如果保险费用合理的话,购买网络安全保险是一个不错的选择。因为在发生网络安全事故时,这可能维持企业的生存,而不至于走向倒闭。但网络安全保险绝不是企业在安全防护方面应该考虑的第一要素。网络安全事件和成本支出都呈现出上升趋势。
根据ITRC的报告,截至2021年9月30日,公开报告的数据泄露事件比2020年全年多17%。IBM的 "Cost of a Data Breach Report"发现,数据泄露的支出从2020年的386万美元增加到2021年的424万美元,是该报告历史记录上的最高值。
随着网络攻击的频率、规模和严重性的增长,网络保险行业发现了自己所处地位的尴尬。
网络攻击激增对网络保险的影响
2016年,购买了保险的用户中,只有26%的客户在保险构成中包含网络安全。根据GAO的报告,这个数值在2020年增长到了47%。但是在整个网络安全保险的范畴内,增长的不仅仅只有用户数量这个数字。
在2020年底,保险价格跃升了10%至30%。在2021年第三季度,网络保费支出的平均成本攀升了27.6%,创下了历史纪录。如果按照这样的情形发展下去,保险费用的支出超过企业投入产出比的阈值,对于企业来说网络安全保险将失去意义。
保险行业如何应对不断变化的网络危险范围
除了提高保费之外,一些保险公司正在减少对特定行业的保险范围,包括教育和医疗,限制提供网络保险的数量或在合同条款方面作出严格的控制。一些保险公司正在为网络风险提供独立的保单,而不是将其与其他保险捆绑。
在2020年上半年,41%的网络保险索赔与勒索软件攻击有关,许多保险公司开始限制他们对这些攻击的赔付额度。在某些情况下,他们会完全不予赔付。截至2021年5月,因为法国的勒索病毒犯罪已经造成超过55亿美元的损失(仅次于美国),全球保险公司AXA将不再为法国的勒索病毒犯罪进行赔付。
保险公司开始更多地关注客户实际的网络安全防护程度与有效性。已经不再相信客户简单的口头说明。除了让客户填写标准问卷外,许多保险公司正在进行严格的检查,以确保某些关键控制措施到位。多因素认证(MFA),安全测试的备份,以及网络记录和监控只是几个重要的标准。保险公司对潜在客户使用的安全控制也更加细致。
总的来说,保险公司必须确定保险产品自身的风险可控。
网络保险是否助长了勒索软件攻击?
即使你能负担得起并且在保险的条款范围内,你也应该知道,网络犯罪分子喜欢攻击有网络保险的公司。根据最近的一项调查,购买了网络安全保险的企业支付赎金的可能性比没有保险的企业高两倍以上。
黑客甚至会通过攻破保险公司,从而查看潜在受害者的保险,来发现并确定最高赎金。一旦他们勒索的企业有网络安全保险,他们就会将注意力转移到此处。
这使保险公司处于一个尴尬的境地。他们不仅自己是潜在的受害者,而且业务也不如过去几年那么富有成效。网络保险的赔付率现在已经超过70%,达到了盈亏平衡点,这就迫使保险公司要做出艰难的决定。
如何在网络攻击和数字转型的时代建立信任
随着对网络攻击的担忧不断增加,越来越多的企业将考虑网络完全保险。但它只是安全防护网络中的一部分,它能给企业网络安全防护能力带来的仅限于更高的保费、更严格的标准以及它特定的安全目标。
无论你是否选择网络保险,都要确保你有网络安全有基本保障。必须强制所有员工使用强密码和MFA。确保你给所有系统打补丁,并保持安全软件的更新。流量过滤和网络分段是必须的。你还应该制定灾难恢复计划。
进行数据泄露应急演练,网络安全意识教育,并定期测试,以确定漏洞并根据需要进行修改。安全不能做到100%,但是有了这些措施,可以确保你有条不紊的应对网络安全事件,也更容易通过网络保险的资格审查。
网络安全保险的下一步该怎么做
威胁格局将继续转变,保险公司也将适应。如果保险费用合理的话,购买网络安全保险是一个不错的选择。因为在发生网络安全事故时,这可能维持企业的生存,而不至于走向倒闭。但网络安全保险绝不是企业在安全防护方面应该考虑的第一要素。
专注于安全本身,不是为了通过网络保险资格审查,而是要确保确保你拥有网络安全的基本保障能力。企业的整体生命力是掌握在你自己手中的,不能仅依靠其他的东西来保障。