网络保险是什么?其意义又在哪里?
网络 保险无法保护大家的企业免受攻击侵害,但它却能够保证企业在遭遇严重安全事件时不致陷入巨额财产损失。
互 联网平台之上的技术、社交媒体与交易已经成为众多企业实现业务并对接客户的重要手段。然而,这些载体同时也成为网络攻击的实施渠道。除了磨刀霍霍的黑客与 网络罪犯,由业内人士乃至民族国家发起的网络攻击活动亦时有发生,并可能导致各类规模的企业遭遇额度不等的经济损失。作为风险管理计划的关键组成部分,企 业通常必须决定哪些风险需要回避,而哪些则需要接受、控制或者转移。在此之中,转移风险的工作正是网络保险的专长所在。
网络保险 是什么?
所谓网络保险,也被称为网络风险保险或者网络投保责任险(简称CLIC),旨在通过承担网络相关安全事故或同类事件造成的损失帮助企业缓解风险。网络保险覆盖主要包含以下四大类 :
1) 技术错误、失误(Errors and Omissions)
例如IT企业的产品开发延期,产品集成出现错误,由此造成的经济损失;
2) 版权、商标等知识产权(Media Liability)
例如与其他企业发生了知识产权纠纷,需要法律方面的费用、赔偿等;
3) 网络安全(Network Security)
网络、信息安全例如企业存储的商业机密或用户数据泄露、数据丢失、病毒传播和勒索等造成的损失。
4) 隐私(Privacy)
隐私数据同样都是数据层面的内容,隐私数据主要是指现实环境中的失误,如丢失存有敏感数据的笔记本,员工将带有客户信息邮件发错,诸如此类。
作为源自错误及遗漏(简称E&O)保险的新险种,网络保险诞生于2005年并迅速发展壮大,预计其市场总值到2020年将达到75亿美元。根据普华永道的统计,目前约有三分之一美国企业已经购买了某种类型的网络保险,而在我们中国还是新鲜事物。
这些数字表明企业确实需要网络保险,但其能够涵盖哪些方面?网络保险通常涉及第一方与第三方索赔费用。虽然承诺策略中并未制定具体标准,但以下几项属于目前的常见可报销费用:
· 调查 : 要了解当前状况、如何修复问题以及如何避免未来继续发生同类事故,调查取证工作是非常必要的。调查往往涉及第三方安全厂商提供的服务,并需要与执法部门乃至FBI进行协作。
· 商业损失 : 网络保险策略中可能包含与错误及遗漏策略类似的条款(由疏漏等原因造成错误),同时涵盖由网络停机、业务中断、数据丢失恢复以及危机管理等所造成的经济损失。
· 隐私与 通知: 其中包括向客户及其他受影响方提供数据泄露通知的要求。这些要求源自众多司法辖区内的法律条文,同时企业亦需要向客户及时提供已经或者可能存在信用监督违反情况的提示。
· 诉讼与 勒索: 其中包括机密信息与知识产权、法律裁决及监管罚款等造成的相关支出。其中亦包括由勒索软件造成的网络勒索成本。
需要强调的是,网络保险业务仍处于发展阶段。网络风险快速变化,而企业往往出于回避负面影响及损害客户信任的考虑而倾向于隐瞒安全事故。因此,网络保险服务供应商往往很难获得准确评估攻击活动具体损失的充分数据。实际上,网络攻击的真正风险目前尚未得到彻底理解。
作为网络保险买家,我们该注意什么
大 多数知名保险企业都开始提供网络保险项目,其中国外包括安联、丘博以及旅行者保险等等,而国内在2016年1月中旬,阿里云和众安保险共同提供数据安全 险,为企业虚拟资产数据的安全承保。保险行业的观察者们认为,客户将很快意识到网络保险应当成为每家企业保险产品线中的重要组成部分。然而,与其它商业保 险一样,网络保险的从业方与具体策略也会随着具体情况产生变化。
在比较不同保险厂商的策略条款时,大家应当确保其能够涵盖之前提到的全部条目,同时针对以下特定情况及限制提出询问:
· 保险公司是否提供一种或多种网络保险策略,或者所谓多种策略只是对单一现有策略的简单延伸?多数情况下,选择全面的单一策略往往最为可靠。另外,大家需要了解策略内容能否根据企业实际需求进行定制。
· 免赔额如何设定?请确保对不同保险公司间的免赔额度进行比较,正如处理健康、车辆与设施保险时一样。
· 策略的涵盖能力与限定条款是否同时适用于第一方与第三方?举例来说,这项策略是否涵盖第三方服务供应商?关于这一点,大家还应当了解服务供应商是否也自行购买了网络保险,其对于我们的协议又会带来哪些影响。
· 该项策略是否能够涵盖一切令企业成为受害者的攻击活动?抑或是只适用于特定几种攻击活动?
· 策略是否涵盖由员工造成的非恶意活动?E&O策略能够涵盖这类情况,网络保险同样应该适用。
· 策略是否涵盖社交工程以及网络攻击?社交工程行为在各类攻击活动中都扮演着重要角色,具体包括钓鱼攻击、鱼叉式钓鱼攻击以及高级待续性威胁(简称APT)等。
· APT的存在周期往往很长,可能从几个月到几年不等,那么策略能否涵盖整个时间段?
提示: 很多保险公司还提供涵盖条目列表以帮助客户与其它竞争对手的服务进行比较。请在着手购买之前,认真检查这类项目清单。
保险公司在进行适用范畴决策时会考虑哪些因素?
保 险公司希望企业客户能够评估自身遭受网络攻击的可能性(创建网络风险监控方案),同时通过启用防御及控制等最佳实践以保护自身免受攻击影响。另外,对员工 的安全意识教育,特别是针对钓鱼与社交工程活动的宣传,也应该成为保护规划的组成部分。最佳实践的普及能够帮助企业客户执行威胁评估(甚至在监管机构并未 要求的情况下实现)。再有,使用威胁情报服务以获取关于零日漏洞及针对性攻击的最新信息,同时引入白帽黑客服务以主动发现业务环境内部的安全漏洞。
注意:威胁情报与白帽黑客服务对于多数小型企业来说都会带来难以承受的成本支出。但小型企业可以选择某些漏洞评估工具或者利用渗透测试服务来检测外部网络防御水平,从而在使用网络保险产品的同时进一步提升安全性。
由于网络保险产品正变得愈发规范,因此保险公司可能要求企业客户将审计流程及管理引入进来以满足其投保条件。如果保险公司方面同意提供服务,但具体额度水平低于甚至远低于我们的心理预期,大家也不必太过惊讶――继续寻找其它保险公司即可。
让网络保险为业务保驾护航
每一家存储并保留客户信息、收集在线支付信息或者使用云服务的企业,都应当考虑将网络保险服务纳入预算计划。另外,随着接入企业网络的设备数量快速增长,恶意人士将有更多机会侵入业务资产。
针 对企业的攻击活动正在快速增长。尽管不少小型企业认为自己尚处于安全地带,但赛门铁克公司的统计结果发现,2015年年内三成以上钓鱼攻击指向的是员工数 量低于250人的小型企业。赛门铁克公司还在其《2016年互联网安全威胁报告》中指出,2015年年内43%的攻击活动将目标设定为小型企业。
从 宏观角度来看,战略与国际研究中心于2014年发布的年度预测指出,当年全球网络犯罪活动造成的经济损失在3750亿美元到5750亿美元之间。尽管信息 来源不同,但单一数据泄露事故给大型企业造成的平均损失超过300万美元。这意味着每家企业都应当划定其为网络风险准备的资金数额,或者利用网络保险来抵 消这笔可观的额外支出。
需要注意的是,网络保险能够涵盖第一方损失与第三方索赔,但一般性责任保险则只涵盖财产损失。索尼公司2011年遭 受到的PlayStation黑客破坏就是一例,其硬性损失高达1.71亿美元――当时索尼方面本以为这笔损失应该由保险公司承担,但苏黎世美国保险公司 指出索尼选定的保险策略只涵盖实体财产损失,而不包括网络破坏后果。
在费用方面,网络保险服务会根据企业所在行业的类型及所提供服务、数据 泄露风险、现有安全状况、策略内容以及年度营收等作为保费设计依据。作为示例,目前咨询企业、报税公司以及年营收在10万到50万美元间的小型企业的保费 可能在800到1200美元之间,而营收达数百万美元的企业则可能需要承担1万到10万美元之间的保费额度。
马上建立起网络风险规划
作 为理想的起点,大家应当首先为企业建立起网络风险规划,同时制定一份事故清单以涵盖需要应对的各类突发情况。在此之后,大家可以预估安全事故造成的第三方 损失。许多保险公司都在其网站上提供保费计算器,旨在帮助企业客户制定涵盖范围及成本估算结果。接下来,大家应当对不同网络保险供应商进行研究,同时通过 行业协会及商业机构获取相关的共享信息。
最后需要大家注意的是,网络保险作为企业安全防护的最后一道防线,虽然可以避免企业造成巨大的损 失,但应该要意识到保险本身不是万能的,如网络保险不能解决如企业信誉受损、未来营收受影响内部系统需改进,以及知识产权丢失或被窃取的这些问题。所以采 购安全防护产品,部署安全解决方案,使用信息安全服务,还是企业在安全防护方面应该考虑的第一要素,如果您需要了解更多的信息安全产品与服务可以致电 400-6059-110进行咨询。
E安全/文 转载请注明E安全
E安全微信公众号 : EAQapp
E安全客服&投稿邮箱 :eapp@easyaq.com