信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”，作者/recco。

隨著勒索軟件、網(wǎng)絡(luò)釣魚(yú)和拒絕服務(wù)攻擊的頻率和嚴(yán)重程度的增加，網(wǎng)絡(luò)保險(xiǎn)的需求也在增加。根據(jù)美國(guó)全國(guó)保險(xiǎn)委員會(huì)于2022年10月發(fā)布的備忘錄，2021記錄的直接書(shū)面保費(fèi)約為65億美元，較上年增長(zhǎng)61%。許多企業(yè)用戶認(rèn)為，網(wǎng)絡(luò)保險(xiǎn)對(duì)公司的風(fēng)險(xiǎn)管理戰(zhàn)略至關(guān)重要，并且越來(lái)越多的組織要求其業(yè)務(wù)合作伙伴擁有網(wǎng)絡(luò)方面的保障。

然而，保單成本正在上升，網(wǎng)絡(luò)保險(xiǎn)的門檻在提高。參保人要提供更多網(wǎng)絡(luò)安全戰(zhàn)略和舉措的證據(jù)，才能符合參保條件。同時(shí)，也就意味著CISO在其中扮演著重要角色。

“這是一場(chǎng)需要在高管層進(jìn)行的對(duì)話，包括首席執(zhí)行官、風(fēng)險(xiǎn)管理人員和CISO。他們都需要全面考慮風(fēng)險(xiǎn)管理戰(zhàn)略。”——FTI咨詢公司高級(jí)管理總監(jiān)Tracy Wilkison

網(wǎng)絡(luò)保險(xiǎn)的變化

最早期的網(wǎng)絡(luò)保險(xiǎn)可以追溯到20世紀(jì)90年代末，當(dāng)時(shí)的條款主要是依據(jù)傳統(tǒng)的保險(xiǎn)單來(lái)承保網(wǎng)絡(luò)事件。到了2015年左右，隨著越來(lái)越多的保險(xiǎn)公司開(kāi)始提供獨(dú)立的網(wǎng)絡(luò)保險(xiǎn)政策，情況發(fā)生了變化。

2017年NotPetya的大規(guī)模攻擊事件發(fā)生后，某些索賠遭到保險(xiǎn)公司的拒絕。理由是，攻擊是由民族國(guó)家支持的黑客攻擊應(yīng)被視為戰(zhàn)爭(zhēng)行為，因此符合戰(zhàn)爭(zhēng)除外條款。

兩起訴訟

制藥公司Merck&Co因其提交的全風(fēng)險(xiǎn)財(cái)產(chǎn)保險(xiǎn)損失（14億美元）被拒絕，起訴了保險(xiǎn)公司。2022年初，新澤西州法院裁定默克公司勝訴。

另一起案件中，跨國(guó)食品飲料公司Mondelez International2017年遭遇網(wǎng)絡(luò)攻擊，同樣在索賠被拒絕后，起訴了其保險(xiǎn)公司。該公司于2022年與其保險(xiǎn)公司Zurich American Insurance達(dá)成和解。

Forrester Research的高級(jí)分析師Alla Valente表示，網(wǎng)絡(luò)攻擊事件的不斷增加，因此而造成的損失不斷增加，促使企業(yè)越來(lái)越關(guān)注網(wǎng)絡(luò)保險(xiǎn)。在幾年前，網(wǎng)絡(luò)保險(xiǎn)還可以相對(duì)輕松的成單。但在近幾年，尤其是后疫情時(shí)代，勒索軟件造成業(yè)務(wù)中斷然后形成索賠的事件大幅增加，網(wǎng)絡(luò)保險(xiǎn)的門檻陡增。

此外，網(wǎng)絡(luò)事件與傳統(tǒng)的安全事件不同，后者往往在特定地點(diǎn)，事件可控?fù)p失可控，并且有長(zhǎng)期精算數(shù)據(jù)和可預(yù)測(cè)的參數(shù)。而網(wǎng)絡(luò)事件，其后果和恢復(fù)成本都很難預(yù)測(cè)。

“在每個(gè)組織現(xiàn)在所擁有的關(guān)系生態(tài)系統(tǒng)中，（攻擊）就像一種疾病，它從一個(gè)地方開(kāi)始，可以非常迅速地傳播。因此，如果一家公司成為網(wǎng)絡(luò)攻擊的受害者，與他們有業(yè)務(wù)往來(lái)的所有相關(guān)者都會(huì)受到影響。”

日益增長(zhǎng)的網(wǎng)絡(luò)保險(xiǎn)需求

保險(xiǎn)提供商Hiscox在其《2022年網(wǎng)絡(luò)準(zhǔn)備報(bào)告》中調(diào)查了8個(gè)國(guó)家的5181家不同規(guī)模和行業(yè)的公司，發(fā)現(xiàn)64%的公司將網(wǎng)絡(luò)保險(xiǎn)作為獨(dú)立保單或某種保單的一部分，而兩年前這一比例為58%。

特權(quán)訪問(wèn)管理軟件廠商Delinea在11月發(fā)布了一份網(wǎng)絡(luò)保險(xiǎn)報(bào)告，該報(bào)告基于對(duì)300名美國(guó)IT決策者的調(diào)查，發(fā)現(xiàn)上網(wǎng)絡(luò)保險(xiǎn)的公司，80%使用過(guò)其保單政策。另外，超過(guò)一半的公司不只一次的使用過(guò)保單。

另一方面，保險(xiǎn)公司不得不要求投保人具備較高水平的安全控制措施，并能證明這些控制措施有效，以應(yīng)對(duì)日益增多的賠付事件。例如，在前幾年只需要填寫(xiě)一份基本的問(wèn)卷，就可以得到一份保單。

但在這兩年，網(wǎng)絡(luò)保險(xiǎn)公司要求申請(qǐng)人提供更多信息，如SOC 2合規(guī)、多因素認(rèn)證、事件響應(yīng)、恢復(fù)計(jì)劃、安全意識(shí)培訓(xùn)和具體的安全策略等，保險(xiǎn)公司甚至?xí)付òl(fā)生網(wǎng)絡(luò)事件后聘用的律師、取證人、取證范圍，否則要么無(wú)法簽單，要么保險(xiǎn)范圍和額度十分有限。

為了得到保單，投保企業(yè)的網(wǎng)絡(luò)安全負(fù)責(zé)人可能會(huì)根據(jù)保險(xiǎn)公司的要求調(diào)整其安全策略，并將其納入他們的工作手冊(cè)。

即便成功簽訂了保單，也不意味著一定能夠得到賠償。投保人還要證明其安全團(tuán)隊(duì)遵守了所有安全流程，并在獲得保單時(shí)持續(xù)保持了在保單中所描述的安全級(jí)別。

以一起保險(xiǎn)賠付案為例，美國(guó)旅行者財(cái)產(chǎn)保險(xiǎn)公司于2022年向伊利諾伊州聯(lián)邦法院提起針對(duì)投保人國(guó)際控服(International Control Services)的訴訟。前者要求法院允許其撤銷其發(fā)給國(guó)際控服的一份保單，并無(wú)需支付勒索軟件索賠。因?yàn)楹笳卟⑽凑_部署使用多因素驗(yàn)證。

網(wǎng)絡(luò)保險(xiǎn)的門檻提高

勒索軟件和各種類型的攻擊事件激增，意味著保險(xiǎn)公司會(huì)支付更多的賠付成本，因此不僅要求投保人本身要具備更多、更嚴(yán)格的網(wǎng)絡(luò)安全措施，保險(xiǎn)公司還提高了保費(fèi)。

Delinea的調(diào)研報(bào)告顯示，約75%的調(diào)查對(duì)象在上次更新保單時(shí)看到保費(fèi)的增加。此外，在保險(xiǎn)覆蓋范圍上，約30%的投保人涵蓋了勒索軟件、贖金談判和贖金支付，48%的投保人涵蓋了數(shù)據(jù)恢復(fù)，約三分之一的投保人包括了響應(yīng)、監(jiān)管罰款和第三方損害賠償。

從長(zhǎng)遠(yuǎn)來(lái)看，網(wǎng)絡(luò)保險(xiǎn)值得嗎？

當(dāng)然，保險(xiǎn)政策可以幫助組織降低網(wǎng)絡(luò)風(fēng)險(xiǎn)、盡快恢復(fù)業(yè)務(wù)、彌補(bǔ)部分損失，甚至可以做為一個(gè)合作伙伴的優(yōu)先項(xiàng)，讓組織增強(qiáng)爭(zhēng)取業(yè)務(wù)的企業(yè)競(jìng)爭(zhēng)力。

即便如此，有些組織認(rèn)為，他們很難證明支付保費(fèi)的合理性，哪怕這可能會(huì)使他們失去一些商業(yè)機(jī)會(huì)。特別是一些中小型企業(yè)，無(wú)法滿足保險(xiǎn)公司要求的所有安全措施，自然也就談不上簽訂保單。還有一些人認(rèn)為，與其投資保險(xiǎn)，不如投資更多的安全項(xiàng)目。

因此，網(wǎng)絡(luò)保險(xiǎn)的選擇與投保人的網(wǎng)絡(luò)安全水平有關(guān)。對(duì)于那些缺乏識(shí)別入侵行為并采取恰當(dāng)保護(hù)措施能力客戶來(lái)說(shuō)，想要符合保單要求，安全外包可能是唯一的選項(xiàng)。但即便是那些擁有整個(gè)安全體系甚至是縱深防御、主動(dòng)防御能力的客戶而言，額外加一個(gè)經(jīng)濟(jì)補(bǔ)償，以減少可能發(fā)生的損失也未嘗不可。

在新的形勢(shì)下，安全負(fù)責(zé)人需要與風(fēng)險(xiǎn)共存，考慮法律影響，緊密與其他高管合作，評(píng)估組織的網(wǎng)絡(luò)安全態(tài)勢(shì)，闡明面臨的威脅形勢(shì)，以量化風(fēng)險(xiǎn)，并就未來(lái)的最佳路徑提出建議。

網(wǎng)絡(luò)保險(xiǎn)決策，其實(shí)質(zhì)上是某種成本效益分析。