國外的網絡保險開始發生變化

隨著勒索軟件、網絡釣魚和拒絕服務攻擊的頻率和嚴重程度的增加，網絡保險的需求也在增加。根據美國全國保險委員會于2022年10月發布的備忘錄，2021記錄的直接書面保費約為65億美元，較上年增長61%。許多企業用戶認為，網絡保險對公司的風險管理戰略至關重要，并且越來越多的組織要求其業務合作伙伴擁有網絡方面的保障。

然而，保單成本正在上升，網絡保險的門檻在提高。參保人要提供更多網絡安全戰略和舉措的證據，才能符合參保條件。同時，也就意味著CISO在其中扮演著重要角色。

“這是一場需要在高管層進行的對話，包括首席執行官、風險管理人員和CISO。他們都需要全面考慮風險管理戰略。”——FTI咨詢公司高級管理總監Tracy Wilkison

網絡保險的變化

最早期的網絡保險可以追溯到20世紀90年代末，當時的條款主要是依據傳統的保險單來承保網絡事件。到了2015年左右，隨著越來越多的保險公司開始提供獨立的網絡保險政策，情況發生了變化。

2017年NotPetya的大規模攻擊事件發生后，某些索賠遭到保險公司的拒絕。理由是，攻擊是由民族國家支持的黑客攻擊應被視為戰爭行為，因此符合戰爭除外條款。

兩起訴訟

制藥公司Merck & Co因其提交的全風險財產保險損失（14億美元）被拒絕，起訴了保險公司。2022年初，新澤西州法院裁定默克公司勝訴。

另一起案件中，跨國食品飲料公司Mondelez International2017年遭遇網絡攻擊，同樣在索賠被拒絕后，起訴了其保險公司。該公司于2022年與其保險公司 Zurich American Insurance達成和解。

Forrester Research的高級分析師Alla Valente表示，網絡攻擊事件的不斷增加，因此而造成的損失不斷增加，促使企業越來越關注網絡保險。在幾年前，網絡保險還可以相對輕松的成單。但在近幾年，尤其是后疫情時代，勒索軟件造成業務中斷然后形成索賠的事件大幅增加，網絡保險的門檻陡增。

此外，網絡事件與傳統的安全事件不同，后者往往在特定地點，事件可控損失可控，并且有長期精算數據和可預測的參數。而網絡事件，其后果和恢復成本都很難預測。

“在每個組織現在所擁有的關系生態系統中，（攻擊）就像一種疾病，它從一個地方開始，可以非常迅速地傳播。因此，如果一家公司成為網絡攻擊的受害者，與他們有業務往來的所有相關者都會受到影響。”

日益增長的網絡保險需求

保險提供商Hiscox在其《2022年網絡準備報告》中調查了8個國家的5181家不同規模和行業的公司，發現64%的公司將網絡保險作為獨立保單或某種保單的一部分，而兩年前這一比例為58%。

特權訪問管理軟件廠商Delinea在11月發布了一份網絡保險報告，該報告基于對300名美國IT決策者的調查，發現上網絡保險的公司，80%使用過其保單政策。另外，超過一半的公司不只一次的使用過保單。

另一方面，保險公司不得不要求投保人具備較高水平的安全控制措施，并能證明這些控制措施有效，以應對日益增多的賠付事件。例如，在前幾年只需要填寫一份基本的問卷，就可以得到一份保單。

但在這兩年，網絡保險公司要求申請人提供更多信息，如SOC 2合規、多因素認證、事件響應、恢復計劃、安全意識培訓和具體的安全策略等，保險公司甚至會指定發生網絡事件后聘用的律師、取證人、取證范圍，否則要么無法簽單，要么保險范圍和額度十分有限。

為了得到保單，投保企業的網絡安全負責人可能會根據保險公司的要求調整其安全策略，并將其納入他們的工作手冊。

即便成功簽訂了保單，也不意味著一定能夠得到賠償。投保人還要證明其安全團隊遵守了所有安全流程，并在獲得保單時持續保持了在保單中所描述的安全級別。

以一起保險賠付案為例，美國旅行者財產保險公司于2022年向伊利諾伊州聯邦法院提起針對投保人國際控服(International Control Services)的訴訟。前者要求法院允許其撤銷其發給國際控服的一份保單，并無需支付勒索軟件索賠。因為后者并未正確部署使用多因素驗證。

網絡保險的門檻提高

勒索軟件和各種類型的攻擊事件激增，意味著保險公司會支付更多的賠付成本，因此不僅要求投保人本身要具備更多、更嚴格的網絡安全措施，保險公司還提高了保費。

Delinea的調研報告顯示，約75%的調查對象在上次更新保單時看到保費的增加。此外，在保險覆蓋范圍上，約30%的投保人涵蓋了勒索軟件、贖金談判和贖金支付，48%的投保人涵蓋了數據恢復，約三分之一的投保人包括了響應、監管罰款和第三方損害賠償。

從長遠來看，網絡保險值得嗎？

當然，保險政策可以幫助組織降低網絡風險、盡快恢復業務、彌補部分損失，甚至可以做為一個合作伙伴的優先項，讓組織增強爭取業務的企業競爭力。

即便如此，有些組織認為，他們很難證明支付保費的合理性，哪怕這可能會使他們失去一些商業機會。特別是一些中小型企業，無法滿足保險公司要求的所有安全措施，自然也就談不上簽訂保單。還有一些人認為，與其投資保險，不如投資更多的安全項目。

因此，網絡保險的選擇與投保人的網絡安全水平有關。對于那些缺乏識別入侵行為并采取恰當保護措施能力客戶來說，想要符合保單要求，安全外包可能是唯一的選項。但即便是那些擁有整個安全體系甚至是縱深防御、主動防御能力的客戶而言，額外加一個經濟補償，以減少可能發生的損失也未嘗不可。

在新的形勢下，安全負責人需要與風險共存，考慮法律影響，緊密與其他高管合作，評估組織的網絡安全態勢，闡明面臨的威脅形勢，以量化風險，并就未來的最佳路徑提出建議。

網絡保險決策，其實質上是某種成本效益分析。