網絡安全險的最大問題:正確平衡投保費和賠償費用
責編:gltian |2020-07-08 16:29:52最近ESI ThoughtLab發布了一個有關“安全驅動力”(企業在現在的數字環境中如何驅動安全達到最佳表現)的報告,其中的一個最佳實踐是:盡可能多地通過網絡安全保險轉移風險。一定程度上,網絡安全保險的使用數量在增加,但是保險行業似乎認為可以做得更好。
ESI ThoughtLab調查了全球超過1,000家企業,得到了大量的領頭企業,比如Verizon、KnowBe4、Check Point的支持。同時,也有網絡安全保險公司Cowbell Cyber。Cowbell為報告提供了中小型企業(在美國年收入低于10億美元的公司)的相關保險數據。
在Cowbell的報告中,第一件注意到的事,是中小型企業正在以一個比大企業更快的速度(65%對比58%)采用網絡安全保險作為對抗手段的一部分。但是,這可能只是因為來自于他們客戶的要求——而這個原因的影響對大公司來說要小很多。35%的中小企業因為這個原因購買網絡安全保險,而另外30%的購買原因是基于相關規定對個人和第三方的賠付要求。不過,無論是何種原因,97%的中小企業都對網絡安全保險的ROI表示滿意。
但從另一方面來看,一些數據表明,70%的公司采取的網絡安全保險保額不足。這些公司的保險范圍低于100萬美元,而Cowbell認為一次成功的網絡攻擊造成的平均損失為122萬英鎊(約150萬美元)。因保額不足面臨最多風險的公司包括電信、零售、醫療和生命科學企業。和保額不足相對的,是有公司超額投保,這類公司以媒體和某些專業領域的為主。
保險費成本和潛在匯報之間的差異也是Cowbell討論的內容之一。對于中小企業而言,網絡保險缺少更高的保額上限。當網絡空間涉及到更廣泛的領域的時候,上限不足以補償真實網絡事故中的損失。保險政策的制定者低估了事故發生后,響應和修復中需要的費用。
網絡安全保險的最大問題之一,是正確平衡投保費和賠償費用。網絡安全保險最初是作為填補之前存有的保險種類中缺失的一部分。因此,獨立存在的網絡安全保險險種并不總是存在,同時由于不同客戶面臨的風險不同,平衡保險和風險之間的關系本身也很復雜。
Cowbell自身的解決方法,是用他們自己的AI風險監測平臺發現,并量化每個客戶的風險。這使得他們能夠為每個客戶形成一套獨特的基于風險的獨立保險產品,從而明確保險的理賠范圍,消除各種存在的分歧——這也是獨立的網絡安全保險產品的重要意義。
對于改善以后的網絡安全保險,一大隱患是出現意料之外的情況。保險公司會基于自身利益,還是保護客戶來開發產品?另一個更普遍的問題,是勒索病毒保險是否實際上在供養勒索病毒市場,讓勒索金額升高。最后,客戶是否會因為過度依賴保險而非他們自身的安全控制,從而降低了整體的安全生態?
Cowbell的CEO,Jack Kudale,認為這些答案都是否定的。首先,他并不認為保險公司會完全只基于自身的利益出發。同時,在他看來,通過Cowbell的分析工具,勒索攻擊成功的幾率會被下降,從而賠償和風險會更平衡。他認為,保險的最終目的不是鼓勵勒索病毒攻擊,而是讓企業在尋求保險之前,加強自身的防御能力并進行一次完全的評估。
最后,他不認為在網絡安全保險上的依賴會降低對安全控制的要求。畢竟,沒有人愿意發生一起安全事故,再從中進行重建。另外,71%的調查受訪者表示會在未來兩年內加大投保金額。網絡安全保險的客戶也在學習到需要進一步的保護。Kudale表示,現在企業逐漸意識到沒有任何安全工具能夠消化100%的攻擊,因此需要網絡安全保險來降低攻擊帶來的損失。
轉載自:數世咨詢