避免投資網絡保險的7個原因
隨著網絡攻擊在世界各地以驚人的速度增長,網絡保險已成為各行業組織越來越普遍的保護層。然而,盡管保險作為支持和加強網絡風險管理的一種手段具有明顯的吸引力,但在一些情況下,保險可能并不適合所有公司。有些人可能會被建議避免、推遲或至少認真地重新考慮購買或續保,增加成本、嚴格的要求、覆蓋范圍的限制以及復雜性是其中的一些理由。
2022年12月,蘇黎世銀行的首席執行官Mario Greco表示,遭受網絡攻擊的企業正變得難以保險,他指出,政府部門需要建立公私計劃,以應對無法量化的系統性網絡風險,就像一些司法管轄區應對地震或恐怖襲擊的風險一樣。一些銀行和企業都不擅長規避網絡風險,這確實說明了圍繞網絡保險及其對一些企業的可行性的不確定性越來越大。
Telstra Purple公司的網絡安全與網絡主管、ClubCISO顧問委員會成員Manoj Bhatt表示,“當一些行業熱門話題得到人們的關注時,它們最終可能會被廣泛談論,但卻沒有被廣泛理解,網絡保險就是這種情況。隨著威脅載體的增加和發展,網絡保險產品也會發生很多變化,這意味著,從商業和安全的角度來看,花費時間充分衡量一份特定網絡保險政策將為企業帶來的價值,以及保險范圍可能會以多快的速度老化,這很重要。”
以下是企業可能想要避免或推遲投資網絡保險的7個原因。
1.事故補救可能比保險費用便宜
SecAlliance公司的情報總監Mick Reynolds表示,在考慮保險政策時,企業可能需要立即考慮兩件事,即業務成本和收益。他說,“在成本方面,最近全球范圍內大量的勒索軟件攻擊導致希望將此類事件納入保險范圍的企業的保費大幅增加。在某些情況下,續簽保險合同的報價從大約12萬美元上漲到超過180萬美元。保費大規模增長,而承保范圍卻沒有明顯增加,企業董事會風險委員會現在開始對其提供的整體價值產生了懷疑。”
至于對企業的好處,保險主要用于彌補重大網絡事件期間的損失,而且99%的情況下,這些損失都是可量化的,主要與響應和恢復成本有關,Reynolds說,“考慮到大部分的網絡事件能夠以低于當前網絡保險高昂保費的成本進行補救,企業現在質疑此類投資的價值是可以理解的。雖然勒索軟件攻擊仍在頻繁發生,但運營彈性功能正在提高企業在此類事件中生存的能力。”
Reynolds補充說,網絡安全成熟度的不斷提高意味著,對這類事件只需要覆蓋間接成本的風險,例如監管罰款、市場地位喪失和客戶賠償。Reynolds表示,雖然這些間接成本如果不被網絡保險覆蓋,可能會對企業的流動性產生巨大影響,但考慮到表現出來的可能性很低,它們可能會被視為不合理的不確定事件,不一定需要支付高額保費。
Bhatt補充說,也有一些情況,保單費用將超過索賠的成本,因此考慮在保險流程之外處理攻擊可能更容易。
2.勒索軟件的覆蓋范圍日益縮小
勒索軟件攻擊是企業面臨的最大網絡威脅之一,因為它們普遍存在,越來越復雜,并有可能造成廣泛的破壞。近年來,勒索軟件攻擊帶來的風險不斷增加,這使得網絡保險更具吸引力。然而,Halcyon公司的聯合創始人JonMiller表示,大多數保險公司不再承保勒索軟件攻擊的所有潛在損失,這意味著投資專門用于勒索軟件保護的網絡保險可能是一個代價高昂的錯誤。
他說,“由于勒索軟件攻擊中的變量太多,保險公司發現很難量化勒索軟件的真實風險,從而準確設定保費。對于提供勒索軟件保險的網絡保險,大多數將不再包括贖金支付(它們可能變化太大,所以很難精確計算)。只有在企業受到勒索軟件攻擊后,他們才會發現該政策只能覆蓋一小部分補救和恢復成本。”
3.民族國家攻擊的排除和歸因挑戰
與政府支持的網絡攻擊相關的排除條款也給網絡保險領域蒙上了一層陰影,并可能使企業質疑保單的可行性。保險市場倫敦勞合社(Lloyd’s of London)在去年宣布,從2023年起,網絡保險不包括國家支持的“災難性”攻擊。在2022年8月16日發布的一份市場簡報中,倫敦勞合社表示,它仍然強烈支持網絡攻擊保險,但認識到與網絡相關的業務是一種不斷變化的風險。因此,該公司將要求其所有保險集團適用一項適當的條款,排除因任何國家支持的網絡攻擊而造成的損失的責任。
合規性服務商Cordery公司的律師兼合伙人Jonathan Armstrong表示,企業面臨的挑戰之一是確定攻擊歸咎于某個民族國家。他說,“雖然在專家的幫助下,可以掌握民族國家參與的跡象,但我們知道這很難確定。正是這些困難可能導致訴訟,因為保險公司可能認為這是民族國家的參與,但被保險人可能認為情況并非如此。”
在分析倫敦勞合社決定在2022年8月將民族國家攻擊排除在保險范圍之外時,保險商Red Goat公司的網絡安全顧問Lisa Forte指出,保險公司可能會單方面決定哪些是民族國家攻擊以及哪些不是。Forte寫道:“在對這一決定的大量分析中,有人聲稱,這次襲擊不一定需要官方認定,就能被排除在保單范圍之外,因此,保險公司可以聲稱這次襲擊被排除在外,因為將其歸咎于一個民族國家是‘合理的’。這也許不是我們想要的結果。”
4.企業已經為網絡風險進行了自我保險
調研機構IDC公司的風險、咨詢、管理和隱私研究主管Philip D.Harris表示,一些企業可能希望避免支付網絡保險費用,因為他們已經受益于某些類型的保險,可以從網絡風險的角度保護他們。他說,“一些大型企業甚至是一些地方政府都能夠從為這類活動預留的已經建立的資金池中提取資金。大型企業可以留出這些資金,以應對必須處理的重大事件。同樣,完全無力支付網絡保險的一些地方政府可能會自行組建財團,每個財團出資一筆資金,用于應對重大網絡事件。”
5.網絡保險投資基于保險公司的調查問卷
Harris還警告說,如果企業僅僅是根據完成網絡保險公司的調查問卷來確定其安全狀況,就不要在網絡保險政策方面支出費用。他說:“網絡保險公司要求客戶填寫網絡安全調查問卷,最終只能獲得有關被保險人安全狀況的有限時間點的視圖。那些沒有專業網絡安全服務供應商完成詳細評估,以全面了解缺陷、補救計劃和持續改進路線圖的企業,依賴于某種程度上通用的安全問卷,這對他們自己是不利的。”
他認為,保險公司應該只專注于保險業務,讓合格的網絡安全服務供應商來評估被保險人的網絡安全狀況。有了這種詳細的評估,保險公司就可以認真審視客戶,并可能提供更合理的保費。
6.無法遵守政策要求
Miller表示,為了使網絡保險政策有效,企業需要對其安全計劃進行廣泛的核算。他說,“如果企業在提交索賠時不合規,例如它沒有及時應用補丁,或者如果它錯誤配置了安全應用程序,將會很快發現它的政策覆蓋是無用的。”Norm Cyber公司的首席運營官Pete Bowers對此表示贊同,他說,“企業必須制定一個全面的計劃,包括人員、流程和技術控制,以加強其整體網絡防御。在他們這樣做之前,網絡保險作為轉移和降低風險的唯一機制,并不是正確的選擇。”
7.投資最好用于改善安全狀況
選擇不投資網絡保險的最后一個決定因素是,可以通過改善企業的整體安全態勢和網絡彈性來更好地利用資金。JUMPSEC公司的競標經理Sean Moran在一篇博客文章中寫道:“零保險覆蓋率可能令人生畏,但取消保險提供的安全保障可能正是企業所需要的——這可能讓他們的業務更安全。不是通過檢查合規性框架來滿足保險公司的要求,也不是依靠最低標準的年度測試,而是通過實施控制措施來提高其抵御攻擊的能力。”
他補充說,在2023年選擇不使用網絡保險的企業應該重新投資于他們的整體網絡防御能力,確保可以最大限度地減少漏洞的潛在影響。這包括測試備份、訪問管理和網絡分割、完善的恢復計劃、評估哪些業務組件最有可能成為網絡攻擊者的目標,以及有針對性地預防、檢測和響應控制。
