中经记者李晖北京报道

　　随着新型工业化深入推进，制造业数字化转型步伐加快，网络安全基础性、保障性作用持续凸显。

　　工业和信息化部近期披露，我国首批次网络安全保险服务试点工作已圆满完成，也引发市场对这一金融创新模式的关注。

　　作为金融支持新型工业化、护航网络安全的重要探索，近年来网络安全保险在我国发展提速，但也面临着供需两端动力不足等问题。

　　清华大学五道口金融学院金融安全研究中心主任、北京市“十五五”规划专家咨询委员会专家周道许长期研究金融安全与网络安全领域，他在近期接受《中国经营报》记者采访时表示，历史数据匮乏、企业“报喜不报忧”的心态以及复合型人才的断层，阻碍了网络安全保险发展。要打破僵局，关键在于建立由政府、监管、行业、高校等多方参与的联动机制，促进“保险+科技+服务”的生态融合。

　　三大关联风险困扰企业

　　新一轮科技革命和产业变革深入发展，由此带来的网络安全风险敞口加大，多种风险的相互关联困扰着企业发展。

　　周道许向记者表示，当前企业面临的网络风险中，首当其冲的是工业控制系统被攻击的风险。

　　随着工业互联网平台的普及，传统封闭的工控网络逐步与互联网、企业IT系统互联互通，打破了传统工业生产“物理隔离”的安全边界。“IT系统的漏洞和安全短板，会直接传导至OT系统，导致损失从数字资产扩展到物理资产。工控设备普遍存在‘重功能安全、轻网络安全’的问题，系统补丁更新滞后、访问控制策略宽松、安全审计机制缺失等问题普遍存在，攻击者可通过病毒攻击、钓鱼邮件、漏洞利用、恶意代码植入等手段，入侵工控系统，篡改生产参数、破坏控制逻辑，甚至导致停机停产。”周道许表示。

　　其次，供应链安全风险也值得关注。由于新型工业化强调产业链上下游协同，但供应链企业安全水平参差不齐。部分中小企业因安全投入不足、防护能力薄弱，成为攻击者入侵的“薄弱环节”。

　　周道许指出，攻击者可通过攻击供应链中的中小企业，逐步渗透至核心企业，实现“跳板式”入侵。此外，工业软件、核心芯片、关键零部件等供应链环节存在“卡脖子”隐患，若供应商产品存在漏洞或后门，可能通过供应链传导至上下游企业的生产系统。

　　此外，在新型工业化的大背景下，企业面临的数据安全和合规风险也在增加。

　　“由于新型工业化以数据为核心生产要素，工业大数据的采集、传输、存储和应用贯穿全流程，数据安全与合规风险成为企业发展的隐形枷锁——一方面，工业数据具有高价值、高敏感特性，涵盖生产配方、工艺参数、客户信息、供应链数据等核心商业秘密，一旦泄露或被窃取，将直接冲击企业核心竞争力。另一方面，随着《数据安全法》《个人信息保护法》等法规的实施，企业数据合规要求日益严格，数据分类分级、跨境传输安全、数据留存期限等合规成本持续上升。”周道许表示。

　　两大卡点阻碍网络安全保险发展

　　虽然网络安全需求扩大，但我国网络安全险发展仍处于初级阶段。

　　周道许认为，从需求端来看，大量企业高管仍将网络安全视为IT部门的技术性工作，而非关乎企业生存发展的核心经营风险，缺乏从战略层面投入经济资源的动力。由于网络安全风险事件“低频”的特性，大部分企业管理者存在侥幸心理，认为自身被攻击的概率较低，宁愿将有限预算投入到看得见的生产环节。

　　此外，现有保险产品条款复杂、专业性强、“免赔条款”较多，市场上缺乏足够多、公开透明的成功理赔案例，企业难以评估其保障是否真正契合自身风险敞口。相较于“看不见”网络安全保险，企业更倾向于投资防火墙等“看得见”的安全设备。

　　从供给端来看，我国网络安全保险市场历史较短，历史数据沉淀不足，勒索软件、供应链攻击、APT攻击等新型风险不断涌现，传统精算模型难以准确测算损失概率与强度，导致精算定价存在困难。

　　此外，网络安全保险的“保前诊断、保中监测、保后响应”流程需要“技术+金融”复合能力，但我国保险行业严重缺乏此类人才。由于人才匮乏，保险公司无法判断企业是否存在“带病投保”的情况，或在理赔时可能因技术证据不足陷入纠纷，造成保险公司在承保时可能会面临额外损失。

　　周道许认为，当前主要存在两大卡点阻碍网络安全保险发展：一是历史数据的匮乏和企业“报喜不报忧”的心态，使保险公司难以科学定价，也增加了保费成本。二是复合型人才存在断层现象，保险核保人员看不懂代码漏洞，安全技术人员不理解精算模型，导致产品与市场需求脱节。

　　破局：“保险+科技+服务”生态融合

　　在周道许看来，要打破僵局，关键在于建立由政府、监管、行业、高校等多方参与的联动机制：

　　针对卡点一，可以在我国首批次网络安全保险服务试点工作基础上，由国家相关部门牵头，建立行业级的、匿名的网络安全事件与损失数据库，打造国家级数据共享机制。政府和监管机构可以加速制定覆盖风险评估、服务流程、理赔定损等全生命周期的统一标准。产业联盟与行业协会可以收集并推广成功理赔和风险减量服务的典型案例，对企业进行有效的市场教育。

　　针对卡点二，可以由产业联盟撮合“保险+科技+服务”生态伙伴，保险公司可以与专业的网络安全公司、评估机构建立深度战略合作，形成能力互补，共同开发创新解决方案。高校也应加强对金融科技人才的培养，构建“保险+网络安全”交叉学科体系，通过课程共建、实习基地、联合实验室等模式，培养既懂精算模型与保险条款，又熟悉网络攻防技术、数据安全法规的复合型人才。

　　记者注意到，目前市场上已涌现出一批极具价值的创新模式，公开信息显示，宁波“网安产品超市+网安保”提供了面向中小企业的轻量化服务模式，降低准入门槛。通过“安全产品+保险+补贴”的组合拳，有效解决了中小企业的成本顾虑和能力短板，撬动中小企业市场。一些网络安全企业通过联合保险公司发布“零事故”网络安全保障险，尝试为客户提供“产品+服务+保险”的一体化安全防护。

　　在周道许看来，它们共同指向了“保险+科技+服务”这一生态融合的方向。

　　对于进一步推动网络安全保险提质扩面，周道许认为，进一步发展的突破口在于：顶层设计层面，依靠政府和监管的力量，建标准、通数据、立法规；在执行中，聚焦数据、人才、系统性风险等核心瓶颈，逐一攻克；市场实践层面，走“保险+科技+服务”的生态融合之路，让网络安全保险真正成为企业数字化转型的“风险减压阀”和“安全助推器”。