安全專家表示，安全事件頻頻登上報端引發(fā)了網(wǎng)絡保險業(yè)的蓬勃發(fā)展，但這一市場目前十分復雜。

首席信息官(CIO)和首席信息安全官(CISO)面對的最悲苦的事，恐怕就是在重大網(wǎng)絡安全事件后進行損害評估了。責難成山，卻少有人能公平看待。而到向網(wǎng)絡保險索賠的時候，概念混淆的存在，還會使這個責任推卸游戲變得更加復雜。

典型的企業(yè)網(wǎng)絡保險爭論通常是這樣的：CEO或董事長把CISO叫到辦公室，告訴他保險公司只愿意支付38%的索賠，因為“你沒對受影響的應用實現(xiàn)加密”。

CISO說：“首先，我不知道我們有網(wǎng)絡保險。其次，受影響的應用是在我們的ATM機上運行的，如果我們對其進行加密，您早就因為客戶無法訪問而解雇我了。我希望您在實施這些策略之前先告訴我一聲。”

CISO不知道自己公司投了保險以避免網(wǎng)絡攻擊損失這事兒，聽起來就像HBO劇集《硅谷》里的一個情節(jié)，而不是真實的商業(yè)案例。但隨著安全事件不斷發(fā)生，這種斷層也時常涌現(xiàn)。PivotPoint風險分析公司CEO朱利安·威特說：“保險購買不透明，你覺得在你處理金融風險轉(zhuǎn)移時應攜手共進的兩件事情，其實相互間根本毫無溝通。”

忽視和困惑導致了覆蓋面缺口

因此，公司企業(yè)經(jīng)常不確定自己的保險策略覆蓋到了哪些部分而哪些又根本沒有保障，時常保了那些錯誤的東西，導致索賠因各種原因遭拒，比如沒有足夠的網(wǎng)絡安全測試規(guī)程和審計、過時的補丁、網(wǎng)絡事件響應計劃部署不到位、缺乏備份和恢復過程等等。

同時，保險商的聚合風險模型也更像是普適策略，而未必適合企業(yè)客戶的特殊需求。普華永道所言全球網(wǎng)絡保險市場到2018年將有50億美元保費，2020年至少75億的斷言，也因此承受著巨大挑戰(zhàn)。

為更好地理解網(wǎng)絡保險業(yè)，威特委托IT部門和保險商進行了研究。網(wǎng)絡保險研究公司Advisen調(diào)查了195家保險公司和代理商，系統(tǒng)與網(wǎng)絡安全協(xié)會 SANS Institute 對203位信息安全和IT專業(yè)人士進行了問卷調(diào)查，其分析師芭芭拉·菲爾金絲撰寫了報告《橋接保險/信息安全缺口：2016 SANS 網(wǎng)絡保險調(diào)查》。

菲爾金絲發(fā)現(xiàn)，為有效購入符合自身需求的網(wǎng)絡保險策略，企業(yè)必須彌合的關鍵缺口有4個：

術(shù)語缺口。信息安全和保險業(yè)人士承認，他們對于“風險”基本概念的定義并未達成共識。信息安全人士從威脅和漏洞的角度理解，并覺得可通過構(gòu)筑防御措施、策略和項目來清除威脅。保險提供商則從降低企業(yè)從網(wǎng)絡安全事件中遭受的經(jīng)濟損失入手。

評估缺口。評估框架為最低級別的網(wǎng)絡衛(wèi)生制定標準實踐、指標和成本，并被用來與其他企業(yè)的防御和規(guī)程進行比較衡量。但保險商更喜歡定量模型而非定性模型，卻只有25%的信息安全受訪者有具體的定量模型。

溝通缺口。以上缺口促生了信息安全人士和保險商之間的溝通鴻溝，信息安全專業(yè)人士和風險經(jīng)理之間，保險業(yè)內(nèi)部的承保商和經(jīng)紀人之間，同樣存在溝通天塹。

投資缺口。承保標準制定中透明性的缺乏，導致了尋求網(wǎng)絡保險的買家在投資上的偏差。信息安全人士可能會投資到錯誤的事情上，以為這些東西都是可保的；或者他們購買的保險不符合遭遇到的損失，而索賠被拒。更為復雜的情況是，可能會有需要法律顧問來解釋的保單條款和例外情況。舉個例子，2014年，美國最大中餐連鎖店 P.F. Chang 從其保險商那里索回了170萬美元的安全事件后續(xù)處理開支和集體訴訟的辯護費。但該公司就未能拿回花在信用卡處理器上的190萬支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)評估費。

CISO必須參與網(wǎng)絡保險采購

肖恩·維奧拉稱，SANS發(fā)現(xiàn)的缺口與其在評估和購買網(wǎng)絡保險策略上的經(jīng)驗相一致。作為護理設施供應商 Creative Solutions in Healthcare 的CIO和CISO，維奧拉發(fā)現(xiàn)，很多策略都與他那基于美國國家標準技術(shù)研究院(NIST)網(wǎng)絡框架的安全模型不相匹配。他認為，有工具或評估矩陣可供CISO們將自身安全態(tài)勢和選擇要買的保險策略關聯(lián)起來。另一個挑戰(zhàn)則在于，公開處理的網(wǎng)絡保險索賠案例實在太少，讓公司企業(yè)恍如在黑暗中前行。

雖然網(wǎng)絡保險是大家都想搞明白的問題，卻沒人愿意談論它，因為談論網(wǎng)絡風險讓人們覺得不舒服。維奧拉稱：“這是個年輕的產(chǎn)業(yè)，人們對它還有很多困惑。保險商們沒有認識到這一點。”他已采取行動，培訓其高管層了解網(wǎng)絡風險和網(wǎng)絡保險知識。

那么，CISO/CIO到底該做什么？Advisen共同創(chuàng)始人兼首席策略管大衛(wèi)·布拉德福德分享了他的想法：CISO應在較早階段就參與進來，與風險經(jīng)理共同搞清企業(yè)到底有哪些風險暴露面，好讓風險經(jīng)理在購買網(wǎng)絡保險策略時可向保險經(jīng)紀人解釋清楚，而保險經(jīng)紀人又反過來能向保險商解釋并匹配選出正確的策略。