本文來自微信公眾號“安全419”。
網(wǎng)絡(luò)安全保險興起于上世紀(jì)90年代末,當(dāng)美國國際集團(tuán)(AIG)在1997年推出第一份網(wǎng)絡(luò)保險單時,保險市場打開了一個新興險種領(lǐng)域。而國內(nèi)網(wǎng)絡(luò)安全保險起步略晚,目前仍處于市場探索期。網(wǎng)絡(luò)安全保險在國家政策和企業(yè)行政領(lǐng)導(dǎo)的推動下,正在成為商業(yè)安全戰(zhàn)略中不可或缺的部分。
據(jù)Delinea的最新研究調(diào)查,去年,47%的企業(yè)購買了網(wǎng)絡(luò)安全保險產(chǎn)品,較前年增加了4%。目前,每年數(shù)據(jù)泄露損失平均為45萬美元。面對日益增長的網(wǎng)絡(luò)安全威脅,任何企業(yè)都無法保證“萬無一失”。網(wǎng)絡(luò)安全保險作為企業(yè)實(shí)現(xiàn)風(fēng)險轉(zhuǎn)移的有效手段之一,在支付法律咨詢服務(wù)、調(diào)查溯源安全事故、事后響應(yīng)補(bǔ)救等方面可以發(fā)揮重要作用,同時使董事會、企業(yè)領(lǐng)導(dǎo)及投資者安心落意。
網(wǎng)絡(luò)保險需求激增承保要求趨嚴(yán)
隨著勒索軟件、網(wǎng)絡(luò)釣魚和DDoS的頻繁出現(xiàn)和日益嚴(yán)重,企業(yè)對網(wǎng)絡(luò)安全保險的需求也在不斷加大。不少企業(yè)制定了相關(guān)策略降低其網(wǎng)絡(luò)安全風(fēng)險,預(yù)計(jì)未來全球網(wǎng)絡(luò)保險的市場價值可能會翻一番,達(dá)到403億美元。
一方面,這表明更多公司正在采取措施保護(hù)其業(yè)務(wù)。另一方面,也表明保險價格正在持續(xù)上漲。保險公司從客戶經(jīng)歷的安全事件中學(xué)習(xí)總結(jié),向潛在客戶提供最具吸引力的條款并不斷提升其參保要求。就此,一項(xiàng)研究表明,需要半年或半年以上的時間才能獲保的企業(yè)數(shù)量增加。意向參與保險和續(xù)保的企業(yè)應(yīng)該充分了解細(xì)則和承保范圍,以及索賠的具體規(guī)定。
縱然保險公司在不斷迭代更新其產(chǎn)品,但他們對有意向參與保險和已參與保險的企業(yè)的參保要求逐漸嚴(yán)格。
因此,企業(yè)在申請網(wǎng)絡(luò)安全保險時,應(yīng)該明白獲得保單在很大程度上取決于現(xiàn)有的安全基礎(chǔ)設(shè)施和安全工作。那么,企業(yè)應(yīng)如何提升自身安全水位?
企業(yè)申請網(wǎng)絡(luò)安全保險的前提條件
隨著保險服務(wù)商愈加了解網(wǎng)絡(luò)安全的復(fù)雜性,企業(yè)在申請之前進(jìn)行網(wǎng)絡(luò)風(fēng)險全面評估及治理已成為承保的先決條件。例如,美國的保險公司在確定具體細(xì)則時更多參考NIST網(wǎng)絡(luò)安全框架。因此,企業(yè)應(yīng)該關(guān)注幾個關(guān)鍵領(lǐng)域,以增加參保機(jī)會。
在申請保險之前,企業(yè)必須充分了解可能會遇到的網(wǎng)絡(luò)風(fēng)險。需進(jìn)行全面的網(wǎng)絡(luò)安全風(fēng)險評估以查明漏洞,并確定網(wǎng)絡(luò)風(fēng)險承受能力。
各企業(yè)應(yīng)采取強(qiáng)有力的防范措施(例如惡意軟件防御和明確的數(shù)據(jù)安全策略)來保護(hù)其關(guān)鍵資產(chǎn)。身份安全尤其重要,Delinea的研究顯示,僅有49%的公司具有身份訪問管理(IAM)和特權(quán)帳戶管理(PAM)的策略。
除此之外,使用MFA(多因素身份驗(yàn)證)可以極大減少系統(tǒng)入侵、敏感數(shù)據(jù)泄露、身份盜竊、網(wǎng)絡(luò)釣魚和其他欺詐活動的風(fēng)險和可能性,如果企業(yè)使用MFA安全方式,當(dāng)外部攻擊來臨時,即便攻擊者獲得了用戶名和密碼,他們?nèi)匀恍枰硪环N或多種其他因素才能成功登錄。
風(fēng)險監(jiān)測與響應(yīng)計(jì)劃
與此同時,企業(yè)應(yīng)對風(fēng)險和違規(guī)的檢測能力也同等重要,尤其是涉及電腦終端和云服務(wù)器等端點(diǎn)的風(fēng)險和違規(guī)行為。網(wǎng)絡(luò)安全風(fēng)險可能因內(nèi)外部環(huán)境變化而發(fā)生變化,應(yīng)開展相應(yīng)的風(fēng)險監(jiān)測和預(yù)防活動,及時了解風(fēng)險變化情況,可采取相應(yīng)措施將風(fēng)險的變化控制在合理范圍。
保險公司還密切關(guān)注企業(yè)的響應(yīng)計(jì)劃,這對于承保也起著重要作用。保險公司嚴(yán)格評估企業(yè)恢復(fù)運(yùn)營的計(jì)劃,以及他們將如何利用網(wǎng)絡(luò)事件來汲取經(jīng)驗(yàn)并進(jìn)行整改。
網(wǎng)絡(luò)安全保險正在成為不可或缺的資產(chǎn),網(wǎng)絡(luò)風(fēng)險趨勢沒有減弱的跡象。但是,購買保險不僅僅是填寫申請表,無論選擇哪個供應(yīng)商,企業(yè)都需要展示其網(wǎng)絡(luò)安全態(tài)勢。不管是履行網(wǎng)絡(luò)安全保障義務(wù)還是購買保險,進(jìn)行風(fēng)險評估,適時優(yōu)化安全策略,都是有備無患之良方。