網絡保險的水有多深?
網絡保險,也稱為“網絡風險保險”或“網絡責任保險”(CLIC),它一直被視為對抗網絡風險的“數字疫苗”,可以幫助企業做好準備,防范網絡風險。一旦企業遭遇網絡攻擊,它也能讓其以較快的速度恢復正常工作。
網絡保險涵蓋哪些內容?
隨著市場不斷發展成熟,網絡保險變得越來越多樣化,甚至可以說每一個保單的涵蓋內容都不盡相同。盡管如此,大多數網絡保險保單內容仍然存在一些普遍的共性,包括業務中斷造成的損失(由于系統停機或被鎖定造成的收入損失);意外業務中斷(由于第三方故障,例如 IT 供應商,導致系統停機而造成的收入損失);數字資產銷毀;數據檢索和系統恢復成本;系統錯誤;網絡勒索/勒索軟件;違規響應和補救費用;社會工程和網絡犯罪,以及網絡安全和隱私責任等。
UKGlobal Broking Group 董事兼保險經紀人 Richard Hodso 補充道,網絡保險通常還涵蓋事件發生后的溝通和公共關系處理。如今,越來越多的網絡保險還會提供違規后資金支持,包括培訓員工以防止發生類似事件,以及完整的系統診斷等等。不過,并非所有的網絡保險都完全相同,它們獨立且各具特色。此外,也并非所有形式的網絡風險都在保險范圍內,例如,戰爭和/或恐怖主義造成的財務損失或內部基礎設施故障,及攻擊后可能產生的聲譽成本也不在保險范圍內。
同樣地,專門針對受影響企業而設計或創建的病毒也可能排除在保險范圍之外。
網絡保險市場的變革
網絡保險市場正隨著網絡安全態勢轉變而不斷變化。各種形式和規模的組織一直在投資網絡保險,以對沖網絡風險帶來的影響。與此同時,不斷變化的網絡威脅和風險正持續困擾著組織,并考驗著他們的網絡彈性。因此,網絡保險提供商越來越熟悉特定的網絡安全問題并能做出響應。
其中,勒索軟件正是影響網絡保險覆蓋需求和成本、政策條款和條件、要求和限制等變化的關鍵因素。攻擊者正在使用更狡猾和復雜方法來勒索(甚至重復勒索)組織,以獲取潛在巨額贖金。
勒索軟件的增加導致更多組織開始考慮投資網絡保險,因為許多組織已經清楚地意識到,相較于投資網絡保險的成本,勒索軟件造成的巨大財務中斷將使他們更難以承受。除了贖金這種直接成本外,從勒索攻擊中恢復才是更為昂貴的環節。有數據顯示,2021 年,組織違規響應成本已經從總索賠成本的 29% 增加到了 52% 。
鑒于網絡攻擊日趨復雜和頻繁,網絡保險市場已經呈現“供不應求”的局面。如今,保險公司正在提高其愿意承保的風險費率和標準。就承保范圍本身而言,一些保險公司也已經取消了他們為勒索軟件攻擊提供的承保金額,或者降低了為一定規模組織提供的總體限額。即便保險公司沒有大幅更改承保范圍,他們也可能會在保單中設置更多主觀性內容,要求投保公司遵守某些關鍵的安全措施作為保單條件。
根據全球保險公司 Beazley 最近發布的數據,網絡保險價格仍在繼續上漲,2021 年第三季度,續保費率同比增長了 23% 。
此外,新冠肺炎疫情大流行也進一步推動了組織對網絡保險的需求。隨著成千上萬的系統遷移到基于云的平臺以支持遠程勞動力,網絡保險公司也不斷敦促組織重新評估其保險政策,因為他們的工具集和工作實踐在演變,面臨的網絡威脅也可能不會在其現有保險政策中體現出來,任何意想不到的缺口都可能是災難性的。
最近幾年,即便是毫無根據的索賠訴訟也耗費了被告組織的大量時間和成本,出于財務保護需求,我們有理由相信,這種行為會進一步影響整個網絡保險市場的定價。
企業的網絡保險需求
保險對企業的許多方面都至關重要,而網絡安全正迅速成為其中之一。每個企業都必須自己進行數學計算,以平衡保險成本、安全事件成本以及用于年度保費的資金機會成本,并確定最需要保護的內容。
事實上,企業需要充分考慮如果其系統因攻擊而完全關閉,他們會損失多少?此外,到 2021 年第三季度,勒索贖金的平均成本穩定在 142,000 美元左右,如果將第三方幫助恢復的成本包括在內,這個數字會大幅增長。企業應該清楚他們是否有能力實際支付這筆費用,以及這可能會對業務的穩定性造成何種影響。
網絡保險的存在,可以讓企業更加安心,因為他們知道有一個額外的安全層,并且他們正在定期監控風險,這對小型企業來說尤為重要。幾年前,我們可能認為小企業沒有必要制定全面、獨立的網絡保險政策,但事實證明,攻擊者正越來越多地瞄準這些防御能力較弱的小企業。企業應該將網絡保險視為改善整體安全的機會,而非只是簡單的風險轉移。
如今,保險公司可能正處于設置新一波“安全基線標準”的前沿,而且這種標準可能比任何國際標準或行業監管機構都更具活力和響應能力。
網絡保險公司的期望
對于申請網絡保險的組織,保險公司通常會要求其完成詳細的調查問卷,以評估其安全控制狀態,只有滿足保險公司安全控制要求的組織,才有資格獲得網絡風險保單。
保險公司認為,良好的網絡狀況對于組織獲得網絡保單至關重要,這包括強大的備份策略、所有關鍵接入點的多因素身份驗證、強大的補丁管理、掃描技術以及主動支持漏洞的能力等。考慮到網絡安全的復雜性和基礎設施的去中心化,一些更大、更復雜的組織可能需要承銷商參與,以對其網絡狀況進行更深入的分析。
此外,組織的員工意識培訓計劃,在未得到全面驗證之前絕不向電子郵件/電話轉賬,以及擁有防病毒和端點保護投資同樣至關重要。為了獲得指導和支持,建議組織與在網絡保護方面經驗豐富的保險經紀人交談,并簡單地解釋自己需要什么以及應該做什么。值得注意的一點是,保險中的術語已經太多了,不需要添加令人困惑的技術術語使一切變得更加復雜。
