鉴于网络环境的日趋复杂以及威胁的不断变化,组织尽可能地采取积极主动的手段也变得更为重要。
尽管数据泄露成本正在不断飙升,但是大多数组织仍未做好应对财务和声誉影响的准备。这也就很好地解释了为什么对于组织而言,网络保险日益成为了一项必不可少的业务。
如今,网络风险仍然是每个董事会和中小型企业(SEM)管理者的主要关注点。
目前的网络格局异常混乱——国家支持的间谍组织、经济动机的网络犯罪团伙以及由于疏忽所导致的数据丢失案件层出不穷。风险无处不在,而其造成的经济后果也是异常沉重。不得不说,网络威胁仍然是当今组织面临的最重要且不断增长的风险之一,但糟糕的现实是,很少有组织真正准备好了应对这一挑战。
根据Ponemon Institute新的年度数据违规成本研究显示,2018年数据泄露的全球平均成本已高达148美元,较2017年增长了6.4%。有趣的是,经历过最昂贵的损失成本的地点包括美国和英国,其报告的损失成本几乎是全球平均水平的5倍。
很显然,这种问题并不会消失。虽然网络安全最常因大规模的泄露事件登上新闻头条,但最常见的威胁实际上却是针对中小型企业。本质上来说,较小的组织一般是敏捷且创新的,它们会利用技术和互联网的力量来吸引客户群,但是,正是这种技术和互联网的大范围运用反而增加了防护面。根据国家网络安全联盟进行的一项研究结果显示,60%遭受黑客攻击的中小型企业都会在6个月后面临停业倒闭结局。
购买网络保险的5个理由
在如今这样一个 “数字干扰” 时代,想要增强自身对网络风险的抵御能力,便要了解网络治理责任的全部范围。以下是为什么每个企业(无论规模或所有权)都需要网络保险的5个理由:
1. 网络犯罪正呈现指数级增长
绝大多数企业都异常依赖在线服务,这也进一步扩大了它们的网络攻击面。根据英国政府进行的《2018年网络安全漏洞调查报告》显示,在过去12个月中,43%接受调查的英国组织遭受过网络安全攻击或数据泄露事件。由于高度复杂的攻击手段如今已经司空见惯,企业需要假设它们会在某些时候遭到破坏,并制定措施(例如,购买网络保险)缓解风险。
2. 数据泄露成本异常昂贵
如上所述,据Ponemon Institute《2018年数据违规成本研究》结果显示,2018年全球数据泄露平均成本为148美元,而数据泄露的总成本已接近400万美元。这一数据还不包括欧盟《通用数据保护法案》(GDPR,2018年5月生效)和加利福尼亚州《消费者保护法案》(2020年正式生效)所涉及的罚款和制裁金额。相信未来当这些法案都正式生效后,这些损失成本一定会进一步增长。
但是,组织遭受攻击的真正代价不仅仅只有财务或补救成本,还会造成无法估量和挽回的声誉损失——遭受网络攻击可能会导致客户的信任感丧失,从而造成客户流失;此外,“安全性差”的名声也可能导致组织无法开展新的业务或获得政府合同等等。
3. 如果第三方数据在泄漏事件中受到损害,组织需要承担法律和财务责任
美国国防部(DoD)和欧盟GDPR宣布的新法规规定,组织只负责任命第三方,这些第三方需要能够提供足够的保证,以满足NIST 800-171和GDPR的要求。国防部和英国信息专员办公室(ICO)将对未进行尽职调查以确保第三方合规的任何组织进行责任追究,并可能对其进行罚款。如今,“监管罚款”几乎已经成了数据泄露的同义词,而且网络风险已然实现全球化趋势,这使得遵守不同地区的各种监管政策变得更具挑战性。
4. 标准/一般保险政策不包括网络风险
网络保险是专门用于处理数据隐私和安全的独特险种,也可作为保护企业免受数据泄露造成的财务和声誉损失的后盾。虽然一般保险政策可能涵盖某些类别的损失,但通常会存在许多重大差距,且网络事件可能会影响众多保险类别。一般保险政策通常不太可能承担“普通的”安全漏洞损失成本,更别说是网络攻击或“黑客活动”造成的损失成本了。只有专业的网络保险政策能够提供广泛的保障。但是,组织需要仔细研究政策,以了解其所提供的保险水平以及自身在政策条件下需要履行的责任。
5. 提高网络意识和风险管理
保险只是尽可能挽回损失的一种手段,单纯地采取网络保险政策并不能保护组织免受网络攻击侵扰。鉴于最常见的网络风险是社会工程——即员工自愿但不知不觉地允许攻击发生的行为,因此组织必须让每位员工接受有关 “如何避免和识别网络威胁” 的培训,在正确掌握基础知识的前提下,更好地防范网络威胁。事实上,网络攻击所造成的绝大部分伤害都是由于被攻击方无法做出正确的响应。组织需要制定一个全面的风险管理计划,详细说明公司在面对包括未知威胁在内的网络攻击时应该做出的响应措施。
打好基础最关键
鉴于网络环境日趋复杂且威胁不断变化,组织尽可能地采取积极主动的方式变得越来越重要。Cyber Essentials是由英国政府制定,得到行业支持并认可的信息安全认证计划,旨在帮助企业防范外来网络威胁。据了解,Cyber Essentials(数码安全要略)最初于2014年面世,由英国政府通信电子安全小组(CESG)(英国政府通信总部GCHQ 之信息安全部门)和英国政府商业、创新和技能部以及 BSI(英国标准协会)、中小企业信息安全保障(IASME)联盟和信息安全论坛(ISF)共同开发。自2014年10月起,所有为英国中央政府处理敏感及个人信息的ICT(信息和通讯技术)供应商都必须通过Cyber Essentials认证。
据悉,Cyber Essentials认证分为两个等级:一级Cyber Essentials要求机构完成自我评估问卷,由获得认可的认证机构验证后颁发;第二级Cyber Essential Plus为安全提升级,主要针对机构面临外部网络和互联网攻击时的韧性及续航力,需要机构通过认可认证机构的独立安全控制测试,以提供更高水平的保障。
英国当局认为,开展认证途径将有助于组织——尤其是可能没有设置专门的网络安全小组的中小型企业,一致且高效地协调一个地方的所有安全实践。认证是衡量组织网络安全方法成熟度的重要指标。它有助于防范最常见的网络威胁,并表现出对网络安全的承诺。虽然网络保险可以在组织面临网络威胁时提供一层保护,但它不能替代良好的网络卫生行为。
网络保险应该被视为公司整体风险管理的重要补充,但在面对网络风险和数据泄露之前,组织不应该坐以待毙!
Ponemon Institute《2018年数据违规成本研究》:
https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】