關鍵詞:網絡保險;網絡安全保險
如果保險費用合理的話,購買網絡安全保險是一個不錯的選擇。因為在發生網絡安全事故時,這可能維持企業的生存,而不至於走向倒閉。但網絡安全保險絕不是企業在安全防護方面應該考慮的第一要素。網絡安全事件和成本支出都呈現出上升趨勢。
根據ITRC的報告,截至2021年9月30日,公開報告的數據泄露事件比2020年全年多17%。IBM的 "Cost of a Data Breach Report"發現,數據泄露的支出從2020年的386萬美元增加到2021年的424萬美元,是該報告歷史記錄上的最高值。
隨着網絡攻擊的頻率、規模和嚴重性的增長,網絡保險行業發現了自己所處地位的尷尬。
網絡攻擊激增對網絡保險的影響
2016年,購買了保險的用戶中,只有26%的客戶在保險構成中包含網絡安全。根據GAO的報告,這個數值在2020年增長到了47%。但是在整個網絡安全保險的範疇內,增長的不僅僅只有用戶數量這個數字。
在2020年底,保險價格躍升了10%至30%。在2021年第三季度,網絡保費支出的平均成本攀升了27.6%,創下了歷史紀錄。如果按照這樣的情形發展下去,保險費用的支出超過企業投入產出比的閾值,對於企業來說網絡安全保險將失去意義。
保險行業如何應對不斷變化的網絡危險範圍
除了提高保費之外,一些保險公司正在減少對特定行業的保險範圍,包括教育和醫療,限制提供網絡保險的數量或在合同條款方面作出嚴格的控制。一些保險公司正在為網絡風險提供獨立的保單,而不是將其與其他保險捆綁。
在2020年上半年,41%的網絡保險索賠與勒索軟件攻擊有關,許多保險公司開始限制他們對這些攻擊的賠付額度。在某些情況下,他們會完全不予賠付。截至2021年5月,因為法國的勒索病毒犯罪已經造成超過55億美元的損失(僅次於美國),全球保險公司AXA將不再為法國的勒索病毒犯罪進行賠付。
保險公司開始更多地關注客戶實際的網絡安全防護程度與有效性。已經不再相信客戶簡單的口頭說明。除了讓客戶填寫標準問卷外,許多保險公司正在進行嚴格的檢查,以確保某些關鍵控制措施到位。多因素認證(MFA),安全測試的備份,以及網絡記錄和監控只是幾個重要的標準。保險公司對潛在客戶使用的安全控制也更加細緻。
總的來說,保險公司必須確定保險產品自身的風險可控。
網絡保險是否助長了勒索軟件攻擊?
即使你能負擔得起並且在保險的條款範圍內,你也應該知道,網絡犯罪分子喜歡攻擊有網絡保險的公司。根據最近的一項調查,購買了網絡安全保險的企業支付贖金的可能性比沒有保險的企業高兩倍以上。
黑客甚至會通過攻破保險公司,從而查看潛在受害者的保險,來發現並確定最高贖金。一旦他們勒索的企業有網絡安全保險,他們就會將注意力轉移到此處。
這使保險公司處於一個尷尬的境地。他們不僅自己是潛在的受害者,而且業務也不如過去幾年那麼富有成效。網絡保險的賠付率現在已經超過70%,達到了盈虧平衡點,這就迫使保險公司要做出艱難的決定。
如何在網絡攻擊和數字轉型的時代建立信任
隨着對網絡攻擊的擔憂不斷增加,越來越多的企業將考慮網絡完全保險。但它只是安全防護網絡中的一部分,它能給企業網絡安全防護能力帶來的僅限於更高的保費、更嚴格的標準以及它特定的安全目標。
無論你是否選擇網絡保險,都要確保你有網絡安全有基本保障。必須強制所有員工使用強密碼和MFA。確保你給所有系統打補丁,並保持安全軟件的更新。流量過濾和網絡分段是必須的。你還應該制定災難恢復計劃。
進行數據泄露應急演練,網絡安全意識教育,並定期測試,以確定漏洞並根據需要進行修改。安全不能做到100%,但是有了這些措施,可以確保你有條不紊的應對網絡安全事件,也更容易通過網絡保險的資格審查。
網絡安全保險的下一步該怎麼做
威脅格局將繼續轉變,保險公司也將適應。如果保險費用合理的話,購買網絡安全保險是一個不錯的選擇。因為在發生網絡安全事故時,這可能維持企業的生存,而不至於走向倒閉。但網絡安全保險絕不是企業在安全防護方面應該考慮的第一要素。
專注於安全本身,不是為了通過網絡保險資格審查,而是要確保確保你擁有網絡安全的基本保障能力。企業的整體生命力是掌握在你自己手中的,不能僅依靠其他的東西來保障。
參考閱讀
網絡保險和戰爭除外責任
網絡保險業處於蠻荒西部時代
14億美元網絡保險索賠獲法庭支持
勒索軟件導致網絡再保險費率大漲40%
留言列表