2022年12月，蘇黎世銀行的首席執(zhí)行官M(fèi)ario Greco表示，遭受網(wǎng)絡(luò)攻擊的企業(yè)正變得難以保險(xiǎn)，他指出，政府部門需要建立公私計(jì)劃，以應(yīng)對(duì)無(wú)法量化的系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)，就像一些司法管轄區(qū)應(yīng)對(duì)地震或恐怖襲擊的風(fēng)險(xiǎn)一樣。一些銀行和企業(yè)都不擅長(zhǎng)規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)，這確實(shí)說(shuō)明了圍繞網(wǎng)絡(luò)保險(xiǎn)及其對(duì)一些企業(yè)的可行性的不確定性越來(lái)越大。

 

Telstra Purple公司的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)主管、ClubCISO顧問(wèn)委員會(huì)成員Manoj Bhatt表示，“當(dāng)一些行業(yè)熱門話題得到人們的關(guān)注時(shí)，它們最終可能會(huì)被廣泛談?wù)摚珔s沒(méi)有被廣泛理解，網(wǎng)絡(luò)保險(xiǎn)就是這種情況。隨著威脅載體的增加和發(fā)展，網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品也會(huì)發(fā)生很多變化，這意味著，從商業(yè)和安全的角度來(lái)看，花費(fèi)時(shí)間充分衡量一份特定網(wǎng)絡(luò)保險(xiǎn)政策將為企業(yè)帶來(lái)的價(jià)值，以及保險(xiǎn)范圍可能會(huì)以多快的速度老化，這很重要。”

 

以下是企業(yè)可能想要避免或推遲投資網(wǎng)絡(luò)保險(xiǎn)的7個(gè)原因。

 

 

SecAlliance公司的情報(bào)總監(jiān)Mick Reynolds表示，在考慮保險(xiǎn)政策時(shí)，企業(yè)可能需要立即考慮兩件事，即業(yè)務(wù)成本和收益。他說(shuō)，“在成本方面，最近全球范圍內(nèi)大量的勒索軟件攻擊導(dǎo)致希望將此類事件納入保險(xiǎn)范圍的企業(yè)的保費(fèi)大幅增加。在某些情況下，續(xù)簽保險(xiǎn)合同的報(bào)價(jià)從大約12萬(wàn)美元上漲到超過(guò)180萬(wàn)美元。保費(fèi)大規(guī)模增長(zhǎng)，而承保范圍卻沒(méi)有明顯增加，企業(yè)董事會(huì)風(fēng)險(xiǎn)委員會(huì)現(xiàn)在開(kāi)始對(duì)其提供的整體價(jià)值產(chǎn)生了懷疑。”

 

至于對(duì)企業(yè)的好處，保險(xiǎn)主要用于彌補(bǔ)重大網(wǎng)絡(luò)事件期間的損失，而且99%的情況下，這些損失都是可量化的，主要與響應(yīng)和恢復(fù)成本有關(guān)，Reynolds說(shuō)，“考慮到大部分的網(wǎng)絡(luò)事件能夠以低于當(dāng)前網(wǎng)絡(luò)保險(xiǎn)高昂保費(fèi)的成本進(jìn)行補(bǔ)救，企業(yè)現(xiàn)在質(zhì)疑此類投資的價(jià)值是可以理解的。雖然勒索軟件攻擊仍在頻繁發(fā)生，但運(yùn)營(yíng)彈性功能正在提高企業(yè)在此類事件中生存的能力。”

 

Reynolds補(bǔ)充說(shuō)，網(wǎng)絡(luò)安全成熟度的不斷提高意味著，對(duì)這類事件只需要覆蓋間接成本的風(fēng)險(xiǎn)，例如監(jiān)管罰款、市場(chǎng)地位喪失和客戶賠償。Reynolds表示，雖然這些間接成本如果不被網(wǎng)絡(luò)保險(xiǎn)覆蓋，可能會(huì)對(duì)企業(yè)的流動(dòng)性產(chǎn)生巨大影響，但考慮到表現(xiàn)出來(lái)的可能性很低，它們可能會(huì)被視為不合理的不確定事件，不一定需要支付高額保費(fèi)。

 

Bhatt補(bǔ)充說(shuō)，也有一些情況，保單費(fèi)用將超過(guò)索賠的成本，因此考慮在保險(xiǎn)流程之外處理攻擊可能更容易。

 

 

勒索軟件攻擊是企業(yè)面臨的最大網(wǎng)絡(luò)威脅之一，因?yàn)樗鼈兤毡榇嬖冢絹?lái)越復(fù)雜，并有可能造成廣泛的破壞。近年來(lái)，勒索軟件攻擊帶來(lái)的風(fēng)險(xiǎn)不斷增加，這使得網(wǎng)絡(luò)保險(xiǎn)更具吸引力。然而，Halcyon公司的聯(lián)合創(chuàng)始人JonMiller表示，大多數(shù)保險(xiǎn)公司不再承保勒索軟件攻擊的所有潛在損失，這意味著投資專門用于勒索軟件保護(hù)的網(wǎng)絡(luò)保險(xiǎn)可能是一個(gè)代價(jià)高昂的錯(cuò)誤。

 

他說(shuō)，“由于勒索軟件攻擊中的變量太多，保險(xiǎn)公司發(fā)現(xiàn)很難量化勒索軟件的真實(shí)風(fēng)險(xiǎn)，從而準(zhǔn)確設(shè)定保費(fèi)。對(duì)于提供勒索軟件保險(xiǎn)的網(wǎng)絡(luò)保險(xiǎn)，大多數(shù)將不再包括贖金支付(它們可能變化太大，所以很難精確計(jì)算)。只有在企業(yè)受到勒索軟件攻擊后，他們才會(huì)發(fā)現(xiàn)該政策只能覆蓋一小部分補(bǔ)救和恢復(fù)成本。”

 

 

與政府支持的網(wǎng)絡(luò)攻擊相關(guān)的排除條款也給網(wǎng)絡(luò)保險(xiǎn)領(lǐng)域蒙上了一層陰影，并可能使企業(yè)質(zhì)疑保單的可行性。保險(xiǎn)市場(chǎng)倫敦勞合社(Lloyd’s of London)在去年宣布，從2023年起，網(wǎng)絡(luò)保險(xiǎn)不包括國(guó)家支持的“災(zāi)難性”攻擊。在2022年8月16日發(fā)布的一份市場(chǎng)簡(jiǎn)報(bào)中，倫敦勞合社表示，它仍然強(qiáng)烈支持網(wǎng)絡(luò)攻擊保險(xiǎn)，但認(rèn)識(shí)到與網(wǎng)絡(luò)相關(guān)的業(yè)務(wù)是一種不斷變化的風(fēng)險(xiǎn)。因此，該公司將要求其所有保險(xiǎn)集團(tuán)適用一項(xiàng)適當(dāng)?shù)臈l款，排除因任何國(guó)家支持的網(wǎng)絡(luò)攻擊而造成的損失的責(zé)任。

 

合規(guī)性服務(wù)商Cordery公司的律師兼合伙人Jonathan Armstrong表示，企業(yè)面臨的挑戰(zhàn)之一是確定攻擊歸咎于某個(gè)民族國(guó)家。他說(shuō)，“雖然在專家的幫助下，可以掌握民族國(guó)家參與的跡象，但我們知道這很難確定。正是這些困難可能導(dǎo)致訴訟，因?yàn)楸ｋU(xiǎn)公司可能認(rèn)為這是民族國(guó)家的參與，但被保險(xiǎn)人可能認(rèn)為情況并非如此。”

 

在分析倫敦勞合社決定在2022年8月將民族國(guó)家攻擊排除在保險(xiǎn)范圍之外時(shí)，保險(xiǎn)商Red Goat公司的網(wǎng)絡(luò)安全顧問(wèn)Lisa Forte指出，保險(xiǎn)公司可能會(huì)單方面決定哪些是民族國(guó)家攻擊以及哪些不是。Forte寫道:“在對(duì)這一決定的大量分析中，有人聲稱，這次襲擊不一定需要官方認(rèn)定，就能被排除在保單范圍之外，因此，保險(xiǎn)公司可以聲稱這次襲擊被排除在外，因?yàn)閷⑵錃w咎于一個(gè)民族國(guó)家是‘合理的’。這也許不是我們想要的結(jié)果。”

 

 

調(diào)研機(jī)構(gòu)IDC公司的風(fēng)險(xiǎn)、咨詢、管理和隱私研究主管Philip D.Harris表示，一些企業(yè)可能希望避免支付網(wǎng)絡(luò)保險(xiǎn)費(fèi)用，因?yàn)樗麄円呀?jīng)受益于某些類型的保險(xiǎn)，可以從網(wǎng)絡(luò)風(fēng)險(xiǎn)的角度保護(hù)他們。他說(shuō)，“一些大型企業(yè)甚至是一些地方政府都能夠從為這類活動(dòng)預(yù)留的已經(jīng)建立的資金池中提取資金。大型企業(yè)可以留出這些資金，以應(yīng)對(duì)必須處理的重大事件。同樣，完全無(wú)力支付網(wǎng)絡(luò)保險(xiǎn)的一些地方政府可能會(huì)自行組建財(cái)團(tuán)，每個(gè)財(cái)團(tuán)出資一筆資金，用于應(yīng)對(duì)重大網(wǎng)絡(luò)事件。”

 

 

Harris還警告說(shuō)，如果企業(yè)僅僅是根據(jù)完成網(wǎng)絡(luò)保險(xiǎn)公司的調(diào)查問(wèn)卷來(lái)確定其安全狀況，就不要在網(wǎng)絡(luò)保險(xiǎn)政策方面支出費(fèi)用。他說(shuō):“網(wǎng)絡(luò)保險(xiǎn)公司要求客戶填寫網(wǎng)絡(luò)安全調(diào)查問(wèn)卷，最終只能獲得有關(guān)被保險(xiǎn)人安全狀況的有限時(shí)間點(diǎn)的視圖。那些沒(méi)有專業(yè)網(wǎng)絡(luò)安全服務(wù)供應(yīng)商完成詳細(xì)評(píng)估，以全面了解缺陷、補(bǔ)救計(jì)劃和持續(xù)改進(jìn)路線圖的企業(yè)，依賴于某種程度上通用的安全問(wèn)卷，這對(duì)他們自己是不利的。”

 

他認(rèn)為，保險(xiǎn)公司應(yīng)該只專注于保險(xiǎn)業(yè)務(wù)，讓合格的網(wǎng)絡(luò)安全服務(wù)供應(yīng)商來(lái)評(píng)估被保險(xiǎn)人的網(wǎng)絡(luò)安全狀況。有了這種詳細(xì)的評(píng)估，保險(xiǎn)公司就可以認(rèn)真審視客戶，并可能提供更合理的保費(fèi)。

 

 

Miller表示，為了使網(wǎng)絡(luò)保險(xiǎn)政策有效，企業(yè)需要對(duì)其安全計(jì)劃進(jìn)行廣泛的核算。他說(shuō)，“如果企業(yè)在提交索賠時(shí)不合規(guī)，例如它沒(méi)有及時(shí)應(yīng)用補(bǔ)丁，或者如果它錯(cuò)誤配置了安全應(yīng)用程序，將會(huì)很快發(fā)現(xiàn)它的政策覆蓋是無(wú)用的。”Norm Cyber公司的首席運(yùn)營(yíng)官Pete Bowers對(duì)此表示贊同，他說(shuō)，“企業(yè)必須制定一個(gè)全面的計(jì)劃，包括人員、流程和技術(shù)控制，以加強(qiáng)其整體網(wǎng)絡(luò)防御。在他們這樣做之前，網(wǎng)絡(luò)保險(xiǎn)作為轉(zhuǎn)移和降低風(fēng)險(xiǎn)的唯一機(jī)制，并不是正確的選擇。”

 

 

選擇不投資網(wǎng)絡(luò)保險(xiǎn)的最后一個(gè)決定因素是，可以通過(guò)改善企業(yè)的整體安全態(tài)勢(shì)和網(wǎng)絡(luò)彈性來(lái)更好地利用資金。JUMPSEC公司的競(jìng)標(biāo)經(jīng)理Sean Moran在一篇博客文章中寫道:“零保險(xiǎn)覆蓋率可能令人生畏，但取消保險(xiǎn)提供的安全保障可能正是企業(yè)所需要的——這可能讓他們的業(yè)務(wù)更安全。不是通過(guò)檢查合規(guī)性框架來(lái)滿足保險(xiǎn)公司的要求，也不是依靠最低標(biāo)準(zhǔn)的年度測(cè)試，而是通過(guò)實(shí)施控制措施來(lái)提高其抵御攻擊的能力。”

 

他補(bǔ)充說(shuō)，在2023年選擇不使用網(wǎng)絡(luò)保險(xiǎn)的企業(yè)應(yīng)該重新投資于他們的整體網(wǎng)絡(luò)防御能力，確保可以最大限度地減少漏洞的潛在影響。這包括測(cè)試備份、訪問(wèn)管理和網(wǎng)絡(luò)分割、完善的恢復(fù)計(jì)劃、評(píng)估哪些業(yè)務(wù)組件最有可能成為網(wǎng)絡(luò)攻擊者的目標(biāo)，以及有針對(duì)性地預(yù)防、檢測(cè)和響應(yīng)控制。

 

 

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智（www.cioall.com）。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。