本文來自微信公眾號“數(shù)世咨詢”,作者/nana。
大多數(shù)網(wǎng)絡(luò)安全專業(yè)人員都清楚,網(wǎng)絡(luò)安全事件每年都在增長。所以,網(wǎng)絡(luò)安全保險業(yè)務(wù)同樣增長強(qiáng)勁也就不足為奇了。市場分析機(jī)構(gòu)Markets and Markets和Polaris Market Research的數(shù)據(jù)顯示,從2021年到2022年,全球網(wǎng)絡(luò)保險市場從101億美元增長到了119億美元,且預(yù)計到2027年將會增長至290億美元之多。
預(yù)計的增長形勢顯然不便宜,所以很多公司,尤其是小公司,仍然沒有購買網(wǎng)絡(luò)安全保險,且可能在遭遇網(wǎng)絡(luò)安全事件的切膚之痛之前都不會考慮購買。但如果不出意外的話,他們最終還是會坐到桌前,跟有資質(zhì)的保險公司商談網(wǎng)絡(luò)安全保單的價格。畢竟,遭遇網(wǎng)絡(luò)安全事件基本上是大概率事件了。
當(dāng)然,正如統(tǒng)計數(shù)據(jù)所清楚表明的,北美這一最大單一市場里的許多公司已然邁出了購買網(wǎng)絡(luò)保險這一步。當(dāng)今這種情形下,缺乏網(wǎng)絡(luò)保護(hù)真的很令人頭疼,購買費用高也得認(rèn)了。保險經(jīng)紀(jì)商Marsh表示,2022年第四季度,美國的網(wǎng)絡(luò)保險價格同比上漲了28%。盡管增長如此迅猛,但相比去年早些時候還是有所下降,這主要是因為更多公司實施了行之有效的網(wǎng)絡(luò)安全控制措施。
即便如此,大多數(shù)網(wǎng)絡(luò)保險分析師認(rèn)為,隨著企業(yè)界繼續(xù)越來越依賴信息技術(shù)和數(shù)字設(shè)備,隨著勒索軟件和網(wǎng)絡(luò)入侵不斷升級,網(wǎng)絡(luò)保險的價格將繼續(xù)上漲。
這就引出了網(wǎng)絡(luò)安全保險是否物有所值的問題。
答案是:網(wǎng)絡(luò)安全保險物有所值,至少目前是這樣。
盡管價格飆升,但很難說網(wǎng)絡(luò)安全保險就比不上壓根兒不買網(wǎng)絡(luò)保險,因為該險種通常能大大降低常見網(wǎng)絡(luò)安全事件的成本。而且,對于小企業(yè)而言,網(wǎng)絡(luò)保險還能防止企業(yè)在發(fā)生網(wǎng)絡(luò)安全事件時走向倒閉。(有調(diào)查表明,遭遇網(wǎng)絡(luò)安全事件的小公司超過一半都在六個月內(nèi)倒閉了。)
此外,某些情況下,公司可以采取一些超出保險公司當(dāng)前預(yù)期的預(yù)防措施來稍微削減點成本。例如,他們可以在IT系統(tǒng)中實現(xiàn)所謂的最小權(quán)限策略,僅授予部分權(quán)限在有限時間內(nèi)進(jìn)行特定活動,而不是授出廣泛的長期訪問權(quán)限,從而緩解內(nèi)部人威脅。公司還可以轉(zhuǎn)嫁第三方保險,第三方保險可以在客戶、供應(yīng)商或合作伙伴起訴公司放任數(shù)據(jù)泄露發(fā)生時保護(hù)公司。
至少,在數(shù)字優(yōu)先的世界里,一些網(wǎng)絡(luò)保險還是非常必要的。我們的生活和企業(yè)界的方方面面都在數(shù)字化,令網(wǎng)絡(luò)保險從奢侈品變成了必需品。Blackberry的一項調(diào)查顯示,網(wǎng)絡(luò)安全事件威脅十分普遍,60%的企業(yè)表示,如果供應(yīng)商沒有購買網(wǎng)絡(luò)保險,他們會重新考慮要不要建立合作關(guān)系。
網(wǎng)絡(luò)安全事件很容易造成巨大的收入損失。IT系統(tǒng)宕機(jī)可導(dǎo)致工作中斷,潛在客戶很可能就去探索其他選擇了。損失知識產(chǎn)權(quán)和損害公司品牌聲譽的事也有可能發(fā)生。此外,如果憤怒的客戶提起訴訟,往往還會造成法律影響。有時候甚至政府實體都會參與其中。
網(wǎng)絡(luò)保險的起源可追溯至起碼25年前。那個時候,一些科技公司購買了錯誤與遺漏(E&O)保險,該保險承保提供服務(wù)過程中的專業(yè)錯誤所引發(fā)的索賠。隨著時間的推移,承保范圍逐漸擴(kuò)大,涵蓋了計算機(jī)系統(tǒng)未授權(quán)訪問和數(shù)據(jù)破壞等。
再后來,保單里又增加了其他的承保項目,例如機(jī)密信息泄露。零售商和醫(yī)院這種手握大量客戶數(shù)據(jù)卻不需要錯漏險的機(jī)構(gòu)對此類保險尤為感興趣。這些公司需要一份只承保數(shù)據(jù)泄露的獨立保單。今天的網(wǎng)絡(luò)安全保單便脫胎于此。
現(xiàn)在網(wǎng)絡(luò)保險的成本部分基于網(wǎng)絡(luò)攻擊的頻率、嚴(yán)重程度和所造成的損失,而所有這些都在上升。保險公司開始挑投保人和投保內(nèi)容了。近些年來,對于學(xué)術(shù)機(jī)構(gòu)和醫(yī)療保健行業(yè)等高風(fēng)險組織和行業(yè),很多保險公司調(diào)低了保險限額并/或提高了保費。
保險公司還收緊了保單條款和條件,希望日漸主要與能展現(xiàn)較強(qiáng)網(wǎng)絡(luò)安全成熟度的實體合作。當(dāng)下他們可能希望看到的是特定安全軟件已就位,且有專職網(wǎng)絡(luò)安全團(tuán)隊和/或與網(wǎng)絡(luò)安全管理公司建立了緊密合作關(guān)系。
在尋求網(wǎng)絡(luò)保險之前,企業(yè)需要正式確立自己的安全措施。其中,保險商希望企業(yè)定期測試異地和本地備份,且制定有網(wǎng)絡(luò)事件響應(yīng)計劃。
可以預(yù)見,在滿足這些要求方面,資源較少的小公司比大公司面臨更多的困難?!度A爾街日報》最近針對網(wǎng)絡(luò)安全專業(yè)人士進(jìn)行的一項調(diào)查指出,只有52%的小企業(yè)擁有網(wǎng)絡(luò)安全保險,而大企業(yè)這一比例為75%。勞動力短缺、供應(yīng)緊張和通貨膨脹,甚至新冠肺炎疫情的持續(xù)影響,都給小企業(yè)帶來了更大傷害。
小企業(yè)投保時,保險公司可能會在已設(shè)置何種防護(hù)措施方面給予他們更多回旋余地,但通常仍要求員工和第三方采用多因素身份驗證。向銷售保險的科技公司(所謂的“保險科技公司”,重度依賴人工智能)購買保險對小企業(yè)而言可能更好一些。但此類保險科技公司的客戶仍面臨著不斷改善自身網(wǎng)絡(luò)安全狀況才能繼續(xù)投保的壓力。
盡管很多保險公司認(rèn)為他們不能不投保網(wǎng)絡(luò)風(fēng)險,但近期可能會出現(xiàn)更多阻礙。美國政府問責(zé)局(GAO)最近的一份報告表明,目前尚不確定網(wǎng)絡(luò)保險是否能達(dá)到普惠的程度。GAO還補充道:“一些保險公司已經(jīng)開始限制為某些關(guān)鍵基礎(chǔ)設(shè)施行業(yè)提供的保險范圍了。”
隨著保險費率不斷攀升,保險范圍越收越窄,網(wǎng)絡(luò)保險可能變得越來越難以獲得。希望事情不會變得如此糟糕,也希望如果真的到了這步田地,政府會介入幫助,提供網(wǎng)絡(luò)保險補貼什么的。