RAND：承保灾难性网络风险（2025） 87页

这篇报告围绕网络风险保险市场展开研究，探讨美国联邦政府应对灾难性网络事件的保险策略，核心结论为当前网络保险市场存在局限，有必要探索联邦支持方案。主要内容如下： 1. **网络风险对私营保险市场的挑战**：信息技术发展使企业保护IT系统难度上升，网络事件可能造成重大损失，引发网络灾难。私营保险市场在应对此类风险时面临挑战，部分网络事件不符合理想风险的可保性标准，如造成灾难性损失的事件难以被私营保险市场有效承保。 2. **网络保险市场趋势与局限**：市场规模增长，保费、保单数量等有变化，损失率因应对勒索软件攻击和加强安全控制而改善。但市场存在局限，如战争、基础设施事件等风险被排除在承保范围外，再保险能力和替代资本市场的支持有限，中小企业保险购买率低。这些局限影响企业转移风险的能力，带来经济和社会影响。 3. **政府管理灾难性风险的方式**：政府可通过事前保险和事后灾难救济等方式应对灾难性风险，各有优劣。事前保险包括政府作为主要保险人、再保险人或建立公私合营伙伴关系；事后灾难救济在处理某些风险时可能引发道德风险，效率相对较低。政府干预的潜在目标包括减少市场低效、确保政府连续性和经济韧性、缩小保护差距、改善风险缓解行为及避免排挤私营市场。 4. **联邦网络风险保险计划的方案**：提出建立类似恐怖主义风险保险计划（TRIP）的网络风险保险计划（CRIP），包括公私风险共担方案（设立两个再保险塔）、确定计划触发条件、上限、事件分类、参与和购买要求及资金机制等。还介绍了英国Pool Re的Cyber Re提案和《灾难性网络攻击弹性法案》（CCRA），并与CRIP进行比较。 5. **网络安全考量与联邦保险响应**：保险公司在帮助企业降低网络风险方面能力不断提升，通过拒绝承保、威胁监测、保费激励和事后援助等方式。目前缺乏被广泛认可的网络安全标准，实施此类标准对不同类型网络事件的影响不同，对阻止灾难性事件效果有限。对于是否禁止联邦保险计划支付勒索软件赎金尚无充分依据，同时应建立数据收集机制以提升对网络安全控制有效性的理解。 6. **评估指标**：若实施联邦网络保险计划，可从战争和基础设施事件的承保范围、保险价格和灾难性风险负担、可用容量和限额、网络安全防御和损失、保护差距规模及股票市场估值等方面评估其绩效。