勒索軟件的興起如何改變了保險公司提供服務的方式?

網絡風險建模商Kovrr公司首席技術官Avi Bashan：網絡保險在上世紀90年代就已經存在，自從勒索軟件攻擊日益增長并不時成為頭條新聞以來，人們對網絡保險的看法就有所不同了。保險公司在過去通常在網絡保單上采用現金流承保，這意味著他們會采用很多保單來為他們的業務賬簿增加保費。因此，企業通常會以相對優惠的價格獲得全面的網絡覆蓋，至少與當今的標準相比是這樣。勒索軟件攻擊在很大程度上引起了保險公司的擔憂，因此大幅減少了服務覆蓋范圍并提高了保費。有些保險公司甚至考慮不再提供網絡保險服務。

提供網絡保險服務的保險公司如今就企業風險狀況提出更為謹慎的問題，并增加了被保險人更多的責任。這消除了某些行為、財產、損壞類型或位置的覆蓋范圍。保險公司也在努力使其業務賬簿多樣化，以便對第三方提供商的單一勒索軟件攻擊不會造成災難性損失。在SolarWinds網絡攻擊期間，有許多被保險人使用這一軟件，可以想象一下保險公司為此賠付的保險費用有多高。災難性事件的經濟損失可能如此之大，以至于保險公司可能會收取10年的保費，但遭遇一次網絡攻擊就會損失這些利潤。

這一戰略變化對希望為其資產投保的企業有何影響?

Avi Bashan：網絡攻擊使企業處于非常困難的境地。與此同時，他們感到比以往任何時候都更容易受到勒索軟件攻擊，保險公司到了網絡保險比以前更昂貴的地步，因此要求大多數企業投保有更明確的理由。此外，涵蓋范圍廣泛的網絡事故的保單也越來越少，這意味著企業確實需要量化其網絡風險，并了解對企業的潛在影響。只有這樣，他們才能考慮在緩解和轉移風險方面花費更多費用。企業的首席信息安全官、董事會和其他高管都需要了解網絡保險和風險轉移的理想組合，最終將會節省費用。

保險公司和企業有沒有折衷的辦法?

Avi Bashan：網絡保險的未來發展在于基于持續監控和分析企業網絡風險態勢的風險/回報機制。這與保險公司處理汽車或房產保險的方式沒有太大區別。許多保險公司為具有良好運營歷史的被保險人以及進行某些裝修(例如翻修屋頂)的房主提供折扣。網絡保險不太可能恢復到勒索軟件攻擊之前的范圍和定價方式，因此企業有責任確保向保險公司充分傳達其網絡安全態勢。

網絡風險增加如何改變業務部門對強大安全態勢重要性的整體看法?

Avi Bashan：很多企業開始明白，量化網絡風險是他們整體風險管理的關鍵。量化網絡風險意味著預測損失頻率和嚴重程度，以做出網絡風險融資決策。就在不久前，企業首席信息安全官不得不竭盡全力證明他們每年的網絡安全預算是合理的。企業的IT和業務部門開始使用相同的語言，并從財務角度看待網絡風險。量化財務的網絡風險也將幫助業務部門在這兩個方面結合一起，了解網絡風險的本質是運營費用而不是技術費用。這將是進入2022年及以后的加速趨勢。

對于2022年可以期待什么?保險業將如何適應日益增長的威脅?

Avi Bashan：隨著企業試圖更好地了解網絡攻擊對其業務的潛在財務影響，并優先考慮對網絡安全和網絡保險的投資，保險公司在網絡覆蓋方面縮小服務范圍的這種趨勢將推動網絡風險量化的大量采用。除了量化網絡風險之外，勒索軟件的大規模宣傳應該使首席信息安全官比過去更容易獲得更高的安全預算。

在保險方面，他們將更多地投資于為被保險人承保網絡風險、投資組合管理和高端網絡安全風險緩解服務的工具。可能在2022年開始實現的一件事是不斷發展的網絡保險法規以推動標準化。這方面的任何進展都應有助于企業更好地了解他們在傳達網絡風險狀況方面的期望，以及他們在網絡覆蓋范圍方面的期望。