5G 和 IoT 的增長帶來了新的"物理"網絡威脅
隨著網絡風險的不斷發展,財產保險公司(以及其他傳統保險公司)越來越不愿意承保網絡攻擊造成的物理損失。以英國審慎監管局(PrudentialRegulationAuthority)和倫敦勞合社(Lloyd‘s)為首的監管機構對所謂的“沉默的網絡”日益不容忍,這意味著勞合社的所有保險公司必須盡快明確將惡意和非惡意網絡保險納入或排除。隨著市場的發展,大多數產品線都選擇了后者,使得許多以前依靠網絡覆蓋的被保險人被納入全險政策,覆蓋范圍存在巨大差距。
預計其他監管機構也將效仿,評級機構惠譽(Fitch)已經宣布,將開始將非正面網絡風險的管理納入其評級。隨后,這種覆蓋差距的程度預計將在未來幾年內擴大。
物聯網的發展給黑客帶來了更多的機會
5G速度和容量的提升將對物聯網(IoT)技術的發展起到重要作用,其中許多技術正在開發中,用于智能建筑和操作環境。不幸的是,在快速發展智能設備的競爭中,安全和公共安全往往是事后才想到的。根據麥肯錫的一份報告,到2023年,全球物聯網設備的數量預計將增加到430億臺,幾乎是2018年的三倍。隨著系統遠離基于硬件的安全集中式網絡,網絡罪犯的潛在接觸點呈指數級增加,同時安全功能需要保護和監控的范圍也在擴大。
其他技術進步也為網絡罪犯帶來了新的機會。例如,智能樓宇管理系統可以控制從自動噴水滅火系統、電梯、閉路電視、暖氣和空調系統到風暴防護、預警和安全系統的無數功能——所有這些功能都在一個集中管理的系統上,許多黑客都有能力劫持這些系統。簡單地啟動一個灑水系統可能會對一個企業產生巨大的影響,雖然它可能缺乏好萊塢大片想象中的網絡攻擊的魅力,但卻可能具有極大的破壞性。
運營技術環境面臨風險
同樣,制造廠、公用事業和許多其他工業部門也越來越自動化。他們的操作技術(OT)環境,本質上是用來保持事物(工廠、發電廠、設施設備等)運行的技術,通常在網絡安全被考慮之前就被設計出來了。考慮到信息技術(IT)和OT環境的融合帶來的效率優勢,OT互連在過去十年左右已變得司空見慣。這些現在已經連接起來的系統,往往缺乏最基本的網絡安全功能,很容易成為網絡犯罪分子的靶子。
這不是科幻小說,現在正在發生。在最近的一次攻擊中,黑客進入了德國一家鋼廠的控制系統,導致工廠的部件發生故障,導致一座高爐受損。土耳其管道系統中部署的軟件關閉了警報并提高了管道壓力,最終導致了爆炸。幾年前,據報道,惡意軟件關閉了沙特阿拉伯一家石油化工廠的安全儀表系統。操作技術的互聯性增強,使用物聯網控制關鍵系統,以及針對OT環境的惡意軟件越來越多,意味著未來將不可避免地出現更多類似的破壞性攻擊。
此外,面臨風險的不僅僅是傳統財產。這種對技術的依賴越來越多地滲透到當今社會的方方面面,從貨物、船舶、起重機、挖掘機到電動車充電站無所不包。任何具有互聯技術的設備都可能使企業面臨潛在的重大物理損害,而這些損害可能不再屬于其現有的所有風險保單所涵蓋的范圍。
企業必須更好地為物理網絡攻擊做好準備
雖然數據泄露和勒索軟件攻擊已成為當今所有行業的共識,但人們對網絡攻擊可能造成的物理損害的認識仍然很低。這在一定程度上與監管要求有關。在許多國家,法律要求公司報告數據泄露,當大公司披露自己已成為攻擊的受害者時,這往往會引起一系列頭條新聞。媒體文章提高了人們對風險的普遍認識,2017年就證明了這一點,當時媒體對NotPetya和WannaCry攻擊的廣泛報道使惡意軟件和勒索軟件家喻戶曉。相比之下,很少有國家或監管機構要求企業報告網絡攻擊造成的財產損失。因此,此類事件很少成為頭條新聞,這使得企業管理者和普通民眾對此類事例可能給我們的教訓一無所知。
即使對于保險公司而言,要想全面了解與網絡相關的財產損失也很困難。例如,從歷史上看,當網絡事件在傳統的全險財產政策下造成人身損失時,損失很可能沒有被確定為與網絡有關的事件或未記錄為此類事件。隨后,這使保險公司無法獲得有關此類索賠的歷史數據。然而,這種缺乏大量歷史損失數據的情況與早期非物理損害網絡市場不同,盡管考慮到物聯網未來的連通性增加,承銷商必須謹慎行事,不要過分依賴歷史事件作為這一領域未來的指南。
更重要的是,根據當前的環境,對未來的風險敞口進行建模,并確保承銷商能夠適應隨著我們進入未來而發生的物理領域內互聯性的細微變化。
隨著技術的進步,帶來了更多的便利和效率,但也帶來了復雜性和風險。自網絡保險成立之初以來,已經獲得了很多知識,并將這些知識以保險業,經紀人和外部網絡專家之間的協商,伙伴關系的方式匯集起來,將有助于縮小客戶的覆蓋范圍,使他們能夠充分把握可用的機會給他們,以確保對這種不斷發展的風險有持續的覆蓋。
