網(wǎng)絡(luò)保險(xiǎn)的殘酷真相:沒(méi)有什么保險(xiǎn)能彌補(bǔ)研發(fā)成本
如果公司知識(shí)產(chǎn)權(quán)遭黑客攻擊被盜,沒(méi)有哪種保險(xiǎn)能彌補(bǔ)公司耗在研發(fā)上的幾百萬(wàn)美元。
網(wǎng)絡(luò)保險(xiǎn)策略旨在覆蓋系統(tǒng)取證、數(shù)據(jù)恢復(fù)和法律及客戶賠償支出等安全事件和數(shù)據(jù)泄露的開(kāi)支。承保的典型事件類型包括發(fā)票欺詐、加密鎖定恢復(fù)和內(nèi)部人威脅。盡管網(wǎng)絡(luò)保險(xiǎn)在整套安全方法中占有一席之地,其地位卻常被誤解。
首先,公司企業(yè)必須了解自身關(guān)鍵數(shù)字資產(chǎn)和風(fēng)險(xiǎn),因?yàn)榫W(wǎng)絡(luò)保險(xiǎn)策略的理性采納對(duì)管理保費(fèi)支出和確保恰當(dāng)保險(xiǎn)范圍至關(guān)重要。但網(wǎng)絡(luò)保險(xiǎn)只是事后風(fēng)險(xiǎn)彌補(bǔ),永遠(yuǎn)不應(yīng)替代恰當(dāng)?shù)陌踩?xiàng)目。如果公司企業(yè)過(guò)度投資網(wǎng)絡(luò)保險(xiǎn)而對(duì)安全控制投入不足,說(shuō)明他們預(yù)期被黑,并由保險(xiǎn)公司來(lái)解決這個(gè)問(wèn)題,即便他們本意并非如此。沒(méi)錯(cuò),數(shù)據(jù)泄露發(fā)生的頻率令人震驚,數(shù)據(jù)隱私法律監(jiān)管下的巨額罰單也越來(lái)越頻繁開(kāi)出。但對(duì)公司企業(yè)而言更好的安全方法,卻是追求適當(dāng)平衡了網(wǎng)絡(luò)保險(xiǎn)的主動(dòng)安全策略。
網(wǎng)絡(luò)保險(xiǎn)直到 2005 年才開(kāi)始流行開(kāi)來(lái),是個(gè)相對(duì)較新且快速發(fā)展的行業(yè)。Adroit 市場(chǎng)研究公司最近的一份報(bào)告聲稱,網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)將迎來(lái)指數(shù)級(jí)增長(zhǎng),從 2019 年全球保費(fèi)近 40 億美元,增長(zhǎng)至 2025 年超 230 億美元。推動(dòng)這一預(yù)測(cè)的,是公司企業(yè)對(duì)最近頒布的一系列數(shù)據(jù)隱私監(jiān)管規(guī)定的反應(yīng),比如歐盟 2018 年 5 月生效的《通用數(shù)據(jù)保護(hù)條例》(GDPR)。
公司企業(yè)自然害怕遭遇數(shù)據(jù)泄露可導(dǎo)致的巨額罰款和賠款,例如英國(guó)航空公司和萬(wàn)豪國(guó)際被征收的罰金。他們向自己的保商尋求可彌補(bǔ)數(shù)據(jù)泄露通告相關(guān)支出及其他修復(fù)成本的保險(xiǎn)計(jì)劃。然而,不投資恰當(dāng)?shù)目刂拼胧┒^(guò)度依賴網(wǎng)絡(luò)保險(xiǎn),表明公司企業(yè)預(yù)期遭遇數(shù)據(jù)泄露而非組織有效防御。雖然保險(xiǎn)商能夠彌補(bǔ)一些損失,但無(wú)法修復(fù)安全事件拉低的公司信譽(yù),也無(wú)法拿回公司被竊的知識(shí)產(chǎn)權(quán) (IP)。令人遺憾的真相就是,如果公司花費(fèi)數(shù)百萬(wàn)美元研究與開(kāi)發(fā) (R&D) 而該知識(shí)產(chǎn)權(quán)被盜,沒(méi)有任何保單能兜住該研發(fā)投資成本。
云
網(wǎng)絡(luò)保險(xiǎn)興盛的另一貢獻(xiàn)因子是云的迅速采納。但公司企業(yè)往往將網(wǎng)絡(luò)保險(xiǎn)當(dāng)成覆蓋其運(yùn)遷移和配置錯(cuò)誤的保護(hù)傘,而沒(méi)有發(fā)展衡量和持續(xù)測(cè)試其控制措施有效性的主動(dòng)安全項(xiàng)目。
另外,公司企業(yè)還必須理解網(wǎng)絡(luò)保險(xiǎn)提供商是逐利的,并不會(huì)賠付本可用恰當(dāng)?shù)陌踩?xiàng)目規(guī)避的數(shù)據(jù)泄露。就好像長(zhǎng)期醫(yī)療保險(xiǎn)會(huì)拒保未通過(guò)健康評(píng)估的投保人一樣,保險(xiǎn)商索賠限制越來(lái)越嚴(yán)格,甚至拒保缺乏恰當(dāng)安全控制措施的公司毫不令人意外。舉個(gè)例子,如果公司遭遇的電子郵件入侵攻擊可以通過(guò)多因子身份驗(yàn)證 (MFA) 緩解的,那么保險(xiǎn)公司就可能不賠付或減少賠付數(shù)額。
FUD 因素
當(dāng)今不斷變化的數(shù)據(jù)隱私環(huán)境中,圍繞保險(xiǎn)商策略和索賠分類的恐懼、不確定性與懷疑 (FUD) 從來(lái)不缺。著名案例之一就是索尼網(wǎng)絡(luò)保險(xiǎn)商(蘇黎世美國(guó)保險(xiǎn)公司)拒賠其 2011 年 7,700 萬(wàn)用戶個(gè)人可識(shí)別信息 (PII) 泄露的 20 億美元損失。甚至在索尼將蘇黎世告上法庭后,蘇黎世還給索尼上了一課什么叫做 “保險(xiǎn)策略不覆蓋任何第三方黑客事件”。
最終,網(wǎng)絡(luò)保險(xiǎn)不能,也不應(yīng)該被視為恰當(dāng)網(wǎng)絡(luò)安全項(xiàng)目的替代品。網(wǎng)絡(luò)保險(xiǎn)可幫助彌補(bǔ)事后損失,但承擔(dān)不了知識(shí)產(chǎn)權(quán)被盜的損失,也無(wú)法堵上安全項(xiàng)目設(shè)計(jì)不良的漏洞。有效安全策略不僅可以幫助公司企業(yè)獲得網(wǎng)絡(luò)保險(xiǎn),測(cè)試這些安全控制措施的有效性還將幫助公司企業(yè)在攻擊者找上自己前發(fā)現(xiàn)安全漏洞。該方法也可使公司企業(yè)通過(guò)識(shí)別并移除重疊控制措施,來(lái)提升其網(wǎng)絡(luò)安全預(yù)算的投資回報(bào),同時(shí)還向所有利益相關(guān)者顯示出公司相當(dāng)重視安全。
