界面新闻记者 | 安震

1月18日,中国社会科学院大学数字中国研究院联合蚂蚁集团发布了《数字时代安全科技价值报告》(以下简称《报告》)。报告认为,安全科技将成为社会的公共品,与人工智能并列为未来的两项通用技术,而政企合作是安全科技成为公共品的核心驱动力。

中国社会科学院大学数字中国研究院执行院长吕鹏在发布报告时表示,数字化安全风险进入了快迭代、高智能、全覆盖的新格局。

近20年来,网络犯罪的规模、范围、严重程度和复杂性均呈指数级增长,极大地挑战了传统私发系统应对挑战的效力。而网络犯罪如今已成为一个价值收入颇丰的“产业”,有机构化的管理结构和研发预算,攻击者能够使用人工智能等技术工具,持续加快攻击的生命周期,从侦查漏洞到发起攻击,仅需要几天甚至几小时。

2022年,AI大模型横空出世后,业界共识是,AI安全风险陡增。报告指出,AI安全风险可分为三类:第一是内生安全,由软硬件系统组成的人工智能系统,也会存在技术本身的脆弱性和数据依赖性等缺陷;第二是衍生安全问题,即人工智能被利用或不恰当使用而可能引发其他领域的一些重大安全事故,如深度合成伪造声音和视频的电信诈骗;第三是人工智能系统面临的外部入侵和攻击。

在过去相当长的时间里,“网络安全”即安全科技,入侵检测、防火墙、反病毒等安全技术是主流。报告认为,伴随AI大模型的诞生,AI安全成为主流的安全关切,逐渐形成了一个新的安全技术研究领域,含数据去毒、模型安全、AIGC检测技术等。在AI之外,面向未来的安全形势,也有一些规模较小的前沿技术出现,如量子信息安全技术。

报告提出,未来,安全科技将成为社会的“公共品”,其中政企合作是核心驱动力。通过更多的公共力量投入,在合规激励、商业保险、行业标准、安全思维更新等方面加强生态联动,构建更好的安全科技实力和制度。

报告认为,商业创新是落实合规的重要推手,其中,商业网络安全保险能有效帮助建立数字安全时间评估及赔偿标准。该保险能够保护投保人及其客户面授网络事故、数据盗窃等带来的损失。

网络安全保险有两种模式,一是覆盖网络风险的单一保单,二是作为一般保险(覆盖多种类型风险)的一揽子保险范围的一部分。目前,该险种的市场接受程度不断提高。2023年上半年,美国企业的网络保险索赔率增长了12%,索赔严重程度增长了42%,平均损失金额超过11.5万美元。

报告认为,目前能够为合规买单的企业基本只有大型企业。从商业运作上来说,能够为中小企业安全风险买单的是保险公司。因为保险公司运作要求对风险有精确的评估、监控和响应。基于此,商业网络安全保险市场的发展能够显著提高合规透明度,将安全风险从企业内部问题变成更公开事务。另外,不同企业的保费评估能有效补充法律的定性规范,在“不作为”和直接触犯刑罚之间设置精细的处罚梯度,引导企业与机构改善自身安全表现。因此,商业网络安全保险有利于政府与企业、市场合作,共同攻克业态尚未成熟时期的发展瓶颈。