2022年12月,苏黎世银行的首席执行官Mario Greco表示,遭受网络攻击的企业正变得难以保险,他指出,政府部门需要建立公私计划,以应对无法量化的系统性网络风险,就像一些司法管辖区应对地震或恐怖袭击的风险一样。一些银行和企业都不擅长规避网络风险,这确实说明了围绕网络保险及其对一些企业的可行性的不确定性越来越大。
Telstra Purple公司的网络安全与网络主管、ClubCISO顾问委员会成员Manoj Bhatt表示,“当一些行业热门话题得到人们的关注时,它们最终可能会被广泛谈论,但却没有被广泛理解,网络保险就是这种情况。随着威胁载体的增加和发展,网络保险产品也会发生很多变化,这意味着,从商业和安全的角度来看,花费时间充分衡量一份特定网络保险政策将为企业带来的价值,以及保险范围可能会以多快的速度老化,这很重要。”
以下是企业可能想要避免或推迟投资网络保险的7个原因。
1.事故补救可能比保险费用便宜
SecAlliance公司的情报总监Mick Reynolds表示,在考虑保险政策时,企业可能需要立即考虑两件事,即业务成本和收益。他说,“在成本方面,最近全球范围内大量的勒索软件攻击导致希望将此类事件纳入保险范围的企业的保费大幅增加。在某些情况下,续签保险合同的报价从大约12万美元上涨到超过180万美元。保费大规模增长,而承保范围却没有明显增加,企业董事会风险委员会现在开始对其提供的整体价值产生了怀疑。”
至于对企业的好处,保险主要用于弥补重大网络事件期间的损失,而且99%的情况下,这些损失都是可量化的,主要与响应和恢复成本有关,Reynolds说,“考虑到大部分的网络事件能够以低于当前网络保险高昂保费的成本进行补救,企业现在质疑此类投资的价值是可以理解的。虽然勒索软件攻击仍在频繁发生,但运营弹性功能正在提高企业在此类事件中生存的能力。”
Reynolds补充说,网络安全成熟度的不断提高意味着,对这类事件只需要覆盖间接成本的风险,例如监管罚款、市场地位丧失和客户赔偿。Reynolds表示,虽然这些间接成本如果不被网络保险覆盖,可能会对企业的流动性产生巨大影响,但考虑到表现出来的可能性很低,它们可能会被视为不合理的不确定事件,不一定需要支付高额保费。
Bhatt补充说,也有一些情况,保单费用将超过索赔的成本,因此考虑在保险流程之外处理攻击可能更容易。
2.勒索软件的覆盖范围日益缩小
勒索软件攻击是企业面临的最大网络威胁之一,因为它们普遍存在,越来越复杂,并有可能造成广泛的破坏。近年来,勒索软件攻击带来的风险不断增加,这使得网络保险更具吸引力。然而,Halcyon公司的联合创始人JonMiller表示,大多数保险公司不再承保勒索软件攻击的所有潜在损失,这意味着投资专门用于勒索软件保护的网络保险可能是一个代价高昂的错误。
他说,“由于勒索软件攻击中的变量太多,保险公司发现很难量化勒索软件的真实风险,从而准确设定保费。对于提供勒索软件保险的网络保险,大多数将不再包括赎金支付(它们可能变化太大,所以很难精确计算)。只有在企业受到勒索软件攻击后,他们才会发现该政策只能覆盖一小部分补救和恢复成本。”
3.民族国家攻击的排除和归因挑战
与政府支持的网络攻击相关的排除条款也给网络保险领域蒙上了一层阴影,并可能使企业质疑保单的可行性。保险市场伦敦劳合社(Lloyd’s of London)在去年宣布,从2023年起,网络保险不包括国家支持的“灾难性”攻击。在2022年8月16日发布的一份市场简报中,伦敦劳合社表示,它仍然强烈支持网络攻击保险,但认识到与网络相关的业务是一种不断变化的风险。因此,该公司将要求其所有保险集团适用一项适当的条款,排除因任何国家支持的网络攻击而造成的损失的责任。
合规性服务商Cordery公司的律师兼合伙人Jonathan Armstrong表示,企业面临的挑战之一是确定攻击归咎于某个民族国家。他说,“虽然在专家的帮助下,可以掌握民族国家参与的迹象,但我们知道这很难确定。正是这些困难可能导致诉讼,因为保险公司可能认为这是民族国家的参与,但被保险人可能认为情况并非如此。”
在分析伦敦劳合社决定在2022年8月将民族国家攻击排除在保险范围之外时,保险商Red Goat公司的网络安全顾问Lisa Forte指出,保险公司可能会单方面决定哪些是民族国家攻击以及哪些不是。Forte写道:“在对这一决定的大量分析中,有人声称,这次袭击不一定需要官方认定,就能被排除在保单范围之外,因此,保险公司可以声称这次袭击被排除在外,因为将其归咎于一个民族国家是‘合理的’。这也许不是我们想要的结果。”
4.企业已经为网络风险进行了自我保险
调研机构IDC公司的风险、咨询、管理和隐私研究主管Philip D.Harris表示,一些企业可能希望避免支付网络保险费用,因为他们已经受益于某些类型的保险,可以从网络风险的角度保护他们。他说,“一些大型企业甚至是一些地方政府都能够从为这类活动预留的已经建立的资金池中提取资金。大型企业可以留出这些资金,以应对必须处理的重大事件。同样,完全无力支付网络保险的一些地方政府可能会自行组建财团,每个财团出资一笔资金,用于应对重大网络事件。”
5.网络保险投资基于保险公司的调查问卷
Harris还警告说,如果企业仅仅是根据完成网络保险公司的调查问卷来确定其安全状况,就不要在网络保险政策方面支出费用。他说:“网络保险公司要求客户填写网络安全调查问卷,最终只能获得有关被保险人安全状况的有限时间点的视图。那些没有专业网络安全服务供应商完成详细评估,以全面了解缺陷、补救计划和持续改进路线图的企业,依赖于某种程度上通用的安全问卷,这对他们自己是不利的。”
他认为,保险公司应该只专注于保险业务,让合格的网络安全服务供应商来评估被保险人的网络安全状况。有了这种详细的评估,保险公司就可以认真审视客户,并可能提供更合理的保费。
6.无法遵守政策要求
Miller表示,为了使网络保险政策有效,企业需要对其安全计划进行广泛的核算。他说,“如果企业在提交索赔时不合规,例如它没有及时应用补丁,或者如果它错误配置了安全应用程序,将会很快发现它的政策覆盖是无用的。”Norm Cyber公司的首席运营官Pete Bowers对此表示赞同,他说,“企业必须制定一个全面的计划,包括人员、流程和技术控制,以加强其整体网络防御。在他们这样做之前,网络保险作为转移和降低风险的唯一机制,并不是正确的选择。”
7.投资最好用于改善安全状况
选择不投资网络保险的最后一个决定因素是,可以通过改善企业的整体安全态势和网络弹性来更好地利用资金。JUMPSEC公司的竞标经理Sean Moran在一篇博客文章中写道:“零保险覆盖率可能令人生畏,但取消保险提供的安全保障可能正是企业所需要的——这可能让他们的业务更安全。不是通过检查合规性框架来满足保险公司的要求,也不是依靠最低标准的年度测试,而是通过实施控制措施来提高其抵御攻击的能力。”
他补充说,在2023年选择不使用网络保险的企业应该重新投资于他们的整体网络防御能力,确保可以最大限度地减少漏洞的潜在影响。这包括测试备份、访问管理和网络分割、完善的恢复计划、评估哪些业务组件最有可能成为网络攻击者的目标,以及有针对性地预防、检测和响应控制。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号