网络保险无法保护您的组织免受网络犯罪的侵害,但它可以在发生重大安全事件时使您的企业保持稳定的财务基础。
网络保险,也称为网络风险保险或网络责任保险 (CLIC),是保险公司的保单,旨在通过抵消与网络相关的安全漏洞或类似事件后的损害和恢复所涉及的成本来减轻风险敞口。
随着市场的成熟,网络保险政策变得越来越多样化,并且关于一项政策可能涵盖的内容的更详细信息可能与另一项政策有所不同,具体取决于多种因素。尽管如此,商业保险提供商 Corvus 的首席保险官 Lori Bailey 告诉广大 CSO,大多数网络保险政策都有一些普遍的共性:
业务中断造成的损失(由于系统停机或加密而导致的收入损失)
偶然的业务中断(由于第三方(例如 IT 供应商)故障导致系统停机而导致的收入损失)
数字资产销毁
数据检索和系统恢复成本
系统错误
网络勒索/勒索软件
数据泄露响应和补救费用
社会工程学攻击和网络犯罪,以及网络安全和隐私责任
UKGlobal Broking Group 董事兼保险经纪人 Richard Hodson 补充说,保单通常还涵盖事故发生后的沟通和公共关系。“我们现在看到越来越多的政策也提供违规事后的专用资金,包括对员工进行培训,以防止再次发生,并进行全面的系统诊断。”
Bailey 补充说,并非所有的政策都是平等的,这些覆盖范围将包含在全面、独立的网络政策中,但不一定包含在添加到一揽子政策中的网络覆盖范围中。此外,并非所有形式的网络风险都在保险范围内。“例如,战争和/或恐怖主义或内部基础设施故障造成的经济损失将不在保险范围内,攻击后可能产生的声誉成本也不在保险范围内。” 同样,Hodson 说,并非专门为受影响的公司设计或创建的病毒也可能被排除在外。
随着网络安全趋势引发变化,网络保险市场正在经历不断变化的状态。各种形式和规模的组织都在投资网络保险政策以增加保护。与此同时,不断演变的网络威胁和风险继续困扰着组织并考验着它们的弹性。因此,网络保险提供商越来越精通特定的网络安全并对其做出响应。
勒索软件引领着影响覆盖范围需求和成本、保单条款和条件、要求和限制的趋势。攻击者正在使用更狡猾和更复杂的方法来勒索(和多次勒索)企业以获得潜在的巨额资金。
Bailey 说,勒索软件的增加导致更多组织考虑投资网络保险,因为许多组织已经看到勒索软件的成本会对其他企业造成巨大的财务中断。“除了赎金的直接成本外,从这些攻击中恢复的成本也很高。2021 年,监管违规响应成本占总索赔成本的比例从 29% 增加到 52%。”
Bailey 补充说,随着需求的增加,供应却难以跟上。“保险公司正在提高他们愿意承保的风险的费率和标准。就承保范围本身而言,一些保险公司已经降低了他们为勒索软件攻击承保的金额,或者降低了他们为一定规模的企业提供的总体限额。”
Bailey 说,即使保险公司没有显着改变承保范围,他们也可能会在保单上设置主观性,要求遵守某些关键安全措施作为保单的条件。
研究强调,组织将预防和恢复放在首位,勒索软件攻击和付款索赔有所减少,这在某种程度上表明,网络保险公司可能更倾向于寻求保险的企业。然而,全球保险公司Beazley 最近发布的数据显示,尽管索赔呈下降趋势,但网络保险的价格仍在继续上涨,而续保费率在 2021 年第三季度同比增长 23%。
“此外,冠状病毒大流行增加了许多组织对网络风险的脆弱性,因为成千上万的系统转移到基于云的平台以支持远程工作人员,”Proofpoint 的常驻 CISO Andrew Rose 说。“在此期间,网络保险公司敦促企业重新评估他们的保险政策,因为他们的工具集和工作实践的演变,以及适用于他们的威胁,可能不会在他们现有的保险范围内体现出来,留下意想不到的差距和短缺可能是灾难性的。”
对于技术和合规律师乔纳森·阿姆斯特朗 (Jonathan Armstrong) 而言,网络保险变革的最重要驱动力是在网络事件发生后对针对组织的诉讼提供财务保护的需求。“我们已经看到,攻击或违规可能会在第二天左右发生,律师声称他们正在调查针对受到攻击的公司的诉讼。”
这个问题最近在英国的Lloyd v Google 案中备受关注。理查德劳埃德声称,谷歌在 2011 年至 2012 年间收集了大约 400 万 iPhone 用户的浏览习惯数据,用于商业目的,例如定向广告。他希望代表所有受影响的个人对谷歌提起诉讼,要求赔偿,但谷歌反对。
英国最高法院试图确定这种针对违反数据保护立法的索赔能否成功而不会造成明显的人身损害,以及索赔人是否可以代表身份不明的个人(包括甚至可能不知道自己受到影响的人)提起集体诉讼。
2021 年 11 月 10 日,英国最高法院在这两项指控上都做出了对谷歌有利的裁决,这意味着针对他们的诉讼不能以目前的形式进行。这将让英国数据控制者松一口气,他们担心有利于劳合社的决定会为代价高昂且耗时的索赔打开闸门,但索赔很少或没有价值。
“简而言之,这一判决恢复了与数据索赔相关的现状,”数据保护诉讼人兼 Freeths 律师事务所董事 Will Richmond-Coggan 说。“我预计我们将看到更少的索赔被追究,而那些将是那些已经造成明显伤害的索赔,因此我们应该期望这些索赔将更容易在早期阶段量化和解决。即使是近年来毫无根据的大量索赔也需要花费大量时间和成本来抵御它们,因此排除这些索赔肯定会改善低影响违规的风险状况,这应该会影响定价整个网络保险市场的风险。”
不管结果如何,阿姆斯特朗预测诉讼仍将是网络保险领域的一个有影响力的趋势。“如果有的话,随着律师事务所和资助者试图招募索赔人进行‘选择加入’行动,我们可能会更快地看到索赔受到威胁。”
2022年8月,伦敦劳合社保险公司宣布,将从2023年起将网络保险排除在国家支持的“灾难性”攻击的保险范围内。在2022年8月16日发布的一份市场简报中,劳合社表示,虽然它“仍然强烈支持撰写网络攻击保险”,但它认识到“与网络相关的业务仍然是一种不断变化的风险”。因此,该公司将要求其所有保险集团适用一项适当的条款,排除因任何国家支持的网络攻击而造成的损失的责任。
伦敦劳合社(Lloyd’s of London)在一份公告中写道,“在承保网络攻击风险时,保险商需要考虑到国家支持的攻击可能发生在涉及武力的战争之外的可能性。这些攻击可能造成的损害及其传播能力给保险公司带来了类似的系统性风险。”它补充说,劳合社的目标是确保所有在这一类别中写作的辛迪加都是在适当的标准下写的,用词稳健。“我们认为,在战争或非战争的背景下,网络攻击可能会带来复杂性,国家支持的攻击意味着保险商应该确保他们的措辞经过法律审查,以确保它们足够强大。”
劳合社表示,展望未来,所有属于风险代码“CY”和“CZ”的独立网络攻击保单都必须包含一个适当的条款,不包括根据新要求对任何国家支持的网络攻击造成的损失承担责任。这些要求将从 2023 年 3 月 31 日起生效,在每份保单生效或续签时生效,无需认可现有的有效保单,除非到期日距 2023 年 3 月 31 日超过 12 个月。
合规公司 Cordery 的律师兼合伙人 Jonathan Armstrong 在 8 月表示,组织和 CISO 将面临的与劳合社提出的豁免相关的最大问题将围绕准确的攻击归因。“虽然在专家的帮助下,你通常可以说有民族国家参与的迹象,但我们知道这很难确定。正是这些困难可能导致诉讼,因为保险公司可能认为有国家参与,但被保险人可能认为情况并非如此,”他说。阿姆斯特朗补充说,制定适当的程序将是关键,要获得正确的归因,组织需要对其系统进行适当和有效的监控,以协助调查。
2022 年 9 月,Cisco Talos 发布了 CISO 在审查此类排除条款时需要考虑的指南,特别关注攻击缓解策略。它列出了以下四个关键因素:
第 1 步:收集取证证据:CISO 应确保他们能够从攻击中收集取证证据,以识别尽可能多的关于攻击如何实施以及攻击者使用的基础设施的信息。这种取证能力,即如何收集和保存证据,应与保险公司达成一致。
第 2 步:定义如何进行归因:应通过比较从攻击中收集的证据与先前攻击的证据来确定特定攻击的归因。CISO 应该同意使用取证攻击者使用的工具来归因攻击的过程,以及宣布攻击由特定团体实施所需的可信度。
第 3 步:考虑归因的波动性:收集证据和情报是一个持续的过程。先前假定为事实的信息随后可能被识别为不正确或有目的的转移注意力。新的证据可能会在一次改变先前攻击的估计属性的攻击发生后数月或数年被发现。CISO 应确定一个期限,在此期限之后,即使发现了后续证据,也不会更改攻击的属性(如果发生)。
第 4 步:定义国家支持的性质:CISO 应该就什么构成国家支持达成一致。理想情况下,CISO 应该与他们的保险公司就被认为是国家支持的威胁行为者群体(及其同义词)达成一致。国家参与网络攻击是一系列活动。可以将攻击提交给国家支持的决策线是一个很好的决策线,需要考虑和同意。
一旦公司了解了当前网络保险市场的状况和承保范围,便可以探讨保单是否有益。“保险对于企业生活的许多方面都是必不可少的,网络安全正迅速成为其中之一,”罗斯说。“每家公司都必须自己计算,以平衡保险成本、事件成本以及每年保费支出的机会成本。确定最需要保护的内容。对保险范围施加限制可以降低风险,并有助于平衡这种日益重要的保险的业务案例。”
事实上,组织需要考虑如果他们的系统因攻击而完全关闭,他们将损失多少,Bailey 说。“此外,到 2021 年第三季度,赎金的平均成本稳定在 142,000 美元左右,如果包括第三方帮助恢复的成本,这个数字会大幅增长。组织应该知道他们是否能够切实支付这笔费用,以及这将如何影响他们业务的稳定性。”
网络保险可以帮助组织更加安心,因为他们知道有一个额外的安全层,而且他们会定期监控风险,这对小型企业来说尤为重要。“几年前,我们可能认为小型企业没有必要制定全面、独立的网络政策,但攻击者越来越多地瞄准这些防御能力较弱的小型企业。”组织将网络保险政策视为改善整体安全风险策略的合作机会也很重要。“这不仅仅是风险转移,”贝利说。
“保险公司可能处于新一波‘基准标准’浪潮的最前沿,这些标准可能比任何国际标准或行业监管机构都更具活力,对威胁形势的反应也更加灵敏,”Rose 补充道。
如果一个组织申请网络保险政策,一些关键因素可以证明是获得成功不可或缺的。这归结为能够表明企业能够满足保险公司现在在考虑潜在保单持有人以确定其风险状况时所寻求的安全控制要求。保险公司通常通过要求申请人完成详细的调查问卷来评估安全控制。
良好的网络卫生是这里的关键。“这包括强大的备份策略、所有关键接入点的多因素身份验证以及强大的补丁管理。我们还继续看到扫描技术的力量并主动修复漏洞。” 由于网络安全的复杂性和基础设施的分散化,更大、更复杂的组织可能需要承销商进行更多的分析。
理查德同意,并表示证明您的组织有员工培训意识计划,在进行全面验证之前永远不会在收到电子邮件/电话时转账,并且已支付防病毒和端点保护费用也很重要。为了获得指导和支持,他建议企业与在网络方面经验丰富的保险经纪人交谈,并且可以用简单的术语解释您需要什么以及您应该做什么。“保险行业的行话已经太多了,没必要再增加令人困惑的技术术语,让它变得更复杂。”
参考及来源:https://www.csoonline.com/article/3643054/cyber-insurance-explained.html