信息化觀察網(wǎng)

閆蒞，信息安全從業(yè)7年，專注于金融行業(yè)信息安全、合規(guī)管理、風(fēng)險管理等領(lǐng)域。

摘要：本文介紹了網(wǎng)絡(luò)安全保險的作用、內(nèi)容，企業(yè)投保前的評估以及事件發(fā)生前后的投保服務(wù)。

一、 網(wǎng)絡(luò)安全保險概述

國際信息系統(tǒng)審計協(xié)會（ISACA）、CMMI研究院和Infosecurity集團在今年年初開展了聯(lián)合調(diào)查，并發(fā)布了研究報告《2020年企業(yè)風(fēng)險管理狀況報告》。該研究報告表明，企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險逐年增加，只有不到三分之一的企業(yè)能夠準(zhǔn)確預(yù)測與新興技術(shù)相關(guān)的威脅和漏洞帶來的影響，然而只有43%的企業(yè)會通過引入保險來轉(zhuǎn)移風(fēng)險。

近年來隨著網(wǎng)絡(luò)黑客、電腦病毒、計算機犯罪嚴(yán)重地威脅著網(wǎng)絡(luò)安全，導(dǎo)致網(wǎng)絡(luò)安全事件頻發(fā)。企業(yè)一旦發(fā)生網(wǎng)絡(luò)安全事件，將面臨嚴(yán)重的監(jiān)管處罰，對其業(yè)務(wù)、商譽也產(chǎn)生一定影響。在系統(tǒng)已經(jīng)發(fā)生安全事件的情況下，網(wǎng)絡(luò)安全保險作為風(fēng)險轉(zhuǎn)移的手段之一，可以一定程度降低或補償財產(chǎn)損失。網(wǎng)絡(luò)安全保險是一種以信息資產(chǎn)的安全性為保險標(biāo)的的財產(chǎn)保險。投保人向保險公司支付保險費，保險公司對因網(wǎng)絡(luò)安全事件而造成的重要信息資產(chǎn)丟失、知識產(chǎn)權(quán)受到侵犯、服務(wù)中斷和營業(yè)收入等損失承擔(dān)賠償保險金的責(zé)任。

二、 網(wǎng)絡(luò)安全保險內(nèi)容

（一） 責(zé)任保障

因下列原因造成第三者的直接經(jīng)濟損失：

1. 信息泄露事件

被保險人或其外部服務(wù)商看管、保管或控制的第三者信息被泄露給未經(jīng)授權(quán)的主體。

2. 數(shù)據(jù)安全事件

被保險人的計算機系統(tǒng)因下列原因而喪失穩(wěn)定運營的狀態(tài)，不能保證被保險人所存儲、傳輸、處理信息的完整性、可用性，導(dǎo)致服務(wù)中斷、數(shù)據(jù)丟失或數(shù)據(jù)損壞：

1) 惡意軟件或惡意攻擊行為；

2) 黑客入侵行為；

3) 非法使用或訪問；

4) 拒絕服務(wù)攻擊；

5) 社會工程學(xué)攻擊。

3. 媒體侵權(quán)事件

被保險人或其代表在互聯(lián)網(wǎng)上發(fā)表、傳輸出電子媒體信息/數(shù)字媒體內(nèi)容過程中的下列行為：

1) 侵權(quán)他人著作權(quán)、版權(quán)、名稱、廣告語、商標(biāo)、商號、商業(yè)外觀、標(biāo)簽、服務(wù)標(biāo)記或服務(wù)名稱，包括但不限于侵犯域名、深層鏈接或框架；

2) 侵犯或侵占他人創(chuàng)意；

3) 發(fā)布他人錯誤信息、公開披露他人私人信息、非惡意侵犯他人名譽權(quán)。

（二） 財產(chǎn)保障

1. 事件響應(yīng)費用

包括法律訴訟費用、通知費用、風(fēng)險評估和系統(tǒng)修復(fù)費用、咨詢服務(wù)費用、媒體公關(guān)費用等。

2. 營業(yè)中斷損失

計算機系統(tǒng)全部或局部失效導(dǎo)致被保險人的經(jīng)營受到干擾或中斷，由此產(chǎn)生的賠償期間的利潤損失。

3. 網(wǎng)絡(luò)勒索處理費用或贖金

第三方以索取錢財為目的的對被保險人作出安全威脅或攻擊而引發(fā)的。

4. 數(shù)據(jù)修復(fù)費用

計算機系統(tǒng)或數(shù)據(jù)無法訪問、被破壞或被干擾，為恢復(fù)正常運行所需的合理必要的數(shù)據(jù)修復(fù)費用。

5. 應(yīng)急響應(yīng)費用

根據(jù)事先對各種可能情況的準(zhǔn)備，在網(wǎng)絡(luò)安全事件發(fā)生后，響應(yīng)、處理、恢復(fù)、跟蹤的方法及過程所產(chǎn)生的費用。

綜上，網(wǎng)絡(luò)安全保險內(nèi)容覆蓋第一方損失和第三方責(zé)任風(fēng)險，從本質(zhì)上來說網(wǎng)絡(luò)安全保險是責(zé)任保險的一種，主要發(fā)生網(wǎng)絡(luò)安全事件和信息泄露事件觸發(fā)風(fēng)險。針對第一方的保險責(zé)任主要針對投保企業(yè)自身的資產(chǎn)，包含網(wǎng)絡(luò)安全事件造成的業(yè)務(wù)中斷損失、網(wǎng)絡(luò)勒索損失、數(shù)據(jù)泄露損失、企業(yè)名譽損失、法律費用等；針對第三方的保險責(zé)任主要包括第三方數(shù)據(jù)的泄露、丟失、損壞等風(fēng)險。

三、 網(wǎng)絡(luò)安全保險投保體檢

網(wǎng)絡(luò)安全保險投保前需進行評估，該評估類似于給人做身體體檢，網(wǎng)絡(luò)安全保險評估至少包括以下內(nèi)容：

1. 識別企業(yè)的IT資產(chǎn)列表和風(fēng)險點；

2. 企業(yè)如何保護這些IT資產(chǎn)；

3. 企業(yè)對潛在風(fēng)險和威脅是否有檢測偵察能力；

4. 企業(yè)如何應(yīng)對和解決網(wǎng)絡(luò)安全事件；

5. 企業(yè)遭受事件損失后的恢復(fù)能力。

四、 網(wǎng)絡(luò)安全保險相關(guān)服務(wù)介紹

從事件發(fā)生的時間的角度將網(wǎng)絡(luò)安全保險相關(guān)服務(wù)分為事件發(fā)生前和發(fā)生后的服務(wù)。目前，CFCA可為企業(yè)提供事前、事后的安全服務(wù)。

事前：建立一份信息技術(shù) (IT) 和運營技術(shù) (OT) 資產(chǎn)清單，深入了解各類聯(lián)網(wǎng)和未聯(lián)網(wǎng)資產(chǎn)，識別運營環(huán)境中的安全風(fēng)險，預(yù)先采取控制措施保護資產(chǎn)，從而最大程度地降低生命周期風(fēng)險。事件發(fā)生前的服務(wù)包括網(wǎng)絡(luò)安全綜合評估、遠程和現(xiàn)場漏洞檢測、滲透測試、網(wǎng)絡(luò)安全意識培訓(xùn)、網(wǎng)站安全監(jiān)測、合規(guī)審計、網(wǎng)絡(luò)安全咨詢、安全加固等。

事后：按照事先針對可能場景制定的應(yīng)急響應(yīng)和恢復(fù)程序 (例如，應(yīng)用項目和數(shù)據(jù)的備份和災(zāi)難恢復(fù)程序)響應(yīng)事件，盡快恢復(fù)正常生產(chǎn)運營。事件發(fā)生后的服務(wù)包括應(yīng)急響應(yīng)服務(wù)、數(shù)據(jù)恢復(fù)服務(wù)。

參考文獻：

【1】《2020年企業(yè)風(fēng)險管理狀況報告》

【2】計算機科學(xué)與應(yīng)用《網(wǎng)絡(luò)安全保險研究現(xiàn)狀及展望》