简单地说,每个信息安全计划都涵盖两个方面:保护和响应。成功的网络安全计划应该包括这两者,不过无论就哪个方面来讲,企业需要处理好这五个问题:
1.他们已经控制并完全实施的事情;
2.他们可以处理,但难以解决的事情;
3.他们必须努力应对但仍然无法管理的事情;
4.他们不知道如何处理的事情(在流程、技术或人员方面的投资不会带来差异);
5.他们的程序由人来定义和管理,而人难免犯错。
现在的问题是:企业如何应对这些不可避免的现实问题,特别是认识到在损害发生之前企业无法检测所有的攻击,或者无法在不影响业务的情况下缓解每个安全事件。
对于某些企业来说,这些问题的答案就是网络安全保险。
保险经纪公司Lockton公司网络风险业务主管Ben Beeson表示:“首席信息安全官完全会支持网络安全保险,因为这可以稍微减轻他们的负担。”
尽管如此,网络安全保险是每家公司都应该考虑的做法吗?或者说,这只是少部分公司的可行选择?为了回答这些问题,我们需要看看网络安全保险在企业安全计划内发挥的作用,但首先我们需要明确网络安全保险是什么。在2016年RSA大会中,网络安全保险是多个讨论的焦点。在本文中,技术以及金融服务的专家探讨了这个话题以及它如何适用于现代企业安全计划。
网络安全保险市场什么样?
根据金融服务的一些人表示,网络安全保险的概念已经存在12到16年。Optiv Security公司安全培训副总裁Blake Huebner表示,网络安全保险在上世纪90年代就已经出现。
无论它何时出现,网络安全保险的部署最初主要受隐私和数据泄露法规所推动(这与网络安全技术类似),现在实际发生的安全泄露事故也在推动网络安全保险的发展。
Huebner表示:“鉴于Target和Home Depot遭遇的数据泄露事故,这个市场得到很大的推动。医疗保健行业的部署率最高,其次是教育、游戏、公用事业、金融服务和零售业。这是一个快速成熟的市场。”
在网络安全保险领域,现在有很多供应商和经纪公司,这个市场已经开始赚很多钱。
金融服务公司CNA Insurance网络及媒体部门技术负责人Jacob Ingerslev表示:“目前有将近100家保险公司提供网络安全保险,80%到90%的业务集中在10家公司。”
“在2015年,网络安全保险市场的收入在25亿到30亿美元之间,”Beeson在2016年Advisen网络安全会议上说道:“根据PricewaterhouseCoopers统计,这已经是一个有利可图的市场,在未来四年,这个市场将会增长近四倍,到2020年,该市场估值为70亿到80亿美元。”
显然,保险公司正在赚钱,主要来自少量企业。PivotPoint Risk Analytics公司总裁兼首席执行官Julian Waits表示:“在美国只有2%的公司有网络安全保险,最大的问题是量化风险,这不是线性的,精算信息也不成熟,因此保险公司会面临各种问题‘我们如何对这种风险定价?’他们需要购买什么以及购买多少,他们实际得到什么回报。”
网络安全保险并不能取代安全最佳做法,但专家表示这是填补安全计划空白的重要组成部分。风险评估公司DatumSec联合创始人兼首席执行官Jonathan Niednagel表示:“任何安全专业人士都会告诉你,你永远不可能100%防止攻击。如果这是真的,那么最佳做法和尽职调查会给你95%的保护,而网络安全保险会涵盖剩下的5%。但很多专业人士认为他们可以部署松懈的安全措施,因为他们买了保险,得到了保险的保护。”
网络安全保险该如何整合至企业安全计划中?
专家表示,总的来说,网络安全保险意义非常。尽管保险单可能意味着要花费很大的成本,但这会让某些企业觉得在网络安全计划中包含网络安全保险是更安全的做法。
然而,这并不是像打电话给保险公司或经纪人并要求开保单那么简单,其中需要涉及大量分析工作。让事情更复杂的是,企业开始用不同的目光审视风险和网络安全保险。
在Target公司数据泄露事故之前,网络安全保险保单是基于静态方法来评估风险。企业要填写评估表,向承包方进行讲述,可能还需要进行某种形式的对话。在完成评估、开好保单后,保险人将会离开并祈祷未来12个月的安全。
但在Target数据泄露事故发生后的世界,我们看到数据泄露事故总是在发生。对保险公司来讲,这种“希望和祈祷”模式已经不再可行。网络安全和风险管理公司Stroz Friedberg副总裁William Dixon表示:“网络安全保险是相对较新的金融工具,在我看来,此前网络安全保险只是被视为企业网络安全计划的之后的想法。”
Dixon补充说:“企业现在意识到他们永远无法通过人力、流程和技术来确保100%的安全性。所以我们看到很多客户开始选择把网络安全保险加入网络安全计划。这并不是作为提高其技术和流程安全成熟性的补充,而是用于处理数据泄漏事故时的恢复工作,包括修复、数据泄露通知、信用监督和外部法律顾问的支持。”
安永公司全球信息安全负责人Ken Allan解释说,对于有些企业来说,想要获得良好的网络安全保险困难重重。Allan说道:“我们一个大型银行客户通过分析以弄清楚他们可对其网络安全投资做些什么,能否通过花更多钱来保护更多重要资产。结果是,在某些情况下,安全技术非常复杂,采购和维护的成本太高,该银行最后选择使用网络安全保险来涵盖这些风险。”