一篇文章看懂網絡保險
2021年3月,谷歌云、安聯全球與慕尼黑再保集團共同發起了一個“風險保護計劃”的項目。該項目包括一個稱為“風險管理器”的診斷工具,使谷歌云的客戶能夠管理和衡量平臺上的風險并得到報告,以及安聯全球和慕尼黑再保提供的網絡保險產品,專門為谷歌云客戶設計。客戶將風險管理器運行的結果送給安聯全球和慕尼黑再保,以獲取網絡保險的報價。這意味著如果與谷歌云整合,網絡保險采購將更加容易。
市場研究機構Markets and Markets發布的統計報告顯示,網絡保險費用將從2020年的78億美元,增長到2025年的204億美元,年復合增長率達到21%。
各種類型的網絡攻擊正在成為所有機構組織的大麻煩,并且,由于不存在一勞永逸的防護方案和百分之百的安全措施,許多企業開始尋求網絡保險的幫助,以降低網絡攻擊帶來的重大損失。但網絡保險到底覆蓋哪些范圍?哪些情況又不在保險范圍內?又有哪些適合自己的保險決策?
▶ 什么是網絡保險?
網絡保險(CYBER INSURANCE),也稱之為網絡責任保險,是一種幫助組織減輕因網絡攻擊或黑客入侵而帶來重大損失或后果的保險策略。Gartner的全球金融服務研究與咨詢部的負責人尤爾根·韋斯認為網絡保險正規的定義是,“本質上是保險公司與投保人之間的一份合約,目的是防范計算機或網絡事件引起的損失。”
然而,網絡保險并非無所不包。作為投保方的企業也需要清楚網絡保險的覆蓋范圍,也許更重要的,要清楚哪些不是網絡保險的范圍。而且,雖然保險的確能夠有助于減少損失,加強自身的網絡安全措施也是企業的責任,這種責任不可能轉嫁到承保方。
網絡保險無法解決所有的網絡安全問題,也不可能防止網絡入侵或網絡攻擊。
▶ 誰需要網絡保險?
任何有線上業務或是擁有網絡與信息系統的機構,都可能會從網絡保險中受益,考慮到現在幾乎所有的組織都會使用網絡或計算機,因此這個問題的答案可以說是任何機構。有兩個典型的場景:一是數據泄露。如客戶或員工的個人信息、知識產權,以及敏感的財務數據等,都是網絡犯罪分子覬覦的盜竊目標。另一個典型的案例就是勒索軟件,小到鎖死你的計算機,大到癱瘓機構的業務系統。
這兩種情況都會導致機構承受巨大的經濟損失,而這時,網絡保險就能有效的減少這些損失。
▶ 什么樣的攻擊才可以申請保險理賠?
理論上許多網絡攻擊或網絡事故都可以觸發保險理賠,但實際上目前最普遍的三種情況是,勒索軟件、電子匯款欺詐和商業郵件攻擊(BEC)。
▶ 網絡保險的成本幾何?
網絡保險的成本由幾種因素構成,包括業務規模和年營收等。其他的還會有行業屬性、業務數據類型,甚至是整個網絡系統的安全。此外,如果某機構的網絡安全保障工作做的較差,或是曾經發生過黑客入侵、數據泄露等事件,就會比安全聲譽好的公司付出更多的保險成本。(注:行業屬性是指類似于金融、醫療這種業務敏感性較強的行業,保險費一定會高)
▶ 網絡保險都覆蓋哪些內容?
不同的保險公司提供的保險范圍也不盡相同,但一般來說都會承保網絡攻擊造成的直接成本。
| “網絡保險的承保范圍是發生安全事件的損失,包括數據恢復、系統取證、法務程序,以及給用戶的補償。”
-- AttackIQ副總裁馬克·貝格里 |
以數據恢復和系統取證為例,這兩種工作都是勒索軟件攻擊后的標準程序,也是大多數機構目前面臨的最大的威脅之一。為此有些保險業務會承保贖金,盡管執法部門和安全從業者并不推薦這種做法,因為是在變相鼓勵網絡罪犯。
|
“保險公司看重的是事件響應與取證造成的潛在費用,但對于那些安全水平很差的機構來說,可能投入的成本反而會更多,因此他們寧愿選擇付贖金。這十分令人沮喪。” -- 前布仕政府白宮首席安全官特瑞薩·佩頓,現為網絡安全公司Fortalice Solutions的創始人兼CEO |
商業郵件攻擊(BEC)是另一種能導致巨大商業損失的網絡攻擊手段,攻擊者通過假扮企業高管,供應商,或是其他可信的聯系人,誘騙財務人員轉款。
英國國家網絡安全中心在2020年發布的網絡保險指南中指出,保險政策的確會承擔BEC造成的損失,但這都是直接以BEC的名目單獨的承保業務,并非標準的網絡安全保險政策,如果機構只投保了網絡保險,很可能得不到賠償。因此企業在選擇網絡安全保險的時候,一定要清楚保險的范圍。同時,如果已經有了其他涵蓋了網絡保險的保險項目,如業務中斷或是財產保險,也要檢查一下具體的保險條款,以免重復或遺漏。
▶ 網絡保險不承保哪些損失?
有一些對于機構很重要的資產,網絡保險并未覆蓋。因此需要弄清哪些資產未被覆蓋,才能對之采取正確的保護措施。
|
“就無處不在的網絡風險而言,網絡保險的能力還是有限的。認為網絡保險可以承保一切網絡風險的想法是錯誤的。” --卡內基國際和平基金會技術與國際事務研究員喬恩·貝特曼 |
如果是知識產權被竊造成的財務損失,以及網絡攻擊導致的名譽損失,網絡保險并不涵蓋。例如,當發生網絡攻擊后保險可以賠償直接損失,但如果由于企業給公眾留下了安全能力不足的印象,進一步導致客戶流失的業務損失,網絡保險并不承擔。
▶ 網絡保險能承保重大網絡安全事件嗎?
2017年兩起網絡攻擊給全球帶來了巨大損失,Wannacry與NotPetya勒索軟件。后者導致一些大型企業在全球的業務下線,有些企業不得不從零開始重建網絡,全球損失據估計可達數十億美元。
一般而言,人們普遍會認為,這應該屬于典型的理賠范圍。但一些保險機構卻表示不予賠償,因為NotPetya與俄羅斯軍方有關,這種攻擊屬于“戰爭行為”,而戰爭行為不在超出了理賠條款。但也確實也有一些保險公司賠付了遭受NotPetya攻擊企業的損失。
由于物理世界與網絡世界的融合,兩者的界限越來越模糊,不管是保險業還是投保人,越來越難以在保險承包界限上達成一致。
| “網絡保險市場的一個重大挑戰就是如何應對極端的風險事件,如國家支持的攻擊,很多客戶受害的大范圍災難性事件等,發生在網絡空間中的事件最終會對現實世界造成影響。這是很難去界定一個價格的。如果真得發生了一起非常重大的事件,可能會超過網絡保險市場的承保能力。”
--卡內基國際和平基金會技術與國際事務研究員喬恩·貝特曼 |
▶ 如何申請網絡保險?
網絡保險不可能是解決網絡安全問題的“銀彈”,而整個網絡安全行業也不存在“銀彈”。實際上,為了更加合理的規劃網絡保險,機構自身還需要證明自身對網絡安全的負責,因為任何保險機構都不愿意接受很容易遭受黑客入侵的客戶。而且,網絡安全是一個持續性的工作,機構不僅要在簽署保險協議之前做好網絡安全保障,還要不斷的保持適當的安全措施,以跟上不斷變化的威脅環境,否則就有失去承保的風險。千萬不能因為已經投入了網絡保險,就放松對自身網絡安全保障的持續投入。
機構對自身的關鍵系統和關鍵數據的理解也非常重要,以及投保的覆蓋范圍是否足夠。這意味著,決定一份網絡保險單不僅僅是IT部門的問題,更是一個涉及高管管理層的問題。
| “與火災、盜竊等事件不同,網絡事件通常與事件的發生地點無關。確定一個網絡事件的影響范圍,了解機構的運營流程,不同部門不同業務之關的互相依存關系,都是至關重要的。因為,一次網絡事件有可能會影響到機構遍布在全球的業務。”
--英國國家網絡安全中心 |
▶ 網絡保險的未來?
隨著網絡攻擊數量的持續增長和網絡犯罪活動的日益猖狂,網絡保險的運作方式也隨之變化。如上文中所述,保險機構很難去承保那些不關心網絡安全措施的機構。支付保險索賠對于保險供應商來說,是一個純成本的行為。因此,保險機構已經開始在主動幫助機構做好網絡安全體系,而不是僅僅被動的規范好保險條款。
| “整個保險業已經不再限于做一個最后貸款人和支付方,而是更加像一個顧問和合作伙伴。保險商正在把黑匣子放進你的汽車以跟蹤你的駕駛行為,因為他們想讓承保價格更加的精準合理并進而改變你的行為。他們想確保你是一個能夠適應風險的機構,包括審計、保護與防止損失。”
--Gartner全球金融服務研究與咨詢部負責人尤爾根·韋斯 |
