网络保险,也称为“网络风险保险”或“网络责任保险”(CLIC),它一直被视为对抗网络风险的“数字疫苗”,可以帮助企业做好准备,防范网络风险。一旦企业遭遇网络攻击,它也能让其以较快的速度恢复正常工作。
网络保险涵盖哪些内容?
随着市场不断发展成熟,网络保险变得越来越多样化,甚至可以说每一个保单的涵盖内容都不尽相同。尽管如此,大多数网络保险保单内容仍然存在一些普遍的共性,包括业务中断造成的损失(由于系统停机或被锁定造成的收入损失);意外业务中断(由于第三方故障,例如 IT 供应商,导致系统停机而造成的收入损失);数字资产销毁;数据检索和系统恢复成本;系统错误;网络勒索/勒索软件;违规响应和补救费用;社会工程和网络犯罪,以及网络安全和隐私责任等。
UKGlobal Broking Group 董事兼保险经纪人 Richard Hodso 补充道,网络保险通常还涵盖事件发生后的沟通和公共关系处理。如今,越来越多的网络保险还会提供违规后资金支持,包括培训员工以防止发生类似事件,以及完整的系统诊断等等。不过,并非所有的网络保险都完全相同,它们独立且各具特色。此外,也并非所有形式的网络风险都在保险范围内,例如,战争和/或恐怖主义造成的财务损失或内部基础设施故障,及攻击后可能产生的声誉成本也不在保险范围内。
同样地,专门针对受影响企业而设计或创建的病毒也可能排除在保险范围之外。
网络保险市场的变革
网络保险市场正随着网络安全态势转变而不断变化。各种形式和规模的组织一直在投资网络保险,以对冲网络风险带来的影响。与此同时,不断变化的网络威胁和风险正持续困扰着组织,并考验着他们的网络弹性。因此,网络保险提供商越来越熟悉特定的网络安全问题并能做出响应。
其中,勒索软件正是影响网络保险覆盖需求和成本、政策条款和条件、要求和限制等变化的关键因素。攻击者正在使用更狡猾和复杂方法来勒索(甚至重复勒索)组织,以获取潜在巨额赎金。
勒索软件的增加导致更多组织开始考虑投资网络保险,因为许多组织已经清楚地意识到,相较于投资网络保险的成本,勒索软件造成的巨大财务中断将使他们更难以承受。除了赎金这种直接成本外,从勒索攻击中恢复才是更为昂贵的环节。有数据显示,2021 年,组织违规响应成本已经从总索赔成本的 29% 增加到了 52% 。
鉴于网络攻击日趋复杂和频繁,网络保险市场已经呈现“供不应求”的局面。如今,保险公司正在提高其愿意承保的风险费率和标准。就承保范围本身而言,一些保险公司也已经取消了他们为勒索软件攻击提供的承保金额,或者降低了为一定规模组织提供的总体限额。即便保险公司没有大幅更改承保范围,他们也可能会在保单中设置更多主观性内容,要求投保公司遵守某些关键的安全措施作为保单条件。
根据全球保险公司 Beazley 最近发布的数据,网络保险价格仍在继续上涨,2021 年第三季度,续保费率同比增长了 23% 。
此外,新冠肺炎疫情大流行也进一步推动了组织对网络保险的需求。随着成千上万的系统迁移到基于云的平台以支持远程劳动力,网络保险公司也不断敦促组织重新评估其保险政策,因为他们的工具集和工作实践在演变,面临的网络威胁也可能不会在其现有保险政策中体现出来,任何意想不到的缺口都可能是灾难性的。
最近几年,即便是毫无根据的索赔诉讼也耗费了被告组织的大量时间和成本,出于财务保护需求,我们有理由相信,这种行为会进一步影响整个网络保险市场的定价。
企业的网络保险需求
保险对企业的许多方面都至关重要,而网络安全正迅速成为其中之一。每个企业都必须自己进行数学计算,以平衡保险成本、安全事件成本以及用于年度保费的资金机会成本,并确定最需要保护的内容。
事实上,企业需要充分考虑如果其系统因攻击而完全关闭,他们会损失多少?此外,到 2021 年第三季度,勒索赎金的平均成本稳定在 142,000 美元左右,如果将第三方帮助恢复的成本包括在内,这个数字会大幅增长。企业应该清楚他们是否有能力实际支付这笔费用,以及这可能会对业务的稳定性造成何种影响。
网络保险的存在,可以让企业更加安心,因为他们知道有一个额外的安全层,并且他们正在定期监控风险,这对小型企业来说尤为重要。几年前,我们可能认为小企业没有必要制定全面、独立的网络保险政策,但事实证明,攻击者正越来越多地瞄准这些防御能力较弱的小企业。企业应该将网络保险视为改善整体安全的机会,而非只是简单的风险转移。
如今,保险公司可能正处于设置新一波“安全基线标准”的前沿,而且这种标准可能比任何国际标准或行业监管机构都更具活力和响应能力。
网络保险公司的期望
对于申请网络保险的组织,保险公司通常会要求其完成详细的调查问卷,以评估其安全控制状态,只有满足保险公司安全控制要求的组织,才有资格获得网络风险保单。
保险公司认为,良好的网络状况对于组织获得网络保单至关重要,这包括强大的备份策略、所有关键接入点的多因素身份验证、强大的补丁管理、扫描技术以及主动支持漏洞的能力等。考虑到网络安全的复杂性和基础设施的去中心化,一些更大、更复杂的组织可能需要承销商参与,以对其网络状况进行更深入的分析。
此外,组织的员工意识培训计划,在未得到全面验证之前绝不向电子邮件/电话转账,以及拥有防病毒和端点保护投资同样至关重要。为了获得指导和支持,建议组织与在网络保护方面经验丰富的保险经纪人交谈,并简单地解释自己需要什么以及应该做什么。值得注意的一点是,保险中的术语已经太多了,不需要添加令人困惑的技术术语使一切变得更加复杂。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】