如果保險(xiǎn)費(fèi)用合理的話，購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)是一個(gè)不錯(cuò)的選擇。因?yàn)樵诎l(fā)生網(wǎng)絡(luò)安全事故時(shí)，這可能維持企業(yè)的生存，而不至于走向倒閉。但網(wǎng)絡(luò)安全保險(xiǎn)絕不是企業(yè)在安全防護(hù)方面應(yīng)該考慮的第一要素。網(wǎng)絡(luò)安全事件和成本支出都呈現(xiàn)出上升趨勢(shì)。

根據(jù)ITRC的報(bào)告，截至2021年9月30日，公開(kāi)報(bào)告的數(shù)據(jù)泄露事件比2020年全年多17%。IBM的 "Cost of a Data Breach Report"發(fā)現(xiàn)，數(shù)據(jù)泄露的支出從2020年的386萬(wàn)美元增加到2021年的424萬(wàn)美元，是該報(bào)告歷史記錄上的最高值。

隨著網(wǎng)絡(luò)攻擊的頻率、規(guī)模和嚴(yán)重性的增長(zhǎng)，網(wǎng)絡(luò)保險(xiǎn)行業(yè)發(fā)現(xiàn)了自己所處地位的尷尬。

網(wǎng)絡(luò)攻擊激增對(duì)網(wǎng)絡(luò)保險(xiǎn)的影響

2016年，購(gòu)買(mǎi)了保險(xiǎn)的用戶中，只有26%的客戶在保險(xiǎn)構(gòu)成中包含網(wǎng)絡(luò)安全。根據(jù)GAO的報(bào)告，這個(gè)數(shù)值在2020年增長(zhǎng)到了47%。但是在整個(gè)網(wǎng)絡(luò)安全保險(xiǎn)的范疇內(nèi)，增長(zhǎng)的不僅僅只有用戶數(shù)量這個(gè)數(shù)字。

在2020年底，保險(xiǎn)價(jià)格躍升了10%至30%。在2021年第三季度，網(wǎng)絡(luò)保費(fèi)支出的平均成本攀升了27.6%，創(chuàng)下了歷史紀(jì)錄。如果按照這樣的情形發(fā)展下去，保險(xiǎn)費(fèi)用的支出超過(guò)企業(yè)投入產(chǎn)出比的閾值，對(duì)于企業(yè)來(lái)說(shuō)網(wǎng)絡(luò)安全保險(xiǎn)將失去意義。

保險(xiǎn)行業(yè)如何應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)危險(xiǎn)范圍

除了提高保費(fèi)之外，一些保險(xiǎn)公司正在減少對(duì)特定行業(yè)的保險(xiǎn)范圍，包括教育和醫(yī)療，限制提供網(wǎng)絡(luò)保險(xiǎn)的數(shù)量或在合同條款方面作出嚴(yán)格的控制。一些保險(xiǎn)公司正在為網(wǎng)絡(luò)風(fēng)險(xiǎn)提供獨(dú)立的保單，而不是將其與其他保險(xiǎn)捆綁。

在2020年上半年，41%的網(wǎng)絡(luò)保險(xiǎn)索賠與勒索軟件攻擊有關(guān)，許多保險(xiǎn)公司開(kāi)始限制他們對(duì)這些攻擊的賠付額度。在某些情況下，他們會(huì)完全不予賠付。截至2021年5月，因?yàn)榉▏?guó)的勒索病毒犯罪已經(jīng)造成超過(guò)55億美元的損失(僅次于美國(guó))，全球保險(xiǎn)公司AXA將不再為法國(guó)的勒索病毒犯罪進(jìn)行賠付。

保險(xiǎn)公司開(kāi)始更多地關(guān)注客戶實(shí)際的網(wǎng)絡(luò)安全防護(hù)程度與有效性。已經(jīng)不再相信客戶簡(jiǎn)單的口頭說(shuō)明。除了讓客戶填寫(xiě)標(biāo)準(zhǔn)問(wèn)卷外，許多保險(xiǎn)公司正在進(jìn)行嚴(yán)格的檢查，以確保某些關(guān)鍵控制措施到位。多因素認(rèn)證(MFA)，安全測(cè)試的備份，以及網(wǎng)絡(luò)記錄和監(jiān)控只是幾個(gè)重要的標(biāo)準(zhǔn)。保險(xiǎn)公司對(duì)潛在客戶使用的安全控制也更加細(xì)致。

總的來(lái)說(shuō)，保險(xiǎn)公司必須確定保險(xiǎn)產(chǎn)品自身的風(fēng)險(xiǎn)可控。

網(wǎng)絡(luò)保險(xiǎn)是否助長(zhǎng)了勒索軟件攻擊？

即使你能負(fù)擔(dān)得起并且在保險(xiǎn)的條款范圍內(nèi)，你也應(yīng)該知道，網(wǎng)絡(luò)犯罪分子喜歡攻擊有網(wǎng)絡(luò)保險(xiǎn)的公司。根據(jù)最近的一項(xiàng)調(diào)查，購(gòu)買(mǎi)了網(wǎng)絡(luò)安全保險(xiǎn)的企業(yè)支付贖金的可能性比沒(méi)有保險(xiǎn)的企業(yè)高兩倍以上。

黑客甚至?xí)ㄟ^(guò)攻破保險(xiǎn)公司，從而查看潛在受害者的保險(xiǎn)，來(lái)發(fā)現(xiàn)并確定最高贖金。一旦他們勒索的企業(yè)有網(wǎng)絡(luò)安全保險(xiǎn)，他們就會(huì)將注意力轉(zhuǎn)移到此處。

這使保險(xiǎn)公司處于一個(gè)尷尬的境地。他們不僅自己是潛在的受害者，而且業(yè)務(wù)也不如過(guò)去幾年那么富有成效。網(wǎng)絡(luò)保險(xiǎn)的賠付率現(xiàn)在已經(jīng)超過(guò)70%，達(dá)到了盈虧平衡點(diǎn)，這就迫使保險(xiǎn)公司要做出艱難的決定。

如何在網(wǎng)絡(luò)攻擊和數(shù)字轉(zhuǎn)型的時(shí)代建立信任

隨著對(duì)網(wǎng)絡(luò)攻擊的擔(dān)憂不斷增加，越來(lái)越多的企業(yè)將考慮網(wǎng)絡(luò)完全保險(xiǎn)。但它只是安全防護(hù)網(wǎng)絡(luò)中的一部分，它能給企業(yè)網(wǎng)絡(luò)安全防護(hù)能力帶來(lái)的僅限于更高的保費(fèi)、更嚴(yán)格的標(biāo)準(zhǔn)以及它特定的安全目標(biāo)。

無(wú)論你是否選擇網(wǎng)絡(luò)保險(xiǎn)，都要確保你有網(wǎng)絡(luò)安全有基本保障。必須強(qiáng)制所有員工使用強(qiáng)密碼和MFA。確保你給所有系統(tǒng)打補(bǔ)丁，并保持安全軟件的更新。流量過(guò)濾和網(wǎng)絡(luò)分段是必須的。你還應(yīng)該制定災(zāi)難恢復(fù)計(jì)劃。

進(jìn)行數(shù)據(jù)泄露應(yīng)急演練，網(wǎng)絡(luò)安全意識(shí)教育，并定期測(cè)試，以確定漏洞并根據(jù)需要進(jìn)行修改。安全不能做到100%，但是有了這些措施，可以確保你有條不紊的應(yīng)對(duì)網(wǎng)絡(luò)安全事件，也更容易通過(guò)網(wǎng)絡(luò)保險(xiǎn)的資格審查。

網(wǎng)絡(luò)安全保險(xiǎn)的下一步該怎么做

威脅格局將繼續(xù)轉(zhuǎn)變，保險(xiǎn)公司也將適應(yīng)。如果保險(xiǎn)費(fèi)用合理的話，購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)是一個(gè)不錯(cuò)的選擇。因?yàn)樵诎l(fā)生網(wǎng)絡(luò)安全事故時(shí)，這可能維持企業(yè)的生存，而不至于走向倒閉。但網(wǎng)絡(luò)安全保險(xiǎn)絕不是企業(yè)在安全防護(hù)方面應(yīng)該考慮的第一要素。

專注于安全本身，不是為了通過(guò)網(wǎng)絡(luò)保險(xiǎn)資格審查，而是要確保確保你擁有網(wǎng)絡(luò)安全的基本保障能力。企業(yè)的整體生命力是掌握在你自己手中的，不能僅依靠其他的東西來(lái)保障。