来源:摄图网
摘要:信息技术的飞速发展,带来了复杂多样的网络安全问题。越来越多基础安全设施相对薄弱的中小企业开始尝试“风险管理服务+网络安全保险” 这一安全防御模式。但防御投资过度或不足均会导致网络安全风险管理效率损失或防御失败。据此,在异质性视角下,以中小企业为研究对象,对其网络安全投资决策模型进行了优化,并探讨了企业决策在多方博弈中的局部和全局最优解。研究表明,企业间安全防御投资行为处于非合作状态时,存在安全防御投资的最优解使风险厌恶型企业财富效用达到最大且稳定均衡;反之,若企业处于合作状态,尽管市场总效用有所提升,但由于存在 “囚徒困境” ,单个企业均存在打破合作的动机,因而在合作状态下,效用并不稳定; 最后,讨论了考虑附加保费情形下保险免赔额、安全防御支出与非合作企业财富效用之间的关系,证明了设置一定的免赔额可对企业的财富效用起到促进作用。
关键词:异质性; 中小企业; 安全防御投资; 网络安全保险; 合作与非合作
一、研究背景与意义
信息技术的飞速发展,带来了复杂多样的网络安全问题。数据泄露、设备漏洞、网络攻击、甚至信息基础设施崩溃等重大网络安全风险,严重威胁企业利益。作为网络安全风险管理的重要手段,网络安全保险旨在承保网络恶意攻击、病毒勒索、网络欺诈、系统或技术性故障等导致投保主体信息技术资产的损失,并通过提供有效的风险监测服务降低投保主体遭受网络攻击的频率和损失程度。与国际市场相比,我国网络安全保险起步晚,实践经验和基础数据不足,尚难通过精准测算实现对风险敞口的量化和有效管控,导致供给侧明显不足。因此,面对日益增长的网络安全威胁,越来越多的企业意识到应加强自身安全防御投资,力求采用包括但不限于保险在内的更多应对网络安全风险的手段。尤其是大多数中小企业网络安全基础建设薄弱,抗风险能力较差,加之保险免赔额的存在,正逐步开始尝试“网络安全保险保障+购买风险管理服务”的模式,即在选择网络安全保险作为事后风险管理工具的同时,通过定期漏洞渗透性测试、搭建防火墙、保护关键数字资产与数据等手段进行自我安全防御投资,以构建网络安全风险管理的闭环。
为实现最优安全投资策略,这些企业通常应考虑:第一,企业网络系统的脆弱性会因其自身规模、财务结构和安全投资的侧重点甚至风险态度的差异而存在明显异质性,这将使企业网络安全保险投保及自我安全防御的投资策略存在较大差异。第二,成本是有边界的,企业只能在一定的预算下进行网络安全投资。尤其是中小企业普遍存在数字化数据积累不足、功能安全可量化设计和可检验度量技术难度大等问题,若自身安全防御投资过度,即不论风险大小或是否重要,都使用最高安全级别的防御设施,将增加企业维护成本,甚至由于保护措施或管理程序本身不必要的复杂性而引发新的风险;反之,若风险欠防御或保护错配,又会将企业置于网络安全风险严重暴露的巨大威胁之下。第三,区别于一般风险,网络风险具有强烈的安全依赖性和外部性,企业的网络安全保障还取决于其他企业的防御支出,企业间合作与否的博弈不仅影响网络安全与公共安全的边界,还会影响到所有企业的安全期望效用。因此,基于异质性视角,研究合作与非合作情形下投保企业的最优安全防御投资水平,实现企业最大化期望效用下的最优安全投资策略,即“防御成本按需调节+安全保障精准实施”目标下的最优性能和成本有机结合,具有重要的理论价值和现实指导意义。
二、主要内容
(一)模型构建
考虑一个存在 家异质性企业的市场,企业规模异质性在模型中表现为初始财富的差异,行业异质性在模型中表现为未进行安全防御支出时遭受风险的概率(初始风险概率)及遭受风险后损失的差异。在风险厌恶的假设前提下,任一企业遭受网络安全风险的概率与该企业遭受直接风险概率以及间接风险概率有关。若投保网络安全保险,保险人在风险发生时进行赔付,无论网络安全风险是否发生,企业的支出均由保费和安全防御直接投资两部分组成,其中,保费的高低取决于风险损失概率,自我防御投资在一定程度上可以减少风险发生的可能,因此降低的保费支出会在一定程度上对直接投资起到激励作用。
在此基础上,本文分别考虑非合作市场企业自身效用的最大化及合作市场的市场总效用最大化为目标构建模型,并对企业在上述两种情形下的自我安全防御投资支出及其财富效用进行对比,最后,将网络安全保险拓展至更一般的情形,考察存在免赔额情形下的企业最优决策模型。
(二)非合作情形
考虑企业在全额投保网安险背景下,其财富效用由初始财富、安全防御投资和保费支出三者共同决定。在非合作市场中,企业以自身效用最大化为目标,研究发现,在一定条件下,可得到企业最优防御支出与企业效用,企业初始网络风险的概率过小或过大,或受攻击后损失过大,其最优防御支出越难以为正;企业初始风险概率为一特定值时,其最优防御支出越容易为正值。在其他条件不变的情况下,遭受风险后损失较大或初始风险概率较高的企业,其最优防御支出较大,企业效用较小;企业的外部环境越差,直接防御支出越少,企业效用越小。非合作市场中,企业的最优防御支出中包含了市场信息的整体最优,局部性的调整无法使企业具备更高的效用。即市场中企业不存在囚徒困境的情况下,改变自己的最优状态可以使市场中其他企业的最优效用发生变化,但并不能增加自身的效用,因此市场中的最优防御支出均衡是稳定的。
(三)合作情形
在合作市场中,为降低网络安全风险,改善安全环境,企业间达成合作协议,采取一定的安全防御投资使市场总效用达到最大化。据此,考虑促使企业合作的市场总效用最大化的模型,研究表明,合作状态的安全投资效率较高,市场总效用高于非合作状态,但在合作状态下,由于企业处于囚徒困境情形,企业间合作并不稳定,出于自身效用最大化考虑,企业更倾向于脱离合作状态。合作状态时,防御支出的边际损失较大,较少的防御支出导致的损失减少大于非合作市场,此时,合作市场中的防御投资效用较大,因此合作市场的企业总效用高于非合作市场的总效用,但企业出于自身效用最大化的角度考虑,脱离合作状态,选择局部最优防御支出将获得更高的效用。
(四)存在免赔额情形
通过对比上述两种情形,企业若达成合作协议共建网络安全环境,则能获得更高的市场总效用,但出于自身效用最大化考虑,非合作往往是常态,因此进一步研究部分保费情形下非合作市场中企业的安全投资策略。考虑风险管理的一般实践,为减少自身损失,保险企业往往通过免赔额设置,将部分风险转移给投保人。我们发现,在风险厌恶、考虑附加保费等假设条件下,免赔额的适当增加会提升企业效用,这是由于在免赔额为0时无论风险是否发生,均处于相同的效用点上,边际效用均相同,因此适当的免赔额将降低企业总保费负担。但由于约束条件的限制,免赔额提升对企业效用的增加并不是无限制的,即存在一个最优的免赔额设置,使得企业的财富效用达到最大。
三、主要结论与政策建议
本文从风险管理角度,采用理论分析和数值仿真研究方法,考虑异质性因素并基于合作与非合作视角解析了网络安全保险覆盖下中小企业的最优安全防御投资策略。研究发现,对于风险厌恶型企业,当企业间合作共建安全防御投资时,存在安全防御投资的最优解使企业总财富效用最大;当企业间不合作而由各自采取安全防御投资时,安全防御投资最终会形成纳什均衡;同时,在合作状态下,企业处于囚徒困境,出于自身效用最大化的局部最优解,更倾向于脱离合作状态。最后,证明了对于风险厌恶型企业,适当增加免赔额将使企业财富效用有所增加,且最优免赔额与企业的效用函数形式息息相关。本文的研究结论为中小企业的安全防御投资策略选择提供了相应的理论依据和现实参考。一方面,企业应充分考虑自身规模、行业性质所面向的不同场景差异化网络风险管理需求,选择相应的保险保障和安全服务;另一方面,作为安全投资防御的重要组成部分,保险依然是至关重要的手段。针对中小企业保费预算较低、自身网络安全建设薄弱的现实困境,保险人可考虑使用访问控制、IP认证、数字权限管理技术提高企业信息的可信程度,以优化免赔额设置,并协助优化中小企业安全能力建设体系。
四、边际贡献与未来拓展
本文可能的边际贡献在于:第一,明确了异质性因素对企业最优安全投资决策的影响。以中小企业为研究对象,并以异质性作为研究其合作与非合作行为的起点,这对前期成果的研究对象和视角进行了聚焦和拓展。第二,将保费拓宽至精算公平保费加附加保费。补充了免赔额设置下的企业安全防御投资的最优解,使研究结论更为稳健,更具现实意义。第三,拓展了网络风险管理的内涵。本文综合考虑企业“网络安全保险保障+ 购买风险管理服务”模式下的最优安全防御投资策略,并通过模拟仿真更为直观地展示研究结论,为一些尚存争议的观点提供佐证,同时更凸显网络安全风险管理的科学、系统及完整性。
未来研究可从以下两个方向展开:第一,本文在参数已知的情况下对市场中小企业防御投资和效用最大化给出了特定的求解模式,针对企业风险估计、损失控制是求解的前提基础,因此,网络风险的观测、损失的评估是后续的一大研究方向。第二,本文以中小企业的网络安全投资策略作为主要研究议题,而事实上,大企业的网络安全风险管理显然具有更强的正外部性和必要性。从长期来看,随着保险标的数量增长,风险数据及承保经验不断积累,保险人可考虑面向医疗、教育、金融等网络安全风险重点领域提供更为精准的定价服务及核保技术支持,因此,如何在积累经验数据的基础上,进一步细分保险市场,研究大企业的网络风险分散机制和管理策略也将是后续关注的重点。
本文摘编自《系统工程理论与实践》第43卷第2期论文《异质性视角下中小企业网络安全防御的最优投资策略》(点击题目链接全文);
作者:王韧、许豪,湖南工商大学 财政金融学院 教授,管理学博士、硕士研究生;王中杰、徐徐,北京工商大学 经济学院 硕士研究生、博士,副教授