給你的企業買份網絡安全保險如何?
簡單地說,每個信息安全計劃都涵蓋兩個方面:保護和響應。成功的網絡安全計劃應該包括這兩者,不過無論就哪個方面來講,企業需要處理好這五個問題:
1.他們已經控制并完全實施的事情;
2.他們可以處理,但難以解決的事情;
3.他們必須努力應對但仍然無法管理的事情;
4.他們不知道如何處理的事情(在流程、技術或人員方面的投資不會帶來差異);
5.他們的程序由人來定義和管理,而人難免犯錯。
現在的問題是:企業如何應對這些不可避免的現實問題,特別是認識到在損害發生之前企業無法檢測所有的攻擊,或者無法在不影響業務的情況下緩解每個安全事件。
對于某些企業來說,這些問題的答案就是網絡安全保險。
保險經紀公司Lockton公司網絡風險業務主管Ben Beeson表示:“首席信息安全官完全會支持網絡安全保險,因為這可以稍微減輕他們的負擔。”
盡管如此,網絡安全保險是每家公司都應該考慮的做法嗎?或者說,這只是少部分公司的可行選擇?為了回答這些問題,我們需要看看網絡安全保險在企業安全計劃內發揮的作用,但首先我們需要明確網絡安全保險是什么。在2016年RSA大會中,網絡安全保險是多個討論的焦點。在本文中,技術以及金融服務的專家探討了這個話題以及它如何適用于現代企業安全計劃。
網絡安全保險市場什么樣?
根據金融服務的一些人表示,網絡安全保險的概念已經存在12到16年。Optiv Security公司安全培訓副總裁Blake Huebner表示,網絡安全保險在上世紀90年代就已經出現。
無論它何時出現,網絡安全保險的部署最初主要受隱私和數據泄露法規所推動(這與網絡安全技術類似),現在實際發生的安全泄露事故也在推動網絡安全保險的發展。
Huebner表示:“鑒于Target和Home Depot遭遇的數據泄露事故,這個市場得到很大的推動。醫療保健行業的部署率最高,其次是教育、游戲、公用事業、金融服務和零售業。這是一個快速成熟的市場。”
在網絡安全保險領域,現在有很多供應商和經紀公司,這個市場已經開始賺很多錢。
金融服務公司CNA Insurance網絡及媒體部門技術負責人Jacob Ingerslev表示:“目前有將近100家保險公司提供網絡安全保險,80%到90%的業務集中在10家公司。”
“在2015年,網絡安全保險市場的收入在25億到30億美元之間,”Beeson在2016年Advisen網絡安全會議上說道:“根據PricewaterhouseCoopers統計,這已經是一個有利可圖的市場,在未來四年,這個市場將會增長近四倍,到2020年,該市場估值為70億到80億美元。”
顯然,保險公司正在賺錢,主要來自少量企業。PivotPoint Risk Analytics公司總裁兼首席執行官Julian Waits表示:“在美國只有2%的公司有網絡安全保險,最大的問題是量化風險,這不是線性的,精算信息也不成熟,因此保險公司會面臨各種問題‘我們如何對這種風險定價?’他們需要購買什么以及購買多少,他們實際得到什么回報。”
網絡安全保險并不能取代安全最佳做法,但專家表示這是填補安全計劃空白的重要組成部分。風險評估公司DatumSec聯合創始人兼首席執行官Jonathan Niednagel表示:“任何安全專業人士都會告訴你,你永遠不可能100%防止攻擊。如果這是真的,那么最佳做法和盡職調查會給你95%的保護,而網絡安全保險會涵蓋剩下的5%。但很多專業人士認為他們可以部署松懈的安全措施,因為他們買了保險,得到了保險的保護。”
網絡安全保險該如何整合至企業安全計劃中?
專家表示,總的來說,網絡安全保險意義非常。盡管保險單可能意味著要花費很大的成本,但這會讓某些企業覺得在網絡安全計劃中包含網絡安全保險是更安全的做法。
然而,這并不是像打電話給保險公司或經紀人并要求開保單那么簡單,其中需要涉及大量分析工作。讓事情更復雜的是,企業開始用不同的目光審視風險和網絡安全保險。
在Target公司數據泄露事故之前,網絡安全保險保單是基于靜態方法來評估風險。企業要填寫評估表,向承包方進行講述,可能還需要進行某種形式的對話。在完成評估、開好保單后,保險人將會離開并祈禱未來12個月的安全。
但在Target數據泄露事故發生后的世界,我們看到數據泄露事故總是在發生。對保險公司來講,這種“希望和祈禱”模式已經不再可行。網絡安全和風險管理公司Stroz Friedberg副總裁William Dixon表示:“網絡安全保險是相對較新的金融工具,在我看來,此前網絡安全保險只是被視為企業網絡安全計劃的之后的想法。”
Dixon補充說:“企業現在意識到他們永遠無法通過人力、流程和技術來確保100%的安全性。所以我們看到很多客戶開始選擇把網絡安全保險加入網絡安全計劃。這并不是作為提高其技術和流程安全成熟性的補充,而是用于處理數據泄漏事故時的恢復工作,包括修復、數據泄露通知、信用監督和外部法律顧問的支持。”
安永公司全球信息安全負責人Ken Allan解釋說,對于有些企業來說,想要獲得良好的網絡安全保險困難重重。Allan說道:“我們一個大型銀行客戶通過分析以弄清楚他們可對其網絡安全投資做些什么,能否通過花更多錢來保護更多重要資產。結果是,在某些情況下,安全技術非常復雜,采購和維護的成本太高,該銀行最后選擇使用網絡安全保險來涵蓋這些風險。”
