網(wǎng)絡(luò)風(fēng)險(xiǎn)建模商Kovrr公司首席技術(shù)官Avi Bashan:網(wǎng)絡(luò)保險(xiǎn)在上世紀(jì)90年代就已經(jīng)存在,自從勒索軟件攻擊日益增長(zhǎng)并不時(shí)成為頭條新聞以來(lái),人們對(duì)網(wǎng)絡(luò)保險(xiǎn)的看法就有所不同了。保險(xiǎn)公司在過(guò)去通常在網(wǎng)絡(luò)保單上采用現(xiàn)金流承保,這意味著他們會(huì)采用很多保單來(lái)為他們的業(yè)務(wù)賬簿增加保費(fèi)。因此,企業(yè)通常會(huì)以相對(duì)優(yōu)惠的價(jià)格獲得全面的網(wǎng)絡(luò)覆蓋,至少與當(dāng)今的標(biāo)準(zhǔn)相比是這樣。勒索軟件攻擊在很大程度上引起了保險(xiǎn)公司的擔(dān)憂,因此大幅減少了服務(wù)覆蓋范圍并提高了保費(fèi)。有些保險(xiǎn)公司甚至考慮不再提供網(wǎng)絡(luò)保險(xiǎn)服務(wù)。
提供網(wǎng)絡(luò)保險(xiǎn)服務(wù)的保險(xiǎn)公司如今就企業(yè)風(fēng)險(xiǎn)狀況提出更為謹(jǐn)慎的問(wèn)題,并增加了被保險(xiǎn)人更多的責(zé)任。這消除了某些行為、財(cái)產(chǎn)、損壞類型或位置的覆蓋范圍。保險(xiǎn)公司也在努力使其業(yè)務(wù)賬簿多樣化,以便對(duì)第三方提供商的單一勒索軟件攻擊不會(huì)造成災(zāi)難性損失。在SolarWinds網(wǎng)絡(luò)攻擊期間,有許多被保險(xiǎn)人使用這一軟件,可以想象一下保險(xiǎn)公司為此賠付的保險(xiǎn)費(fèi)用有多高。災(zāi)難性事件的經(jīng)濟(jì)損失可能如此之大,以至于保險(xiǎn)公司可能會(huì)收取10年的保費(fèi),但遭遇一次網(wǎng)絡(luò)攻擊就會(huì)損失這些利潤(rùn)。
這一戰(zhàn)略變化對(duì)希望為其資產(chǎn)投保的企業(yè)有何影響?
Avi Bashan:網(wǎng)絡(luò)攻擊使企業(yè)處于非常困難的境地。與此同時(shí),他們感到比以往任何時(shí)候都更容易受到勒索軟件攻擊,保險(xiǎn)公司到了網(wǎng)絡(luò)保險(xiǎn)比以前更昂貴的地步,因此要求大多數(shù)企業(yè)投保有更明確的理由。此外,涵蓋范圍廣泛的網(wǎng)絡(luò)事故的保單也越來(lái)越少,這意味著企業(yè)確實(shí)需要量化其網(wǎng)絡(luò)風(fēng)險(xiǎn),并了解對(duì)企業(yè)的潛在影響。只有這樣,他們才能考慮在緩解和轉(zhuǎn)移風(fēng)險(xiǎn)方面花費(fèi)更多費(fèi)用。企業(yè)的首席信息安全官、董事會(huì)和其他高管都需要了解網(wǎng)絡(luò)保險(xiǎn)和風(fēng)險(xiǎn)轉(zhuǎn)移的理想組合,最終將會(huì)節(jié)省費(fèi)用。
保險(xiǎn)公司和企業(yè)有沒(méi)有折衷的辦法?
Avi Bashan:網(wǎng)絡(luò)保險(xiǎn)的未來(lái)發(fā)展在于基于持續(xù)監(jiān)控和分析企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)的風(fēng)險(xiǎn)/回報(bào)機(jī)制。這與保險(xiǎn)公司處理汽車或房產(chǎn)保險(xiǎn)的方式?jīng)]有太大區(qū)別。許多保險(xiǎn)公司為具有良好運(yùn)營(yíng)歷史的被保險(xiǎn)人以及進(jìn)行某些裝修(例如翻修屋頂)的房主提供折扣。網(wǎng)絡(luò)保險(xiǎn)不太可能恢復(fù)到勒索軟件攻擊之前的范圍和定價(jià)方式,因此企業(yè)有責(zé)任確保向保險(xiǎn)公司充分傳達(dá)其網(wǎng)絡(luò)安全態(tài)勢(shì)。
網(wǎng)絡(luò)風(fēng)險(xiǎn)增加如何改變業(yè)務(wù)部門對(duì)強(qiáng)大安全態(tài)勢(shì)重要性的整體看法?
Avi Bashan:很多企業(yè)開始明白,量化網(wǎng)絡(luò)風(fēng)險(xiǎn)是他們整體風(fēng)險(xiǎn)管理的關(guān)鍵。量化網(wǎng)絡(luò)風(fēng)險(xiǎn)意味著預(yù)測(cè)損失頻率和嚴(yán)重程度,以做出網(wǎng)絡(luò)風(fēng)險(xiǎn)融資決策。就在不久前,企業(yè)首席信息安全官不得不竭盡全力證明他們每年的網(wǎng)絡(luò)安全預(yù)算是合理的。企業(yè)的IT和業(yè)務(wù)部門開始使用相同的語(yǔ)言,并從財(cái)務(wù)角度看待網(wǎng)絡(luò)風(fēng)險(xiǎn)。量化財(cái)務(wù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)也將幫助業(yè)務(wù)部門在這兩個(gè)方面結(jié)合一起,了解網(wǎng)絡(luò)風(fēng)險(xiǎn)的本質(zhì)是運(yùn)營(yíng)費(fèi)用而不是技術(shù)費(fèi)用。這將是進(jìn)入2022年及以后的加速趨勢(shì)。
對(duì)于2022年可以期待什么?保險(xiǎn)業(yè)將如何適應(yīng)日益增長(zhǎng)的威脅?
Avi Bashan:隨著企業(yè)試圖更好地了解網(wǎng)絡(luò)攻擊對(duì)其業(yè)務(wù)的潛在財(cái)務(wù)影響,并優(yōu)先考慮對(duì)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)保險(xiǎn)的投資,保險(xiǎn)公司在網(wǎng)絡(luò)覆蓋方面縮小服務(wù)范圍的這種趨勢(shì)將推動(dòng)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的大量采用。除了量化網(wǎng)絡(luò)風(fēng)險(xiǎn)之外,勒索軟件的大規(guī)模宣傳應(yīng)該使首席信息安全官比過(guò)去更容易獲得更高的安全預(yù)算。
在保險(xiǎn)方面,他們將更多地投資于為被保險(xiǎn)人承保網(wǎng)絡(luò)風(fēng)險(xiǎn)、投資組合管理和高端網(wǎng)絡(luò)安全風(fēng)險(xiǎn)緩解服務(wù)的工具??赡茉?022年開始實(shí)現(xiàn)的一件事是不斷發(fā)展的網(wǎng)絡(luò)保險(xiǎn)法規(guī)以推動(dòng)標(biāo)準(zhǔn)化。這方面的任何進(jìn)展都應(yīng)有助于企業(yè)更好地了解他們?cè)趥鬟_(dá)網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況方面的期望,以及他們?cè)诰W(wǎng)絡(luò)覆蓋范圍方面的期望。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)