网络保险(Cyber insurance)或网络责任保险覆盖(Cyber liability insurance cover ,CLIC)在中国还是新鲜事物,但在美国市场已经有差不多十年的时间了。尽管少为人知,但近年来发展势头增加加快。 这个话题在RSAC 2014和RSAC 2015都有出现,今年的RSAC 2016一共有4个话题,其中vArmour的SVP兼首席网络安全战略官Mark Weatherford做的《Cybersecurity Insurance: The Catalyst We’ve Been Waiting For》报告分析了网络保险可能会成为企业重视安全并激励投入的一剂催化剂。
首先我们先了解一下什么是网络保险。
首先,国外对安全事件强制公开有成熟的法律保证,美国50个州中有46个州颁布了在发生数据泄露事件时需强制通知客户,英国也在起草《欧盟数据保护规定EU Data Protection Regulation》,包括了数据泄露的强制通知。
企业为了减少这类安全事件,一般会部署相应的安全机制,但再强大的系统也可能被攻破,一旦发生安全事件,企业就需要告知用户,采取相关的补救措施。这种情况下,对于企业自有损失包括:取证调查,危机公关,法律咨询,通知费用,系统宕机的业务损失;对于企业的客户,则面临重发信用卡、应对管理机构询问,数据泄露等损失。这么大的损失,在现实社会中可以通过保险补偿全部或部分损失,而同样在网络空间,也可以通过网络保险解决企业在信息安全方面遇到“不可抗力”的难题。
网络保险覆盖主要包含四大类:
1) 技术错误、失误(Errors and Omissions)
例如IT企业的产品开发延期,产品集成出现错误,由此造成的经济损失;
2) 版权、商标等知识产权(Media Liability)
例如与其他企业发生了知识产权纠纷,需要法律方面的费用、赔偿等;
3) 网络、信息安全
例如企业存储的商业机密或用户数据泄露、数据丢失、病毒传播和勒索等造成的损失。
关于勒索,很多企业曾经受到勒索,如不支付一定费用,其网站就被拒绝服务攻击;2013年出现的勒索软件Cryptowall半年绑架了52.5亿份文件,其v3版本造成了3.25亿美元的损失,之前有加密勒索、ddos勒索)。 关于数据丢失,例如,规模仅次于沃尔玛的第二大零售商Target公司电脑网络在2013年被黑客侵入,损失高达2.64亿美元。
IBM 报告认为每年会出现9千万安全事件,无论是上述哪种事件,企业很可能无法承受如此巨大的损失,此时保险就成为了一种必要的补救手段,减少企业经济损失。事实上,据统计,在2014年,至少有50家保险公司提供网络保险产品,而90%的网络保险费用集中在数据泄露方面。
4) 隐私数据
同样都是数据层面的内容,隐私数据主要是指现实环境中的失误,如丢失存有敏感数据的笔记本,员工将带有客户信息邮件发错,诸如此类。
上述四类的具体内容如下图所示,综合这四类保险类型,网络保险公司的赔偿费用包括有:对受影响客户的通知和系统修复费用、安全事件的调查取证费用、危机管理费用、业务中断造成损失的费用、支付勒索的费用、受损数据还原的费用、补偿入侵造成的账户财务损失的费用,以及补偿电信诈骗造成的损失的费用。
网络保险所覆盖的种类、面对对象和子类
回到RSA的这个话题,为什么网络保险成为安全的催化剂呢?主要有三个方面:
1) 企业侧 随着攻击事件的增加,管理层对各类安全事件产生恐惧,但不清楚安全。所以企业开始注意安全保险这一新事物,如果保险能从经济上确保安全事件不影响企业的整体营收,那么在网络保险方面投入资源是有很大意义的,企业的期望也在随之上升。
2) 管理和立法机构 如前所述,美国和欧洲的立法机构开始制定相关法律,管理机构也开始强化合规性检查,这也从根本上推动了网络保险的发展。
这意味着网络保险公司将大发利市。路透社引用一家咨询公司的研究报告报道说,网络保险的市场将在今后5年内扩大三倍,达到大约75亿美元。
当网络保险普遍被企业所接受时,如何提高企业安全水平,减少针对企业的安全事件,就是摆在保险公司面前的现实问题。目前的常见的保险风险评估都是以调查问卷的方式,缺少必要的技术手段,也就是说缺少精细化的手段,去评估某个企业的安全水平,那么也就无法给出量化指标,从而指定准确的保费。
正是遇到了这些问题,Mark提到网络保险今后发展的一些方向主要有: 1 持续监控将成为新的常态,实时感知威胁和脆弱性,以更好地支持对机构风险的评估
2 在1的前提下,基于动态的威胁和脆弱性环境中,投保费用每月、每天、甚至每小时都会变化
3 保险公司将会与安全厂商建立新的更紧密的关系
笔者认为,随着网络保险的普及,会出现两个发展趋势:
1) 会出现研究且系统安全度量的影响因素和体系模型,研究攻击技术的破坏能力量化评估机制。只有存在精细化、准确的安全度量指标,才有可能将整个网络保险科学化和产业化 2) 如脆弱性评估、安全咨询等服务会受到保险公司的重视,会催生多种定制化的长期服务,以评估企业的整体安全状态。
回到国内,国内由于法律法规不够健全,所以企业通常没有动力主动公布相关安全事件,所以网络和信息安全方面的保险相对落后。除了金融、运营商、政府和能源等行业的大型企业有安全需求外,很多中小企业没有部署安全产品或安全机制,出现安全事件后没有较大损失,更没有动力去谈网络保险。
当然,也有企业在尝试相关的业务,如2016年1月中旬,阿里云和众安保险共同提供数据安全险,为企业虚拟资产数据的安全承保。也许其初衷是为了实现安全增值,推广阿里云服务,但无论如何,中国的保险公司也开始做这方面的尝试,相信在《网络安全法》enter link description here颁布后,特别是诸如“及时向用户告知安全缺陷、漏洞等风险”等条款的执行,会推动企业重视自身的安全保障。此时,安全厂商的安全产品和保险公司的网络保险,可共同提供技术和资金上的保障,使企业更愿意在的安全防护方面投入。
最后需要提到的是,虽然作为企业安全防护的最后一道防线,网络保险可以避免企业造成巨大的损失,但应该要意识到保险本身不是万能的,如网络保险不能解决如信誉受损、未来营收受影响内部系统需改进,以及知识产权丢失这些问题。所以采购安全产品,部署安全方案,使用安全服务,还是企业在安全防护方面应该考虑的第一要素。
如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669