網絡保險的殘酷真相:沒有什么保險能彌補研發成本
責編:gltian |2019-11-20 15:07:32如果公司知識產權遭黑客攻擊被盜,沒有哪種保險能彌補公司耗在研發上的幾百萬美元。
網絡保險策略旨在覆蓋系統取證、數據恢復和法律及客戶賠償支出等安全事件和數據泄露的開支。承保的典型事件類型包括發票欺詐、加密鎖定恢復和內部人威脅。盡管網絡保險在整套安全方法中占有一席之地,其地位卻常被誤解。
首先,公司企業必須了解自身關鍵數字資產和風險,因為網絡保險策略的理性采納對管理保費支出和確保恰當保險范圍至關重要。但網絡保險只是事后風險彌補,永遠不應替代恰當的安全項目。如果公司企業過度投資網絡保險而對安全控制投入不足,說明他們預期被黑,并由保險公司來解決這個問題,即便他們本意并非如此。沒錯,數據泄露發生的頻率令人震驚,數據隱私法律監管下的巨額罰單也越來越頻繁開出。但對公司企業而言更好的安全方法,卻是追求適當平衡了網絡保險的主動安全策略。
網絡保險直到 2005 年才開始流行開來,是個相對較新且快速發展的行業。Adroit 市場研究公司最近的一份報告聲稱,網絡保險市場將迎來指數級增長,從 2019 年全球保費近 40 億美元,增長至 2025 年超 230 億美元。推動這一預測的,是公司企業對最近頒布的一系列數據隱私監管規定的反應,比如歐盟 2018 年 5 月生效的《通用數據保護條例》(GDPR)。
公司企業自然害怕遭遇數據泄露可導致的巨額罰款和賠款,例如英國航空公司和萬豪國際被征收的罰金。他們向自己的保商尋求可彌補數據泄露通告相關支出及其他修復成本的保險計劃。然而,不投資恰當的控制措施而過度依賴網絡保險,表明公司企業預期遭遇數據泄露而非組織有效防御。雖然保險商能夠彌補一些損失,但無法修復安全事件拉低的公司信譽,也無法拿回公司被竊的知識產權 (IP)。令人遺憾的真相就是,如果公司花費數百萬美元研究與開發 (R&D) 而該知識產權被盜,沒有任何保單能兜住該研發投資成本。
云
網絡保險興盛的另一貢獻因子是云的迅速采納。但公司企業往往將網絡保險當成覆蓋其運遷移和配置錯誤的保護傘,而沒有發展衡量和持續測試其控制措施有效性的主動安全項目。
另外,公司企業還必須理解網絡保險提供商是逐利的,并不會賠付本可用恰當的安全項目規避的數據泄露。就好像長期醫療保險會拒保未通過健康評估的投保人一樣,保險商索賠限制越來越嚴格,甚至拒保缺乏恰當安全控制措施的公司毫不令人意外。舉個例子,如果公司遭遇的電子郵件入侵攻擊可以通過多因子身份驗證 (MFA) 緩解的,那么保險公司就可能不賠付或減少賠付數額。
FUD 因素
當今不斷變化的數據隱私環境中,圍繞保險商策略和索賠分類的恐懼、不確定性與懷疑 (FUD) 從來不缺。著名案例之一就是索尼網絡保險商(蘇黎世美國保險公司)拒賠其 2011 年 7,700 萬用戶個人可識別信息 (PII) 泄露的 20 億美元損失。甚至在索尼將蘇黎世告上法庭后,蘇黎世還給索尼上了一課什么叫做 “保險策略不覆蓋任何第三方黑客事件”。
最終,網絡保險不能,也不應該被視為恰當網絡安全項目的替代品。網絡保險可幫助彌補事后損失,但承擔不了知識產權被盜的損失,也無法堵上安全項目設計不良的漏洞。有效安全策略不僅可以幫助公司企業獲得網絡保險,測試這些安全控制措施的有效性還將幫助公司企業在攻擊者找上自己前發現安全漏洞。該方法也可使公司企業通過識別并移除重疊控制措施,來提升其網絡安全預算的投資回報,同時還向所有利益相關者顯示出公司相當重視安全。
Adroit Market Research 報告:
https://adroitmarketresearch.com/industry-reports/cyber-security-insurance-market