网络风险建模商Kovrr公司首席技术官Avi Bashan:网络保险在上世纪90年代就已经存在,自从勒索软件攻击日益增长并不时成为头条新闻以来,人们对网络保险的看法就有所不同了。保险公司在过去通常在网络保单上采用现金流承保,这意味着他们会采用很多保单来为他们的业务账簿增加保费。因此,企业通常会以相对优惠的价格获得全面的网络覆盖,至少与当今的标准相比是这样。勒索软件攻击在很大程度上引起了保险公司的担忧,因此大幅减少了服务覆盖范围并提高了保费。有些保险公司甚至考虑不再提供网络保险服务。
提供网络保险服务的保险公司如今就企业风险状况提出更为谨慎的问题,并增加了被保险人更多的责任。这消除了某些行为、财产、损坏类型或位置的覆盖范围。保险公司也在努力使其业务账簿多样化,以便对第三方提供商的单一勒索软件攻击不会造成灾难性损失。在SolarWinds网络攻击期间,有许多被保险人使用这一软件,可以想象一下保险公司为此赔付的保险费用有多高。灾难性事件的经济损失可能如此之大,以至于保险公司可能会收取10年的保费,但遭遇一次网络攻击就会损失这些利润。
这一战略变化对希望为其资产投保的企业有何影响?
Avi Bashan:网络攻击使企业处于非常困难的境地。与此同时,他们感到比以往任何时候都更容易受到勒索软件攻击,保险公司到了网络保险比以前更昂贵的地步,因此要求大多数企业投保有更明确的理由。此外,涵盖范围广泛的网络事故的保单也越来越少,这意味着企业确实需要量化其网络风险,并了解对企业的潜在影响。只有这样,他们才能考虑在缓解和转移风险方面花费更多费用。企业的首席信息安全官、董事会和其他高管都需要了解网络保险和风险转移的理想组合,最终将会节省费用。
保险公司和企业有没有折衷的办法?
Avi Bashan:网络保险的未来发展在于基于持续监控和分析企业网络风险态势的风险/回报机制。这与保险公司处理汽车或房产保险的方式没有太大区别。许多保险公司为具有良好运营历史的被保险人以及进行某些装修(例如翻修屋顶)的房主提供折扣。网络保险不太可能恢复到勒索软件攻击之前的范围和定价方式,因此企业有责任确保向保险公司充分传达其网络安全态势。
网络风险增加如何改变业务部门对强大安全态势重要性的整体看法?
Avi Bashan:很多企业开始明白,量化网络风险是他们整体风险管理的关键。量化网络风险意味着预测损失频率和严重程度,以做出网络风险融资决策。就在不久前,企业首席信息安全官不得不竭尽全力证明他们每年的网络安全预算是合理的。企业的IT和业务部门开始使用相同的语言,并从财务角度看待网络风险。量化财务的网络风险也将帮助业务部门在这两个方面结合一起,了解网络风险的本质是运营费用而不是技术费用。这将是进入2022年及以后的加速趋势。
对于2022年可以期待什么?保险业将如何适应日益增长的威胁?
Avi Bashan:随着企业试图更好地了解网络攻击对其业务的潜在财务影响,并优先考虑对网络安全和网络保险的投资,保险公司在网络覆盖方面缩小服务范围的这种趋势将推动网络风险量化的大量采用。除了量化网络风险之外,勒索软件的大规模宣传应该使首席信息安全官比过去更容易获得更高的安全预算。
在保险方面,他们将更多地投资于为被保险人承保网络风险、投资组合管理和高端网络安全风险缓解服务的工具。可能在2022年开始实现的一件事是不断发展的网络保险法规以推动标准化。这方面的任何进展都应有助于企业更好地了解他们在传达网络风险状况方面的期望,以及他们在网络覆盖范围方面的期望。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号