鑒于網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜以及威脅的不斷變化，組織盡可能地采取積極主動的手段也變得更為重要。

[[258487]]

盡管數(shù)據(jù)泄露成本正在不斷飆升，但是大多數(shù)組織仍未做好應(yīng)對財務(wù)和聲譽影響的準備。這也就很好地解釋了為什么對于組織而言，網(wǎng)絡(luò)保險日益成為了一項必不可少的業(yè)務(wù)。

如今，網(wǎng)絡(luò)風(fēng)險仍然是每個董事會和中小型企業(yè)(SEM)管理者的主要關(guān)注點。

目前的網(wǎng)絡(luò)格局異?；靵y——國家支持的間諜組織、經(jīng)濟動機的網(wǎng)絡(luò)犯罪團伙以及由于疏忽所導(dǎo)致的數(shù)據(jù)丟失案件層出不窮。風(fēng)險無處不在，而其造成的經(jīng)濟后果也是異常沉重。不得不說，網(wǎng)絡(luò)威脅仍然是當(dāng)今組織面臨的最重要且不斷增長的風(fēng)險之一，但糟糕的現(xiàn)實是，很少有組織真正準備好了應(yīng)對這一挑戰(zhàn)。

根據(jù)Ponemon Institute新的年度數(shù)據(jù)違規(guī)成本研究顯示，2018年數(shù)據(jù)泄露的全球平均成本已高達148美元，較2017年增長了6.4%。有趣的是，經(jīng)歷過最昂貴的損失成本的地點包括美國和英國，其報告的損失成本幾乎是全球平均水平的5倍。

很顯然，這種問題并不會消失。雖然網(wǎng)絡(luò)安全最常因大規(guī)模的泄露事件登上新聞頭條，但最常見的威脅實際上卻是針對中小型企業(yè)。本質(zhì)上來說，較小的組織一般是敏捷且創(chuàng)新的，它們會利用技術(shù)和互聯(lián)網(wǎng)的力量來吸引客戶群，但是，正是這種技術(shù)和互聯(lián)網(wǎng)的大范圍運用反而增加了防護面。根據(jù)國家網(wǎng)絡(luò)安全聯(lián)盟進行的一項研究結(jié)果顯示，60%遭受黑客攻擊的中小型企業(yè)都會在6個月后面臨停業(yè)倒閉結(jié)局。

購買網(wǎng)絡(luò)保險的5個理由

在如今這樣一個 “數(shù)字干擾” 時代，想要增強自身對網(wǎng)絡(luò)風(fēng)險的抵御能力，便要了解網(wǎng)絡(luò)治理責(zé)任的全部范圍。以下是為什么每個企業(yè)(無論規(guī)?；蛩袡?quán))都需要網(wǎng)絡(luò)保險的5個理由：

1. 網(wǎng)絡(luò)犯罪正呈現(xiàn)指數(shù)級增長

絕大多數(shù)企業(yè)都異常依賴在線服務(wù)，這也進一步擴大了它們的網(wǎng)絡(luò)攻擊面。根據(jù)英國政府進行的《2018年網(wǎng)絡(luò)安全漏洞調(diào)查報告》顯示，在過去12個月中，43%接受調(diào)查的英國組織遭受過網(wǎng)絡(luò)安全攻擊或數(shù)據(jù)泄露事件。由于高度復(fù)雜的攻擊手段如今已經(jīng)司空見慣，企業(yè)需要假設(shè)它們會在某些時候遭到破壞，并制定措施(例如，購買網(wǎng)絡(luò)保險)緩解風(fēng)險。

2. 數(shù)據(jù)泄露成本異常昂貴

如上所述，據(jù)Ponemon Institute《2018年數(shù)據(jù)違規(guī)成本研究》結(jié)果顯示，2018年全球數(shù)據(jù)泄露平均成本為148美元，而數(shù)據(jù)泄露的總成本已接近400萬美元。這一數(shù)據(jù)還不包括歐盟《通用數(shù)據(jù)保護法案》(GDPR，2018年5月生效)和加利福尼亞州《消費者保護法案》(2020年正式生效)所涉及的罰款和制裁金額。相信未來當(dāng)這些法案都正式生效后，這些損失成本一定會進一步增長。

但是，組織遭受攻擊的真正代價不僅僅只有財務(wù)或補救成本，還會造成無法估量和挽回的聲譽損失——遭受網(wǎng)絡(luò)攻擊可能會導(dǎo)致客戶的信任感喪失，從而造成客戶流失;此外，“安全性差”的名聲也可能導(dǎo)致組織無法開展新的業(yè)務(wù)或獲得政府合同等等。

3. 如果第三方數(shù)據(jù)在泄漏事件中受到損害，組織需要承擔(dān)法律和財務(wù)責(zé)任

美國國防部(DoD)和歐盟GDPR宣布的新法規(guī)規(guī)定，組織只負責(zé)任命第三方，這些第三方需要能夠提供足夠的保證，以滿足NIST 800-171和GDPR的要求。國防部和英國信息專員辦公室(ICO)將對未進行盡職調(diào)查以確保第三方合規(guī)的任何組織進行責(zé)任追究，并可能對其進行罰款。如今，“監(jiān)管罰款”幾乎已經(jīng)成了數(shù)據(jù)泄露的同義詞，而且網(wǎng)絡(luò)風(fēng)險已然實現(xiàn)全球化趨勢，這使得遵守不同地區(qū)的各種監(jiān)管政策變得更具挑戰(zhàn)性。

4. 標準/一般保險政策不包括網(wǎng)絡(luò)風(fēng)險

網(wǎng)絡(luò)保險是專門用于處理數(shù)據(jù)隱私和安全的獨特險種，也可作為保護企業(yè)免受數(shù)據(jù)泄露造成的財務(wù)和聲譽損失的后盾。雖然一般保險政策可能涵蓋某些類別的損失，但通常會存在許多重大差距，且網(wǎng)絡(luò)事件可能會影響眾多保險類別。一般保險政策通常不太可能承擔(dān)“普通的”安全漏洞損失成本，更別說是網(wǎng)絡(luò)攻擊或“黑客活動”造成的損失成本了。只有專業(yè)的網(wǎng)絡(luò)保險政策能夠提供廣泛的保障。但是，組織需要仔細研究政策，以了解其所提供的保險水平以及自身在政策條件下需要履行的責(zé)任。

5. 提高網(wǎng)絡(luò)意識和風(fēng)險管理

保險只是盡可能挽回損失的一種手段，單純地采取網(wǎng)絡(luò)保險政策并不能保護組織免受網(wǎng)絡(luò)攻擊侵擾。鑒于最常見的網(wǎng)絡(luò)風(fēng)險是社會工程——即員工自愿但不知不覺地允許攻擊發(fā)生的行為，因此組織必須讓每位員工接受有關(guān) “如何避免和識別網(wǎng)絡(luò)威脅” 的培訓(xùn)，在正確掌握基礎(chǔ)知識的前提下，更好地防范網(wǎng)絡(luò)威脅。事實上，網(wǎng)絡(luò)攻擊所造成的絕大部分傷害都是由于被攻擊方無法做出正確的響應(yīng)。組織需要制定一個全面的風(fēng)險管理計劃，詳細說明公司在面對包括未知威脅在內(nèi)的網(wǎng)絡(luò)攻擊時應(yīng)該做出的響應(yīng)措施。

打好基礎(chǔ)最關(guān)鍵

鑒于網(wǎng)絡(luò)環(huán)境日趨復(fù)雜且威脅不斷變化，組織盡可能地采取積極主動的方式變得越來越重要。Cyber Essentials是由英國政府制定，得到行業(yè)支持并認可的信息安全認證計劃，旨在幫助企業(yè)防范外來網(wǎng)絡(luò)威脅。據(jù)了解，Cyber Essentials(數(shù)碼安全要略)最初于2014年面世，由英國政府通信電子安全小組(CESG)(英國政府通信總部GCHQ 之信息安全部門)和英國政府商業(yè)、創(chuàng)新和技能部以及 BSI(英國標準協(xié)會)、中小企業(yè)信息安全保障(IASME)聯(lián)盟和信息安全論壇(ISF)共同開發(fā)。自2014年10月起，所有為英國中央政府處理敏感及個人信息的ICT(信息和通訊技術(shù))供應(yīng)商都必須通過Cyber Essentials認證。

據(jù)悉，Cyber Essentials認證分為兩個等級：一級Cyber Essentials要求機構(gòu)完成自我評估問卷，由獲得認可的認證機構(gòu)驗證后頒發(fā);第二級Cyber Essential Plus為安全提升級，主要針對機構(gòu)面臨外部網(wǎng)絡(luò)和互聯(lián)網(wǎng)攻擊時的韌性及續(xù)航力，需要機構(gòu)通過認可認證機構(gòu)的獨立安全控制測試，以提供更高水平的保障。

英國當(dāng)局認為，開展認證途徑將有助于組織——尤其是可能沒有設(shè)置專門的網(wǎng)絡(luò)安全小組的中小型企業(yè)，一致且高效地協(xié)調(diào)一個地方的所有安全實踐。認證是衡量組織網(wǎng)絡(luò)安全方法成熟度的重要指標。它有助于防范最常見的網(wǎng)絡(luò)威脅，并表現(xiàn)出對網(wǎng)絡(luò)安全的承諾。雖然網(wǎng)絡(luò)保險可以在組織面臨網(wǎng)絡(luò)威脅時提供一層保護，但它不能替代良好的網(wǎng)絡(luò)衛(wèi)生行為。

網(wǎng)絡(luò)保險應(yīng)該被視為公司整體風(fēng)險管理的重要補充，但在面對網(wǎng)絡(luò)風(fēng)險和數(shù)據(jù)泄露之前，組織不應(yīng)該坐以待斃!

Ponemon Institute《2018年數(shù)據(jù)違規(guī)成本研究》：

https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文