如果公司知識產(chǎn)權遭黑客攻擊被盜，沒有哪種保險能彌補公司耗在研發(fā)上的幾百萬美元。

[[283051]]

網(wǎng)絡保險策略旨在覆蓋系統(tǒng)取證、數(shù)據(jù)恢復和法律及客戶賠償支出等安全事件和數(shù)據(jù)泄露的開支。承保的典型事件類型包括發(fā)票欺詐、加密鎖定恢復和內部人威脅。盡管網(wǎng)絡保險在整套安全方法中占有一席之地，其地位卻常被誤解。

首先，公司企業(yè)必須了解自身關鍵數(shù)字資產(chǎn)和風險，因為網(wǎng)絡保險策略的理性采納對管理保費支出和確保恰當保險范圍至關重要。但網(wǎng)絡保險只是事后風險彌補，永遠不應替代恰當?shù)陌踩椖俊Ｈ绻酒髽I(yè)過度投資網(wǎng)絡保險而對安全控制投入不足，說明他們預期被黑，并由保險公司來解決這個問題，即便他們本意并非如此。沒錯，數(shù)據(jù)泄露發(fā)生的頻率令人震驚，數(shù)據(jù)隱私法律監(jiān)管下的巨額罰單也越來越頻繁開出。但對公司企業(yè)而言更好的安全方法，卻是追求適當平衡了網(wǎng)絡保險的主動安全策略。

網(wǎng)絡保險直到 2005 年才開始流行開來，是個相對較新且快速發(fā)展的行業(yè)。Adroit 市場研究公司最近的一份報告聲稱，網(wǎng)絡保險市場將迎來指數(shù)級增長，從 2019 年全球保費近 40 億美元，增長至 2025 年超 230 億美元。推動這一預測的，是公司企業(yè)對最近頒布的一系列數(shù)據(jù)隱私監(jiān)管規(guī)定的反應，比如歐盟 2018 年 5 月生效的《通用數(shù)據(jù)保護條例》(GDPR)。

公司企業(yè)自然害怕遭遇數(shù)據(jù)泄露可導致的巨額罰款和賠款，例如英國航空公司和萬豪國際被征收的罰金。他們向自己的保商尋求可彌補數(shù)據(jù)泄露通告相關支出及其他修復成本的保險計劃。然而，不投資恰當?shù)目刂拼胧┒^度依賴網(wǎng)絡保險，表明公司企業(yè)預期遭遇數(shù)據(jù)泄露而非組織有效防御。雖然保險商能夠彌補一些損失，但無法修復安全事件拉低的公司信譽，也無法拿回公司被竊的知識產(chǎn)權 (IP)。令人遺憾的真相就是，如果公司花費數(shù)百萬美元研究與開發(fā) (R&D) 而該知識產(chǎn)權被盜，沒有任何保單能兜住該研發(fā)投資成本。

云

網(wǎng)絡保險興盛的另一貢獻因子是云的迅速采納。但公司企業(yè)往往將網(wǎng)絡保險當成覆蓋其運遷移和配置錯誤的保護傘，而沒有發(fā)展衡量和持續(xù)測試其控制措施有效性的主動安全項目。

另外，公司企業(yè)還必須理解網(wǎng)絡保險提供商是逐利的，并不會賠付本可用恰當?shù)陌踩椖恳?guī)避的數(shù)據(jù)泄露。就好像長期醫(yī)療保險會拒保未通過健康評估的投保人一樣，保險商索賠限制越來越嚴格，甚至拒保缺乏恰當安全控制措施的公司毫不令人意外。舉個例子，如果公司遭遇的電子郵件入侵攻擊可以通過多因子身份驗證 (MFA) 緩解的，那么保險公司就可能不賠付或減少賠付數(shù)額。

FUD 因素

當今不斷變化的數(shù)據(jù)隱私環(huán)境中，圍繞保險商策略和索賠分類的恐懼、不確定性與懷疑 (FUD) 從來不缺。著名案例之一就是索尼網(wǎng)絡保險商(蘇黎世美國保險公司)拒賠其 2011 年 7,700 萬用戶個人可識別信息 (PII) 泄露的 20 億美元損失。甚至在索尼將蘇黎世告上法庭后，蘇黎世還給索尼上了一課什么叫做 “保險策略不覆蓋任何第三方黑客事件”。

最終，網(wǎng)絡保險不能，也不應該被視為恰當網(wǎng)絡安全項目的替代品。網(wǎng)絡保險可幫助彌補事后損失，但承擔不了知識產(chǎn)權被盜的損失，也無法堵上安全項目設計不良的漏洞。有效安全策略不僅可以幫助公司企業(yè)獲得網(wǎng)絡保險，測試這些安全控制措施的有效性還將幫助公司企業(yè)在攻擊者找上自己前發(fā)現(xiàn)安全漏洞。該方法也可使公司企業(yè)通過識別并移除重疊控制措施，來提升其網(wǎng)絡安全預算的投資回報，同時還向所有利益相關者顯示出公司相當重視安全。