀斑等自然现象。广义的定义意味着网络风险与“IT风险”是同义的。

• 网络风险的狭义定义：是恶意电子事件导致业务中断和财务损失的风险。

  
  

  二、全球基于互联网的经济业态飞速发展

    近20年来，全球经济从以往的实物产品（Tangible Product）和劳动力服务转向依赖于技术和信息资产非常迅速而坚决。最近一项研究发现，世界财富五百强总资产的80%现在是由知识产权（IP）和其他无形资产组成的。云计算、移动设备、社交媒体、大数据分析、以及物联网（Internet of Things）的爆炸式发展，进一步推动了全球经济向数字化方向转型进程。

    据Cisco预测，到2020年，接入网络的设备数量将突破500亿台。物联网设备可能超过260亿台；移动设备接入可能超过70亿部。

          IDC估计90%的数据将是结构化的。Cisco估计，云计算方面，2017年，69%的工作将在云服务器上完成。

    三、全球互联网产业快速发展带来的巨大挑战

    1、网络攻击造成的严重性不断提高

    随着网络化、智能化、数字化发展，尤其是物联网的发展，网络攻击风险也越来越严重，但政府、企业都低估了面临的网络风险严重程度以及其发生速度。世界经济论坛（WEF，2015）发布的2015年全球风险报告指出，技术性风险例如数据欺诈、网络安全事故或基础设施崩溃是全球经济面临的十大风险之一。

    安联集团的一项关于网络风险的报告（2015）认为，随着不断提高的互联性（Interconnectivity）、全球化（Globalization）和网络犯罪的商业化（Commercialization），使得全球网络风险事件（包括数据泄密等）变得复杂，且经常变化，网络袭击及事故发展发生频率及损失强度不断提高。引发关注最大的是与数据泄露及引发重大业务中断、知识产权偷窃、网络勒索等相关的风险。

          McAfee和CSIS（2014）的联合研究对全球网络犯罪成本的估计表明，全球网络犯罪已令全球经济每年损失接近4450亿美元，其中约50%发生在全球10大经济体。全球受到网络风险威胁的前5位国家分别是：美国、中国、日本、德国、法国（见下表），这5个国家网络风险损失约在3280亿美元左右。中国每年预计会遭受600亿美元的网络损失，居亚洲第一，是排在第十位的印度的15倍。

全球网络犯罪损失情况

        McAfee和CSIS（2014）的研究还指出，网络犯罪最重要的成本在于给公司业绩和国家经济带来重创。网络犯罪难过损害贸易、竞争力、创新和全球经济增长。网络风险也已经成为政府关注的重点。美国白宫在2015年2月13日的网络安全及消费者保护峰会上指出：美国当前面临的最大威胁之一就是网络恐怖主义，发出倡议确定网络安全为国家性的优先考虑问题，奥巴马敦促公司和政府采取更为强有力的举措在保护商业获得和消费者免受网络攻击，并保护个人隐私权。英国在其国家安全战略中，将未来风险作为英国未来五年最优先的风险等级。

    对比德国安联集团发布的2016年和2015年“安联风险晴雨表”（Allianz Risk Barometer，2016/2015）发现，全球对于商业风险的洞察已经发展变化，其中，业务和供应链中断、市场发展（波动性、竞争加剧、市场停滞）、网络事件作为排名前三的企业风险因素。许多企业担心导致业务和供应链中断的主要诱因不再是自然巨灾、火灾等财产损失，而是网络袭击、技术故障或者是地缘政治不稳定等非物质性损失因素；而其中的网络安全事件从2015年的17%提升至2016年的28%。网络安全问题更被认为是企业在今后十年最具挑战性的长期风险。见以下两图。

全球主要地区的商业风险关注对象

    普华等从保险公司角度进行的调查显示，美国和英国的保险公司认为网络风险已成为第四大风险，而此前的2013年，网络风险问题还未进入视野，见下表。

美国、英国保险公司关于风险因素的调查

        2、网络攻击及事故发生频率及损失不断提高

    从网络保险发达的美国看，网络安全事件发生频率及损失严重程度不断提升。根据美国Identity Theft Resource Center（2015）的统计，美国自2005-2015年，泄密案件从157个提升到781个，所涉金额也由0.67亿美元提升至1.7亿美元。自2005年以来，美国报告的网络泄密案件超过五千起。网络犯罪对于商业机构造成的平均损失金额由2006年的0.035亿美元提升一倍至0.07亿美元。见下图。

    另据调查，欧洲地区自2005年以来至少发生了两百起以上网络安全事故。由于更多的网络安全事故没有报告或侦测到，因此，实际发案数量要远超上述数据。

        Ponemon Institute（2015）对美国公司网络犯罪的专门研究显示，每年每个网络犯罪案件的平均成本约为1500万美元；58家公司样本里从190万美元到6500万美元不等。恶意代码、服务拒绝和网络钓鱼等犯罪行为造成的成本排在网络犯罪成本前列，见下图。

        Ponemon Institute（2015）的全球性调查也支持了美国的上述趋势。

美国：其研究显示，网络泄密案件的平均损失成本为379万美元，相比2013年提高了23%。为每个失窃信息所支付的平均赔款从145提高到154美元，同比提升12%。

        Ponemon Institute（2015）分析2015年数据泄露成本提高的三个原因：

• 网络攻击的频率和弥补损失成本的提升，例如每个网络犯罪导致的数据泄密成本从159美元提升至170美元。

• 业务损失（Lost Business）导致数据泄露成本的提升；平均每家公司由于网络犯罪导致的业务损失从133万美元提升至2015年的157万美元。这些成本包括顾客异常交易额、顾客获取成本提升、声誉损失及商誉损失等。

• 与侦测与升级相关的数据泄密成本的提升。这些成本包括法庭和调查活动、评估及审计服务、危机团队管理及与高管及董事会沟通等。该平均成本从76万美元提升至2015年的99万美元。

    英国：英国政府将网络攻击作为与恐怖主义威胁同样级别的国家安全最高风险。该国政府相关调查显示，2014 年，英国81%的大型企业和60%的中小企业遭受网络安全漏洞的风险，各自平均损失高达60-110 万英镑和6.5-11.5万英镑。劳合社与剑桥大学（2015）的一项联合研究显示，若黑客攻击美国电网，造成的可能总财务损失会达到2430亿~1万亿美元之间，保险损失可能在214亿~711亿美元之间。

• 重点网络事故的历史损失情况。

  近年来，网络风险保险业务损失频率及损失程度有增长趋势，出现了若干具有社会影响力的损失事件。例如：2014年5月，ebay的1.45亿用户信息失窃；2014年7月，摩根大通的7600万用户的姓名、地址、电话号码和邮箱被袭击者盗走；2014年12月，sony影业被朝鲜黑客袭击。

  
  

  主要网络损失事件导致的客户信息泄露数量（百万个)

      3、网络风险事件复杂性逐步上升

    网络风险定义不断发生变化和拓宽，网络攻击复杂性在提高。犯罪者、目标及风险暴露等范围不断扩展。

    安联集团风险晴雨表（Allianz Risk Barometer，2016）研究表明，黑客攻击变得越来越有目标性（Target-Oriented），持续时间更久，能够引发持续的渗透（Penetration）等。商业机构大约平均90天，就能发现一次受网络攻击的现象。

    隐蔽性突出，例如Ponemon Institute（2015a）调查发现，平均256天才能识别出一次恶意网络攻击，人为失误需要158天才能甄别出来，网络攻击越不易发现，其成本也就越高，因此恶意网络攻击造成的成本是最高的。网络安全事故经常不是被机构自身识别的，而是被客户或其他利益相关方识别的。商业机构经常在网络攻击已经发生后承认损失的事实，意味着它们所做的都是试图尝试或预防未来可能的损失。这也就是为什么预防是IT安全领域的关键性要素。管理网络风险已经成为任何公司风险管理策略的不可分割的有机组成部分之一。

    以往，网络风险被视为个体风险，在全球网络的依存性不断提高的趋势下，网络风险具有累积效应，呈现了全球性系统性风险的特征，变得难以预测。

      4、数据泄露等网络安全事故因行业、事故原因、企业规模、国别等有所差异

    (1)行业

    据美国Identity Theft Resource Center（2014）统计，在2014年发生的783件数据泄露案件中，医疗健康和商业领域的案件数据占比最高。而商业领域的网络犯罪案件的风险损失金额比重最大，达79.7%。见下面两图。不同行业的发案成本也不同，Ponemon Institute（2015）的全球调查显示，与医疗健康相关的企业为每个数据记录支付的成本为363美元，教育行业为300美元，化学制药企业为220美元，金融企业为215美元，零售行业为165美元。

数据来源：Identity Theft Resource Center

    美国Identity Theft Resource Center（2014）统计了自2005年以来的超过五千起网络泄密事故在各行业的分布，其中商业领域占34.3%，属受网络事故侵害最严重的领域，其次为医疗健康领域。见下图。

数据来源：Identity Theft Resource Center

    (2)损失原因

    美国Identity Theft Resource Center（2014）还统计了自2007-2014年八年间，造成网络泄密事故的主要原因分布。其中，黑客攻击在八年间的平均占比为21.7%，是第一大因素，同时也是2011年以来第一大因素。其次为数据移动（15.9%）、内部偷窃和意外email/网络风险暴露（12%）、转分包/第三者因素（11.2%）。

    美国Identity Theft Resource Center（2015）的最新报告显示，黑客攻击达到了近9年来的顶峰，达到37.9%，比2014年高了8.4个百分点。雇员失误或疏忽因素占14.9%。意外email/网络风险暴露成为第三位的风险因素，占13.7%；内部偷窃占比10.6%。数据移动排在最后为7.3%，比2007年最高峰下降了27.6个百分点。

    (3)企业规模

    中小企业面临及应对网络风险的脆弱性更大。普华的调查显示，2014年，中型企业（营业收入规模在100万-1亿美元）受到的网络攻击比2013年提升了64%。同时，中小企业不太重视网络风险问题。2014年，营业收入规模低于100万美元的企业的网络安全开支减少了20%；中等规模的企业和大企业（超过1亿美元）提高了5%的网络安全开支。

    (4)国别因素

    Ponemon Institute（2015a）的研究显示，一个数据泄露事件中，单个信息记录的平均泄露成本为154美元，但国别波动较大，在美国，单个信息泄露成本为217美元，德国为211美元，最低的是巴西（78美元）、印度（56美元）。

 参考文献：

1.     WorldEconomic Forum, Global Risks 2015 (2015),http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdf. 

2.     AllianzGlobal Corporate & Specialty, “A Guide To Cyber Risk, Managing The ImpactOf Increasing Interconnectivity”, 09September 2015

3.     http://www.agcs.allianz.com/insights/white-papers-and-case-studies/cyber-risk-guide/

4.     McAfeeand the Center for Strategic and International Studies, Net Losses:Estimating the Global Cost of Cybercrime, Economic Impact of Cybercrime II,June 2014.

5.     Allianz Risk Barometer 2016

6.     Insurance Banana Skins（2015）

7.     PWC and Centre for the Study of Financial Innovation, InsuranceBanana Skins 2015: The CSFI Survey of the Risks Facing Insurers,paragraph1 (July 2015),http://static1.squarespace.com/static/54d620fce4b049bf4cd5be9b/t/55dde0fce4b0dff05004146c/1440604412304/2015+Insurance+Banana+Skins+FINAL.pdf.

8.     http://www.statista.com/statistics/273550/data-breaches-recorded-in-the-united-states-by-number-of-breaches-and-records-exposed/

9.     PonemonInstitute, 2015 Cost of Cyber Crime Study: United States, October 2015.

10. Lloyd’s of London, EmergingRisk Report: Business Blackout – The Insurance Implications of a Cyber Attackon the U.S. Power Grid (July 2015),https://www.lloyds.com/~/media/files/news%20and%20insight/risk%20insight/2015/business%20blackout/business%20blackout20150708.pdf.

来源：中再集团发研中心 2017-05-14