網(wǎng)絡(luò)保險(xiǎn)是一項(xiàng)正在進(jìn)行的工作，許多現(xiàn)有客戶實(shí)際上是“小白鼠”。

網(wǎng)絡(luò)保險(xiǎn)業(yè)的基本問題很容易陳述，但很難解決。收入(保費(fèi))必須超過支出(索賠)約30%(運(yùn)營(yíng)成本+利潤(rùn))。如果索賠增加，保險(xiǎn)模式的保費(fèi)也必須增加，才能維持下去。

但網(wǎng)絡(luò)犯罪的成本正在急劇上升，而且多年來一直如此。不斷提高保費(fèi)以應(yīng)對(duì)不斷增加的索賠最終是不可持續(xù)的。遲早，本來是企業(yè)風(fēng)險(xiǎn)管理有效形式的保險(xiǎn)，其成本會(huì)變得過于高昂。因此，網(wǎng)絡(luò)保險(xiǎn)要想持續(xù)下去，就必須找到一種平衡成本收益的方法。

一個(gè)可能的解決方案是，降低成本(索賠)會(huì)比增加銷售額(保費(fèi))更快地提高損益率。這是保險(xiǎn)業(yè)目前正在考慮的方案。首先，可以通過增加保險(xiǎn)單中的除外責(zé)任來降低成本。當(dāng)然，這會(huì)降低保險(xiǎn)作為風(fēng)險(xiǎn)管理工具的價(jià)值，而且可保范圍也受限。其次，如果客戶的安全狀況能夠得到充分改善以減少索賠，那么保險(xiǎn)成本也可以降低，或者至少保持在當(dāng)前水平。

當(dāng)前網(wǎng)絡(luò)保險(xiǎn)的問題

根據(jù)研究機(jī)構(gòu)Moody在2021年10月19日聲稱：“勒索軟件的激增已經(jīng)導(dǎo)致網(wǎng)絡(luò)保險(xiǎn)策略的損失，保險(xiǎn)公司的損失在2021年可能會(huì)增加。雖然保險(xiǎn)公司已經(jīng)看到了勒索軟件的激升而逐漸提高網(wǎng)絡(luò)保險(xiǎn)定價(jià)，并降低了保單限額，增加了免賠額，同時(shí)收緊了條款和條件?！?/p>

勒索軟件是目前業(yè)界和保險(xiǎn)公司的一大難題。但這并不是唯一的威脅。BEC(商業(yè)郵件欺詐)也同樣能造成巨大且難以預(yù)測(cè)的損失。許多研究人員認(rèn)為，隨著技術(shù)的進(jìn)步(典型的如Deepfake)，BEC將在2022年繼續(xù)擴(kuò)大。

在大多數(shù)保險(xiǎn)市場(chǎng)，保險(xiǎn)公司擁有數(shù)百年的航海、汽車、家庭和人壽保險(xiǎn)損失及其原因的數(shù)據(jù)。這些數(shù)據(jù)作為精算表，提供了準(zhǔn)確的證據(jù)，可以作為個(gè)案保費(fèi)的基礎(chǔ)。但對(duì)于網(wǎng)絡(luò)空間來說，沒有這樣的精算表，而且也不太可能被編制成表。

“我認(rèn)為保險(xiǎn)業(yè)無法創(chuàng)建網(wǎng)絡(luò)安全精算表，風(fēng)險(xiǎn)是不可預(yù)測(cè)的。攻擊者很聰明，一直在尋找利用受害者的新方法。是的，我們正在變得更好，我們有更多的數(shù)據(jù)——但三年前的損失經(jīng)驗(yàn)與今天無關(guān)。保險(xiǎn)業(yè)會(huì)像汽車業(yè)那樣獲得精算表嗎?我不認(rèn)為會(huì)發(fā)生這種情況?！?-Cowbell保險(xiǎn)主管克里斯·里斯

由于沒有歷史數(shù)據(jù)的幫助，保險(xiǎn)公司無法主動(dòng)設(shè)定準(zhǔn)確的保費(fèi)，而是被動(dòng)做出反應(yīng)。通過設(shè)定更高的保費(fèi)和保險(xiǎn)條件來應(yīng)對(duì)不斷增加的索賠。簡(jiǎn)而言之，購(gòu)買保險(xiǎn)變得越來越昂貴，續(xù)保變得越來越困難，有時(shí)甚至不可能。

但另一方面，盡管網(wǎng)絡(luò)保險(xiǎn)的成本不斷上升，覆蓋范圍不斷縮小，但該市場(chǎng)仍在迅速擴(kuò)張。2021年5月，美國(guó)政府問責(zé)制辦公室(GAO)發(fā)布了來自全球保險(xiǎn)經(jīng)紀(jì)公司MaSH的數(shù)據(jù)，表明客戶購(gòu)買網(wǎng)絡(luò)保險(xiǎn)的比例從2020上升到47%，2016年這個(gè)比例是26%。

主要原因就是網(wǎng)絡(luò)犯罪的持續(xù)增長(zhǎng)。據(jù)一些調(diào)查報(bào)告估計(jì)，網(wǎng)絡(luò)犯罪已經(jīng)給全球經(jīng)濟(jì)造成了數(shù)萬億美元的損失，并且未來幾年還會(huì)繼續(xù)增長(zhǎng)。保險(xiǎn)業(yè)要想在更大的市場(chǎng)覆蓋越來越多的索賠，需要做的不僅僅是反復(fù)提高保費(fèi)，因此一個(gè)可行的解決方案是通過提高客戶的網(wǎng)絡(luò)安全來減少索賠。問題在于，對(duì)于保險(xiǎn)公司而不是網(wǎng)絡(luò)安全公司來說，該如何去做呢?

網(wǎng)絡(luò)保險(xiǎn)的可能路徑

支付卡行業(yè)有一個(gè)安全標(biāo)準(zhǔn)(PCIDSS)，所有公司在接受銀行卡支付之前必須遵守該標(biāo)準(zhǔn)。提高被保險(xiǎn)人安全性的一個(gè)途徑是制定類似的安全標(biāo)準(zhǔn)并要求其合規(guī)。

英國(guó)的汽車保險(xiǎn)行業(yè)有先例。在駕駛員為機(jī)動(dòng)車輛投保之前，車輛必須首先通過交通部(MoT)設(shè)計(jì)的測(cè)試，并獲得MoT證書。保險(xiǎn)是法律要求的，所以測(cè)試也是法律要求的，保險(xiǎn)業(yè)在受益的同時(shí)，也會(huì)因?yàn)榭蛻粲凶C書而降低保費(fèi)。美國(guó)的通常做法是，要求汽車保險(xiǎn)覆蓋第三方責(zé)任。

目前還沒有法律要求企業(yè)必需購(gòu)買網(wǎng)絡(luò)保險(xiǎn)——但未來發(fā)生這種情況的可能并非不可想象。

合規(guī)要求的強(qiáng)制保險(xiǎn)，其價(jià)值可以從證書上體現(xiàn)，如上文中的MoT證書，通過該驗(yàn)證則證明客戶的高安全性，也因此保險(xiǎn)公司會(huì)提供更低的保費(fèi)。但這只是假設(shè)，在網(wǎng)絡(luò)保險(xiǎn)這個(gè)領(lǐng)域，安全證書能否減少被保險(xiǎn)人的索賠概念，并最終得以讓保險(xiǎn)業(yè)將保費(fèi)保持在當(dāng)前或更低的水平，答案還是未知。

“PCI無疑提高了很多公司的網(wǎng)絡(luò)安全基準(zhǔn)，但它并沒有神奇地解決這個(gè)問題。你可以通過PCI審核，但仍然會(huì)被入侵。支付卡行業(yè)的問題是，是否能讓攻擊成本大于收益?”--趨勢(shì)科技市場(chǎng)戰(zhàn)略和企業(yè)發(fā)展主管Eric Skinner

也許只有時(shí)間才能證明，保險(xiǎn)業(yè)是否能夠開發(fā)、維護(hù)并要求遵守一個(gè)行之有效的可靠安全標(biāo)準(zhǔn)出來。

特殊控制是否可行

保險(xiǎn)業(yè)的另一種做法是對(duì)不同的客戶進(jìn)行不同的控制，這將比單一的通用的標(biāo)準(zhǔn)更加靈活。風(fēng)險(xiǎn)對(duì)于不同的行業(yè)不同的用戶不同的時(shí)期都是不同的，所以既可以不同用戶不同規(guī)定，也可以在續(xù)保時(shí)或每年對(duì)其進(jìn)行更改修訂。

但這樣做意味著，保險(xiǎn)公司會(huì)介入客戶的安全評(píng)估工作。比如，網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)人員會(huì)要求客戶提供一份關(guān)于其安全狀況的聲明。如同年度合規(guī)審計(jì)的調(diào)查問卷，但這種問卷在降低風(fēng)險(xiǎn)上的作用不大。比如，“您部署了EDR嗎?”一些保險(xiǎn)經(jīng)紀(jì)人表示，如果客戶的回答是“No”，他們就有很高的被拒絕或不續(xù)簽的風(fēng)險(xiǎn)。

但根本的問題在于，安全性并不是通過部署安全產(chǎn)品來增強(qiáng)的，而是通過正確地實(shí)施和充分地使用來增強(qiáng)，這是無法通過問卷調(diào)查來衡量的。因此，這就要求保險(xiǎn)人員了解投保公司的業(yè)務(wù)，了解該公司CISO所掌握的安全狀況。先不說保險(xiǎn)人員有沒有這種能力或意愿，客戶愿意嗎?

實(shí)施持續(xù)監(jiān)控

第三種方法是保險(xiǎn)業(yè)根據(jù)第三方安全評(píng)估公司的建議支付保費(fèi)。這種建議以持續(xù)的安全態(tài)勢(shì)監(jiān)測(cè)為基礎(chǔ)，也更容易被客戶接受。保險(xiǎn)公司可以簡(jiǎn)單地說，我們的掃描顯示你在某某方面很弱，加固這些方面就有可能獲得較低的保費(fèi)。

但這種評(píng)估的缺點(diǎn)是大多數(shù)掃描只能看到客戶基礎(chǔ)設(shè)施的外部視圖，但也依然有效，因?yàn)榻^大多數(shù)黑客也是這樣做的。收斂攻擊面，脆弱性加固都可以提升黑客的攻擊成本，使其很難找到切入點(diǎn)。

但如果能從外部監(jiān)控逐步升級(jí)到對(duì)整個(gè)基礎(chǔ)設(shè)施的內(nèi)部持續(xù)監(jiān)控，無疑可以讓保險(xiǎn)公司對(duì)客戶投保所需的保費(fèi)進(jìn)行更智能的評(píng)估。從某種意義上可以說，那些提供安全評(píng)估服務(wù)的公司就像保險(xiǎn)經(jīng)紀(jì)人的助手，為經(jīng)紀(jì)人提供必要的信息，以在與客戶的協(xié)商中決定最合算的保費(fèi)。

網(wǎng)絡(luò)保險(xiǎn)業(yè)的未來

網(wǎng)絡(luò)保險(xiǎn)是個(gè)正在嘗試的新險(xiǎn)種，這意味著許多現(xiàn)有客戶實(shí)際上是試驗(yàn)品。而且上文中提到的，當(dāng)前不斷增加的保費(fèi)和除外責(zé)任以抵消不斷上升的索賠的模式是不可持續(xù)的。保險(xiǎn)公司已經(jīng)意識(shí)到這一點(diǎn)，并正在積極尋求解決方案。雙方的目的是一樣的，提高安全性，降低網(wǎng)絡(luò)攻擊造成的損失。

Resilience首席執(zhí)行官Vishaal Hariprasad認(rèn)為，解決方案將伴隨著投保人、網(wǎng)絡(luò)安全和保險(xiǎn)公司之間的新關(guān)系而產(chǎn)生。Hariprasad于2016年進(jìn)入保險(xiǎn)行業(yè)，此前曾擔(dān)任Palo Alto威脅情報(bào)架構(gòu)師。他還有一個(gè)身份，美國(guó)空軍預(yù)備隊(duì)的網(wǎng)絡(luò)作戰(zhàn)官。

“在2016年，可以購(gòu)買價(jià)值100萬美元的網(wǎng)絡(luò)保險(xiǎn)。經(jīng)紀(jì)人會(huì)問，你有IT人員嗎?你們買了防火墻嗎?但他們從來沒有問防火墻是否打開過，因?yàn)檎麄€(gè)保險(xiǎn)業(yè)都不在乎。但這是必須改變的，保險(xiǎn)公司需要知道，你的防火墻打開了嗎?它是否一直在更新?是否不斷引入正確的數(shù)據(jù)源?是否在監(jiān)控?”保險(xiǎn)人和被保險(xiǎn)人之間需要一種新的合作關(guān)系。

換句話說，保險(xiǎn)公司通過與威脅信息共享機(jī)構(gòu)的關(guān)系，要成為客戶的網(wǎng)絡(luò)安全顧問。投保人和保險(xiǎn)人都在尋求同一個(gè)目的——更好的網(wǎng)絡(luò)安全，這可以通過雙方都能接受的方式來實(shí)現(xiàn)，而不是以官方強(qiáng)制的方式。

Hariprasad認(rèn)為，成功的網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)，最重要的是共同參與和持續(xù)監(jiān)控，即投保人和充分了解威脅狀況的保險(xiǎn)公司雙方之間的共同參與，以及對(duì)網(wǎng)絡(luò)安全緩解措施的持續(xù)監(jiān)控。

網(wǎng)絡(luò)保險(xiǎn)和網(wǎng)絡(luò)安全必須學(xué)會(huì)協(xié)調(diào)工作，而不是被視為彼此的替代品。保險(xiǎn)公司必須成為投保人董事會(huì)值得信賴的顧問，董事會(huì)也必須學(xué)會(huì)與保險(xiǎn)公司合作，改善網(wǎng)絡(luò)安全措施，提升企業(yè)安全能力，盡可能地降低保費(fèi)。