明瑞保险经纪陈正明：新能源网络安全/数据安全的相关风险及其保险保障

2023年10月16日-19日，2023北京国际风能大会暨展览会（CWP2023）在北京如约召开。作为全球风电行业年度最大的盛会之一，这场由百余名演讲嘉宾和数千名国内外参会代表共同参与的风能盛会，再次登陆北京，聚焦中国能源革命的未来。

本届大会以“构筑全球稳定供应链 共建能源转型新未来”为主题，将历时四天，包括开幕式、主旨发言、高峰对话、创新剧场以及关于“全球风电产业布局及供应链安全”“双碳时代下的风电技术发展前景”“国际风电市场发展动态及投资机会”“风电机组可靠性论坛”等不同主题的21个分论坛。能见APP全程直播本次大会。

在10月18日下午举行的可再生能源保险与风控创新论坛上上，明瑞保险经纪陈正明发表了题为《新能源网络安全/数据安全的相关风险及其保险保障》的主题演讲。

以下为发言全文：

首先我简单自我介绍一下，我是上海明瑞网络经纪，除了再保险业务之外，我们也积极的往新的领域开发拓展，现在到了这个话题稍微有点误区。我刚才简单介绍了一下明瑞经纪，一个是明瑞经纪，一个是赛保保，我们发起了网络安全的保险平台，所以今天的这个话题跟这个有很大的关系。

    其实刚才大家讲到了，我们新能源行业面临的各种各样的风险当中，我们一直讨论网络安全这个话题这几年火车的话题，这其中跟咱们的新能源行业是不是有关、相关度大不大，咱们一听可能跟网络平台、按照咱们日常网络安全保险当中的主体比较多的，跟咱们的新能源行业相关性怎么样相关做了一些调查。

    在新能源领域这几年的网络安全事故也是有的，这里面有几个例子，大家具体的可以看我不细说了，基本上来讲的话在新能源领域像风机风电因为网络攻击也造成过数据丢失、泄露、运营遭到破坏，这些情况都时有发生。

    这个相关的风险除了咱们正常的物质损失的保障咱们常见的包括刚才高总讲的效能等等，网络安全的领域、数据安全的领域应该也是我们值得关注的一个点。不光咱们自己关注，事实上从整体上讲，我们看整个网络安全对于新能源行业当中意味着什么，一方面有关于设备等等方面出现问题，第二个就会遭受早网络软件的攻击，这种在海外也是我们保险常见的索赔形式。

    供应链面临着很多上下游的供应链，这里面很多时候不一定是自己的问题，但是我们的供应链企业遭受的问题网络风险有一个很重要的特点，网络可以传播。这种的话不像咱们的一些灾害，他一定要有传播的媒介，网络风险传播的非常快，一秒钟传播世界，他的供应链不是自己的问题，但是由于供应链把这个风险传递过来、传递出去非常可能。

    因为咱们新能源领域的公司企业这个数据不一定都是具体的经营数据，但是也包括设备的数据、包括底层的数据，我们不光用于直接攻击企业本身，比如说商业秘密的泄露可能会导致损失。

    这几年不管咱们行业的本身还是国家的立法，都在做相应的调整和司法的建设，这些我就不具体说了，大家应该耳熟能详，尤其是今年的大会上都提到了我们这里头就具体不说了。我把网络安全提到了非常高的国家战略的层面，因此相关的标准、相关的这些建设都在进行当中，包括我们自己本身明瑞经纪我们也利用赛保保的平台也参与网络交通的阵地，也是在进行当中。

    这里面我具体不细说，目前在今年出台的关于促进网络安全健康发展的意见，更重要的要开展网络安全的服务模式促进网络的推广应用。

    关于接下来具体来讲的话，说到保险产品本身，这个本身来讲的话说到底其实也是一个怎么样帮助咱们说的新能源企业客户去分解认识自己的风险的这么一个过程，我们把这个相关设计的责任分成三个部分来看，第一个就是主体责任相当于企业本身具有要做好，刚才根据一系列的要求要有做好网络安全防范的自身责任要求，同时对于上下游供应链来讲要针对本身自己是供应链企业、或者是主企业针对自己的供应链的上下游来讲都需要做好相应的管理。

    另外的话在这个当中除了自身和供应链两个缴租做好风险防范和责任分担之外，也可以通过网络安全保险的形式，通过跟保险公司、保险企业的传递或者是来转移相应的风险，这个是我们常见的大家在整个行业里做风险分散分配的逻辑。

    近两年当中应该说相应的一些风险责任我们简单的看看，针对新能源行业我们有几个案例，大致来讲就是说本身像包括这里头讲到的俄乌冲突由于各种各样的形势的变化，这段时间网络攻击的事件越来越多，由于IT系统受到攻击他们整个公司的远程控制系统遭到了破坏，像这些的话应该给我们敲响了警钟，这个不仅涉及到新能源行业也是我们日常中容易遭遇到的事情。

    另外就是跟特斯拉的事情一样，目前的法律环境下来讲，信息的泄露还没有形成一个直接的关联，当然我们已经看到有一些案例正在往这方面发展，所以未来法律环境的变迁或者是加强，会支持我相应的这些损失走向台面，影响企业或者是保险管理公司这种事。

    保险的解决方案我们说的是两个方面，引起的后果就是造成的损失我们左边列出来了，包括基本上有这个主体的损失，就是我们作为企业支撑的自己无法运行了，同时包括主体对于第三方因为自己的网络供给导致第三方产生的责任，以及还有其他的费用，名利损失等等的附加费用。

    具体的条款来讲现在咱们行业应该有很多保司都已经有相应的网络安全保险的条款，咱们现在逐渐的发展出自己的网络安全的保险的产品。刚才提到第一方损失、第三方损失的费用，这个是网络安全保险的主体责任，除了营业中断、网络，还有就是说造成网络直接的损失来自网络勒索，第三种的就是网络欺诈及社会工程学犯罪，这个是他们这个行业的词，但是说到底就是欺诈。

    现在因为电诈也好、网络安全诈骗、钓鱼网站等等，可能通过一个点状就突破我们日常的安全防护，所以这个都是我们特别关注的。第三个结论刚才也讲到了，我这也不细说，我们说到除了企业本身咱们说的第一风险作为自己的损失之外，我们还关注企业的上下游，这块讲到企业自身的损失是一方面，但是上下游是导致企业的扩散，风险会对企业本身造成不利的影响。

    我们在本身设计的保险的产品的方案，另外一种就是针对企业上下游供应链，由业主方发起要求去购买对他自身的安全，这样一种风险转嫁的方式也是可行的模式。因为在现实的情况下，当我们讲到网络安全的时候之前有一些原来的朋友、同事讲到中国移动找我们做这个事你敢不敢做？我们目前的承保能力全国加一块有多大？我们不一定对中国移动有很大的意义。

    当一个主体企业太大很难带动可以从供应商的角度去做上下游的突破，来打开网络安全的口子，这是我们的建议。这个事也刚才讲到了，我这也不细说，关于刚才说的两种方式，我们建议的。具体来讲的话这里头还讲到最后一点，在这当中我们发挥什么作用，这里面我们作为一个网络安全服务、保险服务的提供方在做什么事情。

    这里面我们讲到不得不提到赛保保这个平台，赛保保这个平台是我们明瑞经纪和网络安全企业共同联合发起的一个平台，这里面主要集合的是提供的对于保险的前中后、或者是叫做保前、保中、出险之后，全程闭环的安全服务。

    因为对于保前里讲，咱们在核保当中遇到问题，对于客户的风险很难做全面的了解，咱们按传统的方式发传统风险表，客户就说让IT填，IT说全是你有哪些漏洞肯定是否否否，我们要借助第三方进行扫描或者虚拟攻击，这个也是为什么专业第三方在保前通过这种方式给公司提供相应的提示。

    下面是我们日常的维护，我们可以提出对这个企业来讲全面了解他的自身365天的实时情况、有没有哪些漏洞、有没有补上，跟行业来比你的网络安全是如何通过这样的服务给到大家。也是通过这样的方式实现咱们的风险减量、保险加服务业好这样的一个方式。

  （根据演讲速记整理，未经演讲人审核）