信息化觀察網(wǎng)

本文來自微信公眾號“安全419”。

網(wǎng)絡安全保險興起于上世紀90年代末，當美國國際集團（AIG）在1997年推出第一份網(wǎng)絡保險單時，保險市場打開了一個新興險種領(lǐng)域。而國內(nèi)網(wǎng)絡安全保險起步略晚，目前仍處于市場探索期。網(wǎng)絡安全保險在國家政策和企業(yè)行政領(lǐng)導的推動下，正在成為商業(yè)安全戰(zhàn)略中不可或缺的部分。

據(jù)Delinea的最新研究調(diào)查，去年，47%的企業(yè)購買了網(wǎng)絡安全保險產(chǎn)品，較前年增加了4%。目前，每年數(shù)據(jù)泄露損失平均為45萬美元。面對日益增長的網(wǎng)絡安全威脅，任何企業(yè)都無法保證“萬無一失”。網(wǎng)絡安全保險作為企業(yè)實現(xiàn)風險轉(zhuǎn)移的有效手段之一，在支付法律咨詢服務、調(diào)查溯源安全事故、事后響應補救等方面可以發(fā)揮重要作用，同時使董事會、企業(yè)領(lǐng)導及投資者安心落意。

網(wǎng)絡保險需求激增承保要求趨嚴

隨著勒索軟件、網(wǎng)絡釣魚和DDoS的頻繁出現(xiàn)和日益嚴重，企業(yè)對網(wǎng)絡安全保險的需求也在不斷加大。不少企業(yè)制定了相關(guān)策略降低其網(wǎng)絡安全風險，預計未來全球網(wǎng)絡保險的市場價值可能會翻一番，達到403億美元。

一方面，這表明更多公司正在采取措施保護其業(yè)務。另一方面，也表明保險價格正在持續(xù)上漲。保險公司從客戶經(jīng)歷的安全事件中學習總結(jié)，向潛在客戶提供最具吸引力的條款并不斷提升其參保要求。就此，一項研究表明，需要半年或半年以上的時間才能獲保的企業(yè)數(shù)量增加。意向參與保險和續(xù)保的企業(yè)應該充分了解細則和承保范圍，以及索賠的具體規(guī)定。

縱然保險公司在不斷迭代更新其產(chǎn)品，但他們對有意向參與保險和已參與保險的企業(yè)的參保要求逐漸嚴格。

因此，企業(yè)在申請網(wǎng)絡安全保險時，應該明白獲得保單在很大程度上取決于現(xiàn)有的安全基礎(chǔ)設施和安全工作。那么，企業(yè)應如何提升自身安全水位?

企業(yè)申請網(wǎng)絡安全保險的前提條件

隨著保險服務商愈加了解網(wǎng)絡安全的復雜性，企業(yè)在申請之前進行網(wǎng)絡風險全面評估及治理已成為承保的先決條件。例如，美國的保險公司在確定具體細則時更多參考NIST網(wǎng)絡安全框架。因此，企業(yè)應該關(guān)注幾個關(guān)鍵領(lǐng)域，以增加參保機會。

在申請保險之前，企業(yè)必須充分了解可能會遇到的網(wǎng)絡風險。需進行全面的網(wǎng)絡安全風險評估以查明漏洞，并確定網(wǎng)絡風險承受能力。

各企業(yè)應采取強有力的防范措施（例如惡意軟件防御和明確的數(shù)據(jù)安全策略）來保護其關(guān)鍵資產(chǎn)。身份安全尤其重要，Delinea的研究顯示，僅有49%的公司具有身份訪問管理（IAM）和特權(quán)帳戶管理（PAM）的策略。

除此之外，使用MFA（多因素身份驗證）可以極大減少系統(tǒng)入侵、敏感數(shù)據(jù)泄露、身份盜竊、網(wǎng)絡釣魚和其他欺詐活動的風險和可能性，如果企業(yè)使用MFA安全方式，當外部攻擊來臨時，即便攻擊者獲得了用戶名和密碼，他們?nèi)匀恍枰硪环N或多種其他因素才能成功登錄。

風險監(jiān)測與響應計劃

與此同時，企業(yè)應對風險和違規(guī)的檢測能力也同等重要，尤其是涉及電腦終端和云服務器等端點的風險和違規(guī)行為。網(wǎng)絡安全風險可能因內(nèi)外部環(huán)境變化而發(fā)生變化，應開展相應的風險監(jiān)測和預防活動，及時了解風險變化情況，可采取相應措施將風險的變化控制在合理范圍。

保險公司還密切關(guān)注企業(yè)的響應計劃，這對于承保也起著重要作用。保險公司嚴格評估企業(yè)恢復運營的計劃，以及他們將如何利用網(wǎng)絡事件來汲取經(jīng)驗并進行整改。

網(wǎng)絡安全保險正在成為不可或缺的資產(chǎn)，網(wǎng)絡風險趨勢沒有減弱的跡象。但是，購買保險不僅僅是填寫申請表，無論選擇哪個供應商，企業(yè)都需要展示其網(wǎng)絡安全態(tài)勢。不管是履行網(wǎng)絡安全保障義務還是購買保險，進行風險評估，適時優(yōu)化安全策略，都是有備無患之良方。