忘记密码?

立即注册
浅析海上能源险保单中网络袭击保障的附加险

2017年09月01日

作者:管理员

         “To be or not to be, that is the question”,当五百年前莎翁写下这句台词的时候,也许未曾想到一千个人眼中有一千个哈姆雷特。当被保险人提出在保单中加入针对网络攻击的保障时,海上能源险承保人的心情或许正如哈姆雷特说出这句话时一样纠结。

        笔者于2017年3月3日发表的《下一片蓝海——国际网络责任险产品与市场》(点击标题可查看文章)一文介绍了网络责任险这一产品的保障范围和市场状况。该产品一般将由于网络安全系统失效或遭受恶意攻击导致的物质损失除外。笔者在从事海上能源险业务时观察到,一部分被保险人开始试图将网络袭击导致的物质损失及营业中断损失作为附加险放入保单中,而一部分保险人也开始主动提供这样的保障,以应对海上能源险市场整体萎缩的趋势。本文将简述这一附加险的内容,并针对其中一些问题提出笔者的看法。

        CL380 (Institute Cyber Attack Exclusion Clause,附后)条款在海上能源险保单中被广泛采用。该条款将一切出于恶意使用计算机系统(含计算机软件系统、恶意代码、病毒等)产生的直接或间接物质损失及费用除外;如果保单附加保障了战争险,则由操作计算机系统触发的武器或导弹导致的损失不除外。

        市场不是铁板一块。有个别保险人早已将网络袭击纳入其保障范围,如全球最大的能源互助保险公司OIL提供包含网络袭击的恐怖主义保障,承保能力可达4亿美元。如果说OIL作为全球能源巨头俱乐部的准入门槛较高,其提供的网络袭击保障属于奢侈品的话, CABBE(Cyber Attack Buy-back Endorsement)附加险的日趋流行则使得网络袭击保障 “飞入寻常百姓家”。

        究其原因,从需求的角度看,越来越多的被保险人意识到网络袭击的潜在威胁。海上能源行业是重资产行业,石油平台、输油管道或FPSO的价值动辄达十几亿甚至几十亿美元,钻井费用高企,维持开采活动的日均花费居高不下,一行病毒代码可能导致井喷、爆炸或开采活动停止,将产生巨大经济损失和人员伤亡。同时,由于海上能源行业的工业控制系统(Industrial Control System, 简称ICS)经历了数十年的发展,其软件代码更新换代多次,形成所谓多层软件(multi-layer software),即后续开发的代码是基于前一版本代码的,留下许多潜在漏洞,为恶意网络袭击提供了机会。从供给的角度看,自从国际油价由130美元/桶“跳水”至50美元/桶,并长期在低位徘徊,石油公司纷纷大幅削减保费支出以应对危机;保险行业却面临大量资本涌入以规避低迷的全球利率的处境。这一降一升使得承保能力过剩,保险人之间的竞争日益激烈,保险费率以年均两位数的降幅持续下降了多年,并远未看到触底的迹象。因此,以较为便宜的价格额外提供网络袭击保障,自然成为海上能源险承保人差异化竞争的结果。

        目前市场上流行的CABBE附加险如下:保障由CL380除外的事件直接或间接导致的直接物质损失(direct physical loss or physical damage to tangible offshore property insured hereunder, that directly or indirectly results from or is contributed to by an event excluded by the above Institute Cyber Exclusion Clause CL380(10/11/03)),该损失事件应发生在保单期限内,并在事件发生后90天内报告给保险人。该条款包含以下除外责任:

        (a) 数据(electronic data)本身的损失;
        (b) 营业中断;
        (c) 井控费用 (control of well);
        (d) 重新钻井的费用(redrill expense);
        (e) 污染责任及清污费;
        (f) 第三者责任;
        (g) 预防损失的费用,包括Sue & Labor项下的损失;除非物质损失已经发生,但将设施升级、计算机系统补丁等费用除外。

        上述除外责任中,(a)往往被单独的网络责任险保单保障,(c)(d)还可进一步写回,条件是先发生物质损失。

        这个CABBE附加险额外收取保费的5%,且有综合单一责任限额(combined single limit),如3.5亿美元。此外,该条款还限定了其他条件,如索赔举证的责任在被保险人,承保人可以提前90天取消保障,战争依然是除外责任,以及争议和仲裁条款等。

        除了这种CABBE附加险,笔者还见过更加激进的版本。有的保险人直接将营业中断和井控费用与物质损失一起写回,并不限定必须有物质损失在先。但是这一版本中限定了只保障由恶意网络袭击(targeted cyber attack)引起的火灾、爆炸、水浸和碰撞四类灾因导致的损失,在一定程度上限制了风险敞口。该版本还设定了14天提前取消保障、90天营业中断等待期(waiting period)等条件,但未明确战争和污染除外,其他条件与前述CABBE附加险大同小异。应该说,这一版本对被保险人更为有利。

        从以上对比看,网络袭击导致的物质损失已经在一定程度上成为CABBE附加险的“必选项”,市场在营业中断和井控费用上的态度依然存在分歧,从而为被保险人提供了更多选择空间。从保险人的角度而言,营业中断是风险较高的保障内容,因为海上石油平台往往身处远洋,维修至恢复生产有较大的技术难度,加上受天气和水文条件的限制,营业中断期往往较长,损失责任较大,5%的附加保费恐怕未必充足。当然结合较高的风险筛选水平和相应的再保险安排,可能此种保障会更有竞争力,但笔者认为,在网络风险产品依然处于“野蛮生长”的阶段,业界还在争论是否应当由政府出面像对恐怖主义风险一样对网络风险“兜底”时,贸然扩大保障范围并不是十分明智的选择。”

        至今为止,在海上能源险领域尚未出现影响较大的网络袭击损失事件,这或许也是一些保险人愿意尝试这一新领域的原因之一。然而,正是由于没有足够的损失数据,对网络风险定价的可操作性和结果的可靠性都很难说。从理性经营、稳健发展的角度看,笔者建议保险人从严格控制条款的角度限制风险,切勿从增加竞争力的出发点迈向一步之遥的饮鸩止渴。

来源:中再产险微信公众号

报告价格

0

我要购买
分享:
我要购买

姓名:

手机:

备注:

提交后,工作人员会及时联系您!