如果公司知識產(chǎn)權(quán)遭黑客攻擊被盜，沒有哪種保險能彌補公司耗在研發(fā)上的幾百萬美元。

[[283051]]

網(wǎng)絡(luò)保險策略旨在覆蓋系統(tǒng)取證、數(shù)據(jù)恢復(fù)和法律及客戶賠償支出等安全事件和數(shù)據(jù)泄露的開支。承保的典型事件類型包括發(fā)票欺詐、加密鎖定恢復(fù)和內(nèi)部人威脅。盡管網(wǎng)絡(luò)保險在整套安全方法中占有一席之地，其地位卻常被誤解。

首先，公司企業(yè)必須了解自身關(guān)鍵數(shù)字資產(chǎn)和風(fēng)險，因為網(wǎng)絡(luò)保險策略的理性采納對管理保費支出和確保恰當(dāng)保險范圍至關(guān)重要。但網(wǎng)絡(luò)保險只是事后風(fēng)險彌補，永遠不應(yīng)替代恰當(dāng)?shù)陌踩椖?。如果公司企業(yè)過度投資網(wǎng)絡(luò)保險而對安全控制投入不足，說明他們預(yù)期被黑，并由保險公司來解決這個問題，即便他們本意并非如此。沒錯，數(shù)據(jù)泄露發(fā)生的頻率令人震驚，數(shù)據(jù)隱私法律監(jiān)管下的巨額罰單也越來越頻繁開出。但對公司企業(yè)而言更好的安全方法，卻是追求適當(dāng)平衡了網(wǎng)絡(luò)保險的主動安全策略。

網(wǎng)絡(luò)保險直到 2005 年才開始流行開來，是個相對較新且快速發(fā)展的行業(yè)。Adroit 市場研究公司最近的一份報告聲稱，網(wǎng)絡(luò)保險市場將迎來指數(shù)級增長，從 2019 年全球保費近 40 億美元，增長至 2025 年超 230 億美元。推動這一預(yù)測的，是公司企業(yè)對最近頒布的一系列數(shù)據(jù)隱私監(jiān)管規(guī)定的反應(yīng)，比如歐盟 2018 年 5 月生效的《通用數(shù)據(jù)保護條例》(GDPR)。

公司企業(yè)自然害怕遭遇數(shù)據(jù)泄露可導(dǎo)致的巨額罰款和賠款，例如英國航空公司和萬豪國際被征收的罰金。他們向自己的保商尋求可彌補數(shù)據(jù)泄露通告相關(guān)支出及其他修復(fù)成本的保險計劃。然而，不投資恰當(dāng)?shù)目刂拼胧┒^度依賴網(wǎng)絡(luò)保險，表明公司企業(yè)預(yù)期遭遇數(shù)據(jù)泄露而非組織有效防御。雖然保險商能夠彌補一些損失，但無法修復(fù)安全事件拉低的公司信譽，也無法拿回公司被竊的知識產(chǎn)權(quán) (IP)。令人遺憾的真相就是，如果公司花費數(shù)百萬美元研究與開發(fā) (R&D) 而該知識產(chǎn)權(quán)被盜，沒有任何保單能兜住該研發(fā)投資成本。

云

網(wǎng)絡(luò)保險興盛的另一貢獻因子是云的迅速采納。但公司企業(yè)往往將網(wǎng)絡(luò)保險當(dāng)成覆蓋其運遷移和配置錯誤的保護傘，而沒有發(fā)展衡量和持續(xù)測試其控制措施有效性的主動安全項目。

另外，公司企業(yè)還必須理解網(wǎng)絡(luò)保險提供商是逐利的，并不會賠付本可用恰當(dāng)?shù)陌踩椖恳?guī)避的數(shù)據(jù)泄露。就好像長期醫(yī)療保險會拒保未通過健康評估的投保人一樣，保險商索賠限制越來越嚴(yán)格，甚至拒保缺乏恰當(dāng)安全控制措施的公司毫不令人意外。舉個例子，如果公司遭遇的電子郵件入侵攻擊可以通過多因子身份驗證 (MFA) 緩解的，那么保險公司就可能不賠付或減少賠付數(shù)額。

FUD 因素

當(dāng)今不斷變化的數(shù)據(jù)隱私環(huán)境中，圍繞保險商策略和索賠分類的恐懼、不確定性與懷疑 (FUD) 從來不缺。著名案例之一就是索尼網(wǎng)絡(luò)保險商(蘇黎世美國保險公司)拒賠其 2011 年 7,700 萬用戶個人可識別信息 (PII) 泄露的 20 億美元損失。甚至在索尼將蘇黎世告上法庭后，蘇黎世還給索尼上了一課什么叫做 “保險策略不覆蓋任何第三方黑客事件”。

最終，網(wǎng)絡(luò)保險不能，也不應(yīng)該被視為恰當(dāng)網(wǎng)絡(luò)安全項目的替代品。網(wǎng)絡(luò)保險可幫助彌補事后損失，但承擔(dān)不了知識產(chǎn)權(quán)被盜的損失，也無法堵上安全項目設(shè)計不良的漏洞。有效安全策略不僅可以幫助公司企業(yè)獲得網(wǎng)絡(luò)保險，測試這些安全控制措施的有效性還將幫助公司企業(yè)在攻擊者找上自己前發(fā)現(xiàn)安全漏洞。該方法也可使公司企業(yè)通過識別并移除重疊控制措施，來提升其網(wǎng)絡(luò)安全預(yù)算的投資回報，同時還向所有利益相關(guān)者顯示出公司相當(dāng)重視安全。