任何存储客户信息或者依赖技术的公司(包括大多数企业)都面临着网络风险。 安全团队可采取相应措施来缓解网络威胁,但却无法完全杜绝。 根据 Travelers Risk Index(链接位于 ibm.com 外部),57% 的企业领导者认为网络攻击不可避免。
标准企业保险产品(例如,一般责任保险和过失与疏忽保险)通常不会涵盖网络事件造成的损失,这使得公司往往会自行承担勒索软件攻击、商业电子邮件泄漏骗局和其他网络犯罪的全部成本。 这些攻击可能会造成重大经济损失。 例如,勒索软件攻击的平均成本为 454 万美元,这还不包括赎金。
网络保险的出现正是为了填补这一空缺。 通过涵盖赎金、恶意软件补救和其他成本,网络保险可帮助公司限制其损失,更快恢复,以及提高整体的网络安全永续水平。
网络保险覆盖范围可以根据业务需求、企业存储的数据类型以及企业所在行业而有所不同。 许多网络保险都为第一方和第三方保险提供了相应的选项。 第一方保险用于对企业的直接损失进行赔偿,例如,恢复数据和复原系统的成本。 第三方保险则对企业以外各方所承受的损失进行赔偿,例如,数据被盗的消费者。
在涉及到具体损失时,很多网络保险对以下事项进行赔偿:
如果公司因网络攻击导致计算机系统脱机而损失收入,那么网络保险可涵盖部分或全部损失。
保险可以对事件响应、系统修复、取证调查以及网络事件发生后所需的其他服务进行赔偿。
网络保险可帮助对因网络攻击而引起的诉讼进行赔偿,例如,客户提起的诉讼。 某些保险公司可能会为被保险公司提供法律代表。
在黑客窃取个人身份信息 (PII) 或其他敏感信息(例如,信用卡或社会保险号)时,网络保险可帮助涵盖通知客户以及提供服务(例如,信用监管)的费用。
网络攻击可能会导致监管调查,特别是在高度监管的领域,例如,医疗保健和金融服务领域。 网络保险可能涵盖遵守这些审计要求所产生的成本,包括公司必须支付的任何罚款。
在受到攻击后,公司可能需要雇佣公关公司或采取其他措施来挽救其品牌声誉。 一些网络保险将帮助支付这些费用。
许多网络保险都涵盖勒索软件赎金,但是由于赎金高昂,一些保险提供商正在终止或限制此保险。
虽然网络保险可以涵盖大量事件,但是也有一些事件不会进行赔付。 这些被称为“例外情况”。 常见的例外情况包括:
当供应商和其他合作伙伴遭受攻击时,公司可能会发生数据失窃或者服务中断情况。 网络保险并不总是会为这些损失买单,但某些保险公司会以额外收费的方式提供第三方违规保险。
内部威胁导致的损失(例如,恶意或疏忽的员工)很少会被涵盖在内。
许多网络保险认为这些攻击是战争行为,不会涵盖它们。
如果黑客利用了公司知道但却没有修复的缺陷,许多网络保险将会拒绝索赔。
大多数计划都不会涵盖错误配置和其他内部错误所导致的中断。
虽然网络保险的需求很高,但是不断上升的网络保险费用使公司(尤其是中小企业)很难找到合适的保险。 根据 Marsh McLennan(链接位于 ibm.com 外部),2022 年第 1 季度,网络保险价格上涨了 110%。
根据 451 Research(链接位于 ibm.com 外部),网络保险可能会导致勒索软件攻击增加。 随着越来越多的企业购买网络保险,他们变得更愿意支付赎金,因为保险会涵盖这些费用。 反过来,黑客则会受到鼓励而继续索要赎金。 一个新的勒索软件 HardBit(链接位于 ibm.com 外部)甚至要求受害者分享其网络保险的详细信息,这样黑客便能够计算保险所涵盖的赎金。
与其他保险产品相比,网络保险相对较新,这也加剧了价格动荡。 保险公司在网络攻击成本方面具有的历史数据有限,因此很难创建精确的风险模型和设置稳定的价格。
随着保险公司看到其损失攀升,他们通过提高保费和限制覆盖范围进行响应。 对于在法国发布的保险,保险公司 AXA 已停止涵盖勒索软件赎金(链接位于 ibm.com 外部)。 Lloyd’s of London(链接位于 ibm.com 外部)将不再涵盖国家资助的网络攻击,这是另一个重大损失的来源。
保险公司也针对被保险公司规定了更严格的网络安全要求。 除非公司具有适当的多因子认证、数据加密、零信任或类似的策略,否则一些保险商甚至都不会提供保险报价。 一些保险公司正日渐承担起咨询角色,让保单持有人和企业所有者访问安全工具和服务提供商,帮助他们改进安全态势。 一些专家预测,网络保险公司可能会成为执行 NIST 网络安全框架等标准的关键要素,因为遵循这些标准的公司的投保成本会更低。