信息化觀察網(wǎng)

本文來自微信公眾號“數(shù)世咨詢”，作者/nana。

大多數(shù)網(wǎng)絡安全專業(yè)人員都清楚，網(wǎng)絡安全事件每年都在增長。所以，網(wǎng)絡安全保險業(yè)務同樣增長強勁也就不足為奇了。市場分析機構Markets and Markets和Polaris Market Research的數(shù)據(jù)顯示，從2021年到2022年，全球網(wǎng)絡保險市場從101億美元增長到了119億美元，且預計到2027年將會增長至290億美元之多。

預計的增長形勢顯然不便宜，所以很多公司，尤其是小公司，仍然沒有購買網(wǎng)絡安全保險，且可能在遭遇網(wǎng)絡安全事件的切膚之痛之前都不會考慮購買。但如果不出意外的話，他們最終還是會坐到桌前，跟有資質的保險公司商談網(wǎng)絡安全保單的價格。畢竟，遭遇網(wǎng)絡安全事件基本上是大概率事件了。

當然，正如統(tǒng)計數(shù)據(jù)所清楚表明的，北美這一最大單一市場里的許多公司已然邁出了購買網(wǎng)絡保險這一步。當今這種情形下，缺乏網(wǎng)絡保護真的很令人頭疼，購買費用高也得認了。保險經(jīng)紀商Marsh表示，2022年第四季度，美國的網(wǎng)絡保險價格同比上漲了28%。盡管增長如此迅猛，但相比去年早些時候還是有所下降，這主要是因為更多公司實施了行之有效的網(wǎng)絡安全控制措施。

即便如此，大多數(shù)網(wǎng)絡保險分析師認為，隨著企業(yè)界繼續(xù)越來越依賴信息技術和數(shù)字設備，隨著勒索軟件和網(wǎng)絡入侵不斷升級，網(wǎng)絡保險的價格將繼續(xù)上漲。

這就引出了網(wǎng)絡安全保險是否物有所值的問題。

答案是：網(wǎng)絡安全保險物有所值，至少目前是這樣。

盡管價格飆升，但很難說網(wǎng)絡安全保險就比不上壓根兒不買網(wǎng)絡保險，因為該險種通常能大大降低常見網(wǎng)絡安全事件的成本。而且，對于小企業(yè)而言，網(wǎng)絡保險還能防止企業(yè)在發(fā)生網(wǎng)絡安全事件時走向倒閉。（有調查表明，遭遇網(wǎng)絡安全事件的小公司超過一半都在六個月內(nèi)倒閉了。）

此外，某些情況下，公司可以采取一些超出保險公司當前預期的預防措施來稍微削減點成本。例如，他們可以在IT系統(tǒng)中實現(xiàn)所謂的最小權限策略，僅授予部分權限在有限時間內(nèi)進行特定活動，而不是授出廣泛的長期訪問權限，從而緩解內(nèi)部人威脅。公司還可以轉嫁第三方保險，第三方保險可以在客戶、供應商或合作伙伴起訴公司放任數(shù)據(jù)泄露發(fā)生時保護公司。

至少，在數(shù)字優(yōu)先的世界里，一些網(wǎng)絡保險還是非常必要的。我們的生活和企業(yè)界的方方面面都在數(shù)字化，令網(wǎng)絡保險從奢侈品變成了必需品。Blackberry的一項調查顯示，網(wǎng)絡安全事件威脅十分普遍，60%的企業(yè)表示，如果供應商沒有購買網(wǎng)絡保險，他們會重新考慮要不要建立合作關系。

網(wǎng)絡安全事件很容易造成巨大的收入損失。IT系統(tǒng)宕機可導致工作中斷，潛在客戶很可能就去探索其他選擇了。損失知識產(chǎn)權和損害公司品牌聲譽的事也有可能發(fā)生。此外，如果憤怒的客戶提起訴訟，往往還會造成法律影響。有時候甚至政府實體都會參與其中。

網(wǎng)絡保險的起源可追溯至起碼25年前。那個時候，一些科技公司購買了錯誤與遺漏（E&O）保險，該保險承保提供服務過程中的專業(yè)錯誤所引發(fā)的索賠。隨著時間的推移，承保范圍逐漸擴大，涵蓋了計算機系統(tǒng)未授權訪問和數(shù)據(jù)破壞等。

再后來，保單里又增加了其他的承保項目，例如機密信息泄露。零售商和醫(yī)院這種手握大量客戶數(shù)據(jù)卻不需要錯漏險的機構對此類保險尤為感興趣。這些公司需要一份只承保數(shù)據(jù)泄露的獨立保單。今天的網(wǎng)絡安全保單便脫胎于此。

現(xiàn)在網(wǎng)絡保險的成本部分基于網(wǎng)絡攻擊的頻率、嚴重程度和所造成的損失，而所有這些都在上升。保險公司開始挑投保人和投保內(nèi)容了。近些年來，對于學術機構和醫(yī)療保健行業(yè)等高風險組織和行業(yè)，很多保險公司調低了保險限額并/或提高了保費。

保險公司還收緊了保單條款和條件，希望日漸主要與能展現(xiàn)較強網(wǎng)絡安全成熟度的實體合作。當下他們可能希望看到的是特定安全軟件已就位，且有專職網(wǎng)絡安全團隊和/或與網(wǎng)絡安全管理公司建立了緊密合作關系。

在尋求網(wǎng)絡保險之前，企業(yè)需要正式確立自己的安全措施。其中，保險商希望企業(yè)定期測試異地和本地備份，且制定有網(wǎng)絡事件響應計劃。

可以預見，在滿足這些要求方面，資源較少的小公司比大公司面臨更多的困難?！度A爾街日報》最近針對網(wǎng)絡安全專業(yè)人士進行的一項調查指出，只有52%的小企業(yè)擁有網(wǎng)絡安全保險，而大企業(yè)這一比例為75%。勞動力短缺、供應緊張和通貨膨脹，甚至新冠肺炎疫情的持續(xù)影響，都給小企業(yè)帶來了更大傷害。

小企業(yè)投保時，保險公司可能會在已設置何種防護措施方面給予他們更多回旋余地，但通常仍要求員工和第三方采用多因素身份驗證。向銷售保險的科技公司（所謂的“保險科技公司”，重度依賴人工智能）購買保險對小企業(yè)而言可能更好一些。但此類保險科技公司的客戶仍面臨著不斷改善自身網(wǎng)絡安全狀況才能繼續(xù)投保的壓力。

盡管很多保險公司認為他們不能不投保網(wǎng)絡風險，但近期可能會出現(xiàn)更多阻礙。美國政府問責局（GAO）最近的一份報告表明，目前尚不確定網(wǎng)絡保險是否能達到普惠的程度。GAO還補充道：“一些保險公司已經(jīng)開始限制為某些關鍵基礎設施行業(yè)提供的保險范圍了。”

隨著保險費率不斷攀升，保險范圍越收越窄，網(wǎng)絡保險可能變得越來越難以獲得。希望事情不會變得如此糟糕，也希望如果真的到了這步田地，政府會介入幫助，提供網(wǎng)絡保險補貼什么的。