保險業之所以會出現死亡螺旋,就是因為經濟誘因開始主導風險估計方式。保險可以一邊提高整體資安標準,一邊讓企業自己注意風險,保險一旦崩潰只會帶來更大的資安危機。
2017年左右,許多人非常擔心幾年前隨「歐巴馬健保」(Affordable Care Act,《平價醫療法案》)而起的健保市場即將落入「死亡螺旋」。該法案禁止保險公司根據既有病史資料,拒絕最昂貴的保單。這項規定結合高度的政治風險,使得醫療保險吃力不討好,目前不知道還有多少保險公司會繼續提供此類保單。
保險業之所以會出現死亡螺旋,就是因為經濟誘因開始主導風險估計方式。當保費上漲、承保條件限縮,風險較低的客戶就會退出市場,只有風險較高的客戶繼續留著。而這會讓保險公司的支出逐漸增加,於是它們只好提高保費,但這只會加劇惡性循環,使得安全的客戶越來越少,最後保險市場只好關門大吉。
歐巴馬健保的動盪最後穩定了下來,但目前的資安保險市場似乎落入類似困境。這類保單的價格暴漲,理賠範圍卻正在縮小,勒索軟體、「戰爭行為」(只要駭客有拿國家的錢就算),還有許多高度相關的威脅,全都不再理賠。此外,申請理賠的過程耗時越來越長,即使滿足某些先決條件,通常也需要半年的時間;因為資安維護程序不當而被拒絕理賠的比例也越來越高。
這些問題中有一些是無法避免的,因為網路資安風險涉及全球,建立財務模型本來就相當困難。保險可以一邊提高整體資安標準,一邊讓企業自己注意風險,保險一旦崩潰只會帶來更大的資安危機。但保險業該怎麼準確評估風險,卻是個大難題。
形式必須符合功能
在某種意義上,保險業的上述變化,並非道德風險帶來的危機,反而可能促進該行業的健康發展。保險公司為了避免風險,本身會再保險(Re-insurer),把保單分給其他公司負責。當再保險的比例越來越高,最初的保險公司就變成了中盤商,而非真正承擔風險的人。但承接再保險的公司,也會因為看不到通常用來計算風險的統計資料,而變得越來越謹慎。
當第一層的保險公司發現風險太大、太抽象,無法完全掌握時,就會使用再保險。保險公司Verisk財產請求服務主管Tom Johansmeyer在《哈佛商業評論》(Harvard Business Review)的文章中表示,用保險聯結型證券(Insurance Linked Securities, ILS)來轉分保單,便可改善保險市場問題。
資安也一樣。程式碼從上到下分為很多不同層次,維安的方式也應該要層層拆分。很多時候我們必須根據要達成什麼功能,來決定要採取什麼形式。
