信息化觀察網(wǎng)

本文來自數(shù)世咨詢。

近年來，網(wǎng)絡(luò)保險(xiǎn)費(fèi)用經(jīng)歷了一段上漲期，主要是因?yàn)槔账鬈浖纛l發(fā)導(dǎo)致，但在過去一年中已趨于穩(wěn)定。保險(xiǎn)公司過去幾年的賠付額曾超過保費(fèi)的 70%，導(dǎo)致商業(yè)環(huán)境艱難。為了應(yīng)對索賠增加的壓力，保險(xiǎn)公司不得不提高保費(fèi)，并實(shí)施更嚴(yán)格的承保要求、承保范圍等。

據(jù)惠譽(yù)評級數(shù)據(jù)顯示，2022 年保險(xiǎn)費(fèi)上漲了 50%。盡管成本仍在上升，但 CISO 遇到的網(wǎng)絡(luò)保險(xiǎn)費(fèi)用增幅最近有所放緩。

01

網(wǎng)絡(luò)保險(xiǎn)費(fèi)用漲幅趨于穩(wěn)定

GTA Bloom 的網(wǎng)絡(luò)安全專家邁克爾·羅伯特指出，勒索軟件事件和支付數(shù)量的下降有助于穩(wěn)定成本。業(yè)內(nèi)專家報(bào)告稱，保險(xiǎn)公司的嚴(yán)格承保要求以及對潛在客戶更好的工作習(xí)慣的堅(jiān)持也在穩(wěn)定市場方面發(fā)揮了作用。

Cowbell Insurance 的承保區(qū)域副總裁 Emma Fekkas 表示，隨著網(wǎng)絡(luò)安全態(tài)勢的改善，公司能夠抵消一些費(fèi)率需求并減少覆蓋范圍的限制，雖然嚴(yán)格的承保要求并沒有真正改變，但我們看到尋求網(wǎng)絡(luò)保險(xiǎn)的公司網(wǎng)絡(luò)安全狀況有所改善。

02

網(wǎng)絡(luò)事件成本不斷上升

網(wǎng)絡(luò)保險(xiǎn)旨在保護(hù)企業(yè)免受勒索軟件或其他形式的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露造成的財(cái)務(wù)損失和責(zé)任。保險(xiǎn)政策通常涵蓋業(yè)務(wù)中斷損失、恢復(fù)系統(tǒng)的成本、法律費(fèi)用、信息安全顧問費(fèi)用、通知客戶的成本，甚至勒索軟件支付。

IBM 的研究顯示，去年數(shù)據(jù)泄露的平均成本上升了 10%，達(dá)到 488 萬美元。慕尼黑再保險(xiǎn)公司的網(wǎng)絡(luò)保險(xiǎn)趨勢報(bào)告顯示，勒索軟件是造成網(wǎng)絡(luò)保險(xiǎn)損失的主要原因，制造業(yè)是勒索軟件索賠數(shù)量最多的行業(yè)、其次是醫(yī)療保健、技術(shù)和教育。

根據(jù)Chainalysis 在 2024 年的研究結(jié)果，2023 年的贖金加密貨幣支付額幾乎翻了一番，達(dá)到 11 億美元，高于 2022 年的 5.67 億美元。其他代價(jià)高昂的攻擊媒介包括商業(yè)電子郵件泄露 (BEC) 和供應(yīng)鏈攻擊。

03

網(wǎng)絡(luò)保險(xiǎn)政策不斷發(fā)展

企業(yè)通常需要展示強(qiáng)大的網(wǎng)絡(luò)安全實(shí)踐才能獲得網(wǎng)絡(luò)保險(xiǎn)保障。隨著網(wǎng)絡(luò)事件變得越來越頻繁和昂貴，保險(xiǎn)公司對客戶的安全能力要求也在提高。

Panaseer 的安全宣傳員Keith Povey 表示，保險(xiǎn)公司在巨額賠付中吃了不少苦頭，因此要求客戶提供更多保證，有些公司甚至不會給出報(bào)價(jià)，除非公司能證明其具有一定的安全能力。

商業(yè)數(shù)據(jù)分析公司Dun & Bradstreet主管詹姆斯哈里森 (James Harrison)表示，勒索軟件攻擊迫使保險(xiǎn)公司實(shí)施更嚴(yán)格的承保流程，許多保險(xiǎn)政策不再為勒索軟件事件提供全面保障，而是限制贖金支付的保障范圍。數(shù)據(jù)驅(qū)動的風(fēng)險(xiǎn)評估現(xiàn)在是保險(xiǎn)公司的關(guān)鍵工具，使他們能夠識別企業(yè)內(nèi)部的網(wǎng)絡(luò)漏洞。這意味著個(gè)性化政策可以根據(jù)公司的具體風(fēng)險(xiǎn)敞口進(jìn)行調(diào)整。

04

網(wǎng)絡(luò)保險(xiǎn)的地區(qū)差異

全球網(wǎng)絡(luò)保險(xiǎn)市場規(guī)模在 2023 年達(dá)到 140 億美元，預(yù)計(jì)到 2027 年將翻一番，達(dá)到 290 億美元。不過，各地區(qū)在保險(xiǎn)覆蓋范圍以及監(jiān)管和法律背景方面仍然存在差異。

例如，美國投保網(wǎng)絡(luò)安全風(fēng)險(xiǎn)保險(xiǎn)的公司數(shù)量估計(jì)為20%，德國為 12%，英國為 10%。美國網(wǎng)絡(luò)保險(xiǎn)金額更高，是因?yàn)槊绹袌龇浅３墒?，且美國公司面臨的集體訴訟風(fēng)險(xiǎn)比歐洲公司更大。主要是訴訟和法律風(fēng)險(xiǎn)處理方式、監(jiān)管環(huán)境、網(wǎng)絡(luò)意識以及保險(xiǎn)市場成熟度方面的差異。

隨著網(wǎng)絡(luò)威脅的增加以及通過保險(xiǎn)進(jìn)行風(fēng)險(xiǎn)管理的意識的增強(qiáng)，美國和歐洲的網(wǎng)絡(luò)保險(xiǎn)市場預(yù)計(jì)將繼續(xù)增長。歐洲市場正在發(fā)展中，GDPR 是增長的主要驅(qū)動力，但由于感知風(fēng)險(xiǎn)較低且市場成熟度較低，接受度較慢。在美國越來越普遍采購網(wǎng)絡(luò)保險(xiǎn)，這可能意味著其他大型企業(yè)可以采用更多的保單。

05

新法規(guī)推動網(wǎng)絡(luò)保險(xiǎn)的普及

監(jiān)管，尤其是 NIS2 框架的擴(kuò)展，是推動歐洲網(wǎng)絡(luò)保險(xiǎn)擴(kuò)張的關(guān)鍵因素。NIS2 將于 2024 年 10 月生效，擴(kuò)大歐盟范圍內(nèi)法規(guī)涵蓋的行業(yè)和實(shí)體的范圍。

NIS2對15個(gè)關(guān)鍵行業(yè)的組織實(shí)施了更嚴(yán)格的網(wǎng)絡(luò)安全要求和風(fēng)險(xiǎn)管理措施，并更加重視安全供應(yīng)鏈和供應(yīng)商的整體安全。歐洲多個(gè)行業(yè)的更多企業(yè)(其中許多是中小型企業(yè))將需要遵守該指令。組織可以求助于網(wǎng)絡(luò)保險(xiǎn)來幫助管理與 NIS2 涵蓋的潛在不合規(guī)或安全事件相關(guān)的財(cái)務(wù)風(fēng)險(xiǎn)。

此外，網(wǎng)絡(luò)保險(xiǎn)提供商通常提供風(fēng)險(xiǎn)管理服務(wù)，可以幫助組織提高安全成熟度。

任何要求披露信息的規(guī)定(包括但不限于 NIS2 和GDPR以及《加州消費(fèi)者隱私法案》等美國法規(guī))或要求事件響應(yīng)的規(guī)定，都為公司投資網(wǎng)絡(luò)保險(xiǎn)提供了理由，作為其改善整體網(wǎng)絡(luò)安全成熟度計(jì)劃的一部分。

06

CISO責(zé)任成為采購網(wǎng)絡(luò)保險(xiǎn)的驅(qū)動力

最近，美國聯(lián)邦立法和美國證券交易委員會的監(jiān)管執(zhí)法將首席信息安全官置于危險(xiǎn)之中，如果他們所在組織的實(shí)際安全態(tài)勢與向投資者報(bào)告的保證不符，他們將面臨法律訴訟的威脅。

Panaseer 的 Povey 表示，這增加了風(fēng)險(xiǎn)，網(wǎng)絡(luò)保險(xiǎn)正在演變，涵蓋個(gè)人及其雇主。許多 CISO 正在考慮個(gè)人賠償保險(xiǎn)，并要求將其作為合同的一部分，以便在發(fā)生訴訟時(shí)得到保障。

* 本文為閆志坤編譯，原文地址：https://www.csoonline.com/article/3537205/cyber-insurance-price-hikes-stabilize-as-insurers-expect-more-from-cisos.html