网络保险业处于蛮荒西部时代

安全
保险公司必须成为投保人董事会值得信赖的顾问,董事会也必须学会与保险公司合作,改善网络安全措施,提升企业安全能力,尽可能地降低保费。

网络保险是一项正在进行的工作,许多现有客户实际上是“小白鼠”。

网络保险业的基本问题很容易陈述,但很难解决。收入(保费)必须超过支出(索赔)约30%(运营成本+利润)。如果索赔增加,保险模式的保费也必须增加,才能维持下去。

但网络犯罪的成本正在急剧上升,而且多年来一直如此。不断提高保费以应对不断增加的索赔最终是不可持续的。迟早,本来是企业风险管理有效形式的保险,其成本会变得过于高昂。因此,网络保险要想持续下去,就必须找到一种平衡成本收益的方法。

一个可能的解决方案是,降低成本(索赔)会比增加销售额(保费)更快地提高损益率。这是保险业目前正在考虑的方案。首先,可以通过增加保险单中的除外责任来降低成本。当然,这会降低保险作为风险管理工具的价值,而且可保范围也受限。其次,如果客户的安全状况能够得到充分改善以减少索赔,那么保险成本也可以降低,或者至少保持在当前水平。

当前网络保险的问题

根据研究机构Moody在2021年10月19日声称:“勒索软件的激增已经导致网络保险策略的损失,保险公司的损失在2021年可能会增加。虽然保险公司已经看到了勒索软件的激升而逐渐提高网络保险定价,并降低了保单限额,增加了免赔额,同时收紧了条款和条件。”

勒索软件是目前业界和保险公司的一大难题。但这并不是唯一的威胁。BEC(商业邮件欺诈)也同样能造成巨大且难以预测的损失。许多研究人员认为,随着技术的进步(典型的如Deepfake),BEC将在2022年继续扩大。

在大多数保险市场,保险公司拥有数百年的航海、汽车、家庭和人寿保险损失及其原因的数据。这些数据作为精算表,提供了准确的证据,可以作为个案保费的基础。但对于网络空间来说,没有这样的精算表,而且也不太可能被编制成表。

“我认为保险业无法创建网络安全精算表,风险是不可预测的。攻击者很聪明,一直在寻找利用受害者的新方法。是的,我们正在变得更好,我们有更多的数据——但三年前的损失经验与今天无关。保险业会像汽车业那样获得精算表吗?我不认为会发生这种情况。”--Cowbell保险主管克里斯·里斯

由于没有历史数据的帮助,保险公司无法主动设定准确的保费,而是被动做出反应。通过设定更高的保费和保险条件来应对不断增加的索赔。简而言之,购买保险变得越来越昂贵,续保变得越来越困难,有时甚至不可能。

但另一方面,尽管网络保险的成本不断上升,覆盖范围不断缩小,但该市场仍在迅速扩张。2021年5月,美国政府问责制办公室(GAO)发布了来自全球保险经纪公司MaSH的数据,表明客户购买网络保险的比例从2020上升到47%,2016年这个比例是26%。

主要原因就是网络犯罪的持续增长。据一些调查报告估计,网络犯罪已经给全球经济造成了数万亿美元的损失,并且未来几年还会继续增长。保险业要想在更大的市场覆盖越来越多的索赔,需要做的不仅仅是反复提高保费,因此一个可行的解决方案是通过提高客户的网络安全来减少索赔。问题在于,对于保险公司而不是网络安全公司来说,该如何去做呢?

网络保险的可能路径

支付卡行业有一个安全标准(PCIDSS),所有公司在接受银行卡支付之前必须遵守该标准。提高被保险人安全性的一个途径是制定类似的安全标准并要求其合规。

英国的汽车保险行业有先例。在驾驶员为机动车辆投保之前,车辆必须首先通过交通部(MoT)设计的测试,并获得MoT证书。保险是法律要求的,所以测试也是法律要求的,保险业在受益的同时,也会因为客户有证书而降低保费。美国的通常做法是,要求汽车保险覆盖第三方责任。

目前还没有法律要求企业必需购买网络保险——但未来发生这种情况的可能并非不可想象。

合规要求的强制保险,其价值可以从证书上体现,如上文中的MoT证书,通过该验证则证明客户的高安全性,也因此保险公司会提供更低的保费。但这只是假设,在网络保险这个领域,安全证书能否减少被保险人的索赔概念,并最终得以让保险业将保费保持在当前或更低的水平,答案还是未知。

“PCI无疑提高了很多公司的网络安全基准,但它并没有神奇地解决这个问题。你可以通过PCI审核,但仍然会被入侵。支付卡行业的问题是,是否能让攻击成本大于收益?”--趋势科技市场战略和企业发展主管Eric Skinner

也许只有时间才能证明,保险业是否能够开发、维护并要求遵守一个行之有效的可靠安全标准出来。

特殊控制是否可行

保险业的另一种做法是对不同的客户进行不同的控制,这将比单一的通用的标准更加灵活。风险对于不同的行业不同的用户不同的时期都是不同的,所以既可以不同用户不同规定,也可以在续保时或每年对其进行更改修订。

但这样做意味着,保险公司会介入客户的安全评估工作。比如,网络保险业务人员会要求客户提供一份关于其安全状况的声明。如同年度合规审计的调查问卷,但这种问卷在降低风险上的作用不大。比如,“您部署了EDR吗?”一些保险经纪人表示,如果客户的回答是“No”,他们就有很高的被拒绝或不续签的风险。

但根本的问题在于,安全性并不是通过部署安全产品来增强的,而是通过正确地实施和充分地使用来增强,这是无法通过问卷调查来衡量的。因此,这就要求保险人员了解投保公司的业务,了解该公司CISO所掌握的安全状况。先不说保险人员有没有这种能力或意愿,客户愿意吗?

实施持续监控

第三种方法是保险业根据第三方安全评估公司的建议支付保费。这种建议以持续的安全态势监测为基础,也更容易被客户接受。保险公司可以简单地说,我们的扫描显示你在某某方面很弱,加固这些方面就有可能获得较低的保费。

但这种评估的缺点是大多数扫描只能看到客户基础设施的外部视图,但也依然有效,因为绝大多数黑客也是这样做的。收敛攻击面,脆弱性加固都可以提升黑客的攻击成本,使其很难找到切入点。

但如果能从外部监控逐步升级到对整个基础设施的内部持续监控,无疑可以让保险公司对客户投保所需的保费进行更智能的评估。从某种意义上可以说,那些提供安全评估服务的公司就像保险经纪人的助手,为经纪人提供必要的信息,以在与客户的协商中决定最合算的保费。

网络保险业的未来

网络保险是个正在尝试的新险种,这意味着许多现有客户实际上是试验品。而且上文中提到的,当前不断增加的保费和除外责任以抵消不断上升的索赔的模式是不可持续的。保险公司已经意识到这一点,并正在积极寻求解决方案。双方的目的是一样的,提高安全性,降低网络攻击造成的损失。

Resilience首席执行官Vishaal Hariprasad认为,解决方案将伴随着投保人、网络安全和保险公司之间的新关系而产生。Hariprasad于2016年进入保险行业,此前曾担任Palo Alto威胁情报架构师。他还有一个身份,美国空军预备队的网络作战官。

“在2016年,可以购买价值100万美元的网络保险。经纪人会问,你有IT人员吗?你们买了防火墙吗?但他们从来没有问防火墙是否打开过,因为整个保险业都不在乎。但这是必须改变的,保险公司需要知道,你的防火墙打开了吗?它是否一直在更新?是否不断引入正确的数据源?是否在监控?”保险人和被保险人之间需要一种新的合作关系。

换句话说,保险公司通过与威胁信息共享机构的关系,要成为客户的网络安全顾问。投保人和保险人都在寻求同一个目的——更好的网络安全,这可以通过双方都能接受的方式来实现,而不是以官方强制的方式。

Hariprasad认为,成功的网络保险业务,最重要的是共同参与和持续监控,即投保人和充分了解威胁状况的保险公司双方之间的共同参与,以及对网络安全缓解措施的持续监控。

网络保险和网络安全必须学会协调工作,而不是被视为彼此的替代品。保险公司必须成为投保人董事会值得信赖的顾问,董事会也必须学会与保险公司合作,改善网络安全措施,提升企业安全能力,尽可能地降低保费。

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-03-01 15:11:28

网络攻击数据泄露

2018-05-30 07:18:56

物联网保险业物联网应用

2009-12-07 15:03:58

2015-02-06 15:19:06

2019-07-10 09:41:50

区块链保险技术

2021-08-13 09:47:58

人工智能保险业AI

2023-03-13 09:39:52

IT领导者CIO

2014-10-14 16:41:32

保险IT技术

2019-10-17 09:09:44

金融

2017-05-04 09:38:49

2019-04-10 19:01:01

大数据保险业医疗保险

2021-06-25 09:58:38

数字化健康医疗

2020-09-30 17:21:44

自动驾驶物联网人工智能

2023-07-04 10:26:15

保险业数字化转型

2018-08-30 21:22:40

无人驾驶保险智慧

2012-10-16 10:43:15

2017-09-13 12:59:00

大数据保险行业共享单车

2021-05-07 15:40:05

保险业科技CIO

2011-08-27 10:18:42

打印机用户体验

2020-06-08 22:34:35

物联网保险业IOT
点赞
收藏

51CTO技术栈公众号