如果公司知识产权遭黑客攻击被盗,没有哪种保险能弥补公司耗在研发上的几百万美元。
网络保险策略旨在覆盖系统取证、数据恢复和法律及客户赔偿支出等安全事件和数据泄露的开支。承保的典型事件类型包括发票欺诈、加密锁定恢复和内部人威胁。尽管网络保险在整套安全方法中占有一席之地,其地位却常被误解。
首先,公司企业必须了解自身关键数字资产和风险,因为网络保险策略的理性采纳对管理保费支出和确保恰当保险范围至关重要。但网络保险只是事后风险弥补,永远不应替代恰当的安全项目。如果公司企业过度投资网络保险而对安全控制投入不足,说明他们预期被黑,并由保险公司来解决这个问题,即便他们本意并非如此。没错,数据泄露发生的频率令人震惊,数据隐私法律监管下的巨额罚单也越来越频繁开出。但对公司企业而言更好的安全方法,却是追求适当平衡了网络保险的主动安全策略。
网络保险直到 2005 年才开始流行开来,是个相对较新且快速发展的行业。Adroit 市场研究公司最近的一份报告声称,网络保险市场将迎来指数级增长,从 2019 年全球保费近 40 亿美元,增长至 2025 年超 230 亿美元。推动这一预测的,是公司企业对最近颁布的一系列数据隐私监管规定的反应,比如欧盟 2018 年 5 月生效的《通用数据保护条例》(GDPR)。
公司企业自然害怕遭遇数据泄露可导致的巨额罚款和赔款,例如英国航空公司和万豪国际被征收的罚金。他们向自己的保商寻求可弥补数据泄露通告相关支出及其他修复成本的保险计划。然而,不投资恰当的控制措施而过度依赖网络保险,表明公司企业预期遭遇数据泄露而非组织有效防御。虽然保险商能够弥补一些损失,但无法修复安全事件拉低的公司信誉,也无法拿回公司被窃的知识产权 (IP)。令人遗憾的真相就是,如果公司花费数百万美元研究与开发 (R&D) 而该知识产权被盗,没有任何保单能兜住该研发投资成本。
云
网络保险兴盛的另一贡献因子是云的迅速采纳。但公司企业往往将网络保险当成覆盖其运迁移和配置错误的保护伞,而没有发展衡量和持续测试其控制措施有效性的主动安全项目。
另外,公司企业还必须理解网络保险提供商是逐利的,并不会赔付本可用恰当的安全项目规避的数据泄露。就好像长期医疗保险会拒保未通过健康评估的投保人一样,保险商索赔限制越来越严格,甚至拒保缺乏恰当安全控制措施的公司毫不令人意外。举个例子,如果公司遭遇的电子邮件入侵攻击可以通过多因子身份验证 (MFA) 缓解的,那么保险公司就可能不赔付或减少赔付数额。
FUD 因素
当今不断变化的数据隐私环境中,围绕保险商策略和索赔分类的恐惧、不确定性与怀疑 (FUD) 从来不缺。著名案例之一就是索尼网络保险商(苏黎世美国保险公司)拒赔其 2011 年 7,700 万用户个人可识别信息 (PII) 泄露的 20 亿美元损失。甚至在索尼将苏黎世告上法庭后,苏黎世还给索尼上了一课什么叫做 “保险策略不覆盖任何第三方黑客事件”。
最终,网络保险不能,也不应该被视为恰当网络安全项目的替代品。网络保险可帮助弥补事后损失,但承担不了知识产权被盗的损失,也无法堵上安全项目设计不良的漏洞。有效安全策略不仅可以帮助公司企业获得网络保险,测试这些安全控制措施的有效性还将帮助公司企业在攻击者找上自己前发现安全漏洞。该方法也可使公司企业通过识别并移除重叠控制措施,来提升其网络安全预算的投资回报,同时还向所有利益相关者显示出公司相当重视安全。