如果保險費用合理的話，購買網(wǎng)絡(luò)安全保險是一個不錯的選擇。因為在發(fā)生網(wǎng)絡(luò)安全事故時，這可能維持企業(yè)的生存，而不至于走向倒閉。但網(wǎng)絡(luò)安全保險絕不是企業(yè)在安全防護方面應(yīng)該考慮的第一要素。網(wǎng)絡(luò)安全事件和成本支出都呈現(xiàn)出上升趨勢。

根據(jù)ITRC的報告，截至2021年9月30日，公開報告的數(shù)據(jù)泄露事件比2020年全年多17%。IBM的 "Cost of a Data Breach Report"發(fā)現(xiàn)，數(shù)據(jù)泄露的支出從2020年的386萬美元增加到2021年的424萬美元，是該報告歷史記錄上的最高值。

隨著網(wǎng)絡(luò)攻擊的頻率、規(guī)模和嚴重性的增長，網(wǎng)絡(luò)保險行業(yè)發(fā)現(xiàn)了自己所處地位的尷尬。

網(wǎng)絡(luò)攻擊激增對網(wǎng)絡(luò)保險的影響

2016年，購買了保險的用戶中，只有26%的客戶在保險構(gòu)成中包含網(wǎng)絡(luò)安全。根據(jù)GAO的報告，這個數(shù)值在2020年增長到了47%。但是在整個網(wǎng)絡(luò)安全保險的范疇內(nèi)，增長的不僅僅只有用戶數(shù)量這個數(shù)字。

在2020年底，保險價格躍升了10%至30%。在2021年第三季度，網(wǎng)絡(luò)保費支出的平均成本攀升了27.6%，創(chuàng)下了歷史紀錄。如果按照這樣的情形發(fā)展下去，保險費用的支出超過企業(yè)投入產(chǎn)出比的閾值，對于企業(yè)來說網(wǎng)絡(luò)安全保險將失去意義。

保險行業(yè)如何應(yīng)對不斷變化的網(wǎng)絡(luò)危險范圍

除了提高保費之外，一些保險公司正在減少對特定行業(yè)的保險范圍，包括教育和醫(yī)療，限制提供網(wǎng)絡(luò)保險的數(shù)量或在合同條款方面作出嚴格的控制。一些保險公司正在為網(wǎng)絡(luò)風險提供獨立的保單，而不是將其與其他保險捆綁。

在2020年上半年，41%的網(wǎng)絡(luò)保險索賠與勒索軟件攻擊有關(guān)，許多保險公司開始限制他們對這些攻擊的賠付額度。在某些情況下，他們會完全不予賠付。截至2021年5月，因為法國的勒索病毒犯罪已經(jīng)造成超過55億美元的損失(僅次于美國)，全球保險公司AXA將不再為法國的勒索病毒犯罪進行賠付。

保險公司開始更多地關(guān)注客戶實際的網(wǎng)絡(luò)安全防護程度與有效性。已經(jīng)不再相信客戶簡單的口頭說明。除了讓客戶填寫標準問卷外，許多保險公司正在進行嚴格的檢查，以確保某些關(guān)鍵控制措施到位。多因素認證(MFA)，安全測試的備份，以及網(wǎng)絡(luò)記錄和監(jiān)控只是幾個重要的標準。保險公司對潛在客戶使用的安全控制也更加細致。

總的來說，保險公司必須確定保險產(chǎn)品自身的風險可控。

網(wǎng)絡(luò)保險是否助長了勒索軟件攻擊？

即使你能負擔得起并且在保險的條款范圍內(nèi)，你也應(yīng)該知道，網(wǎng)絡(luò)犯罪分子喜歡攻擊有網(wǎng)絡(luò)保險的公司。根據(jù)最近的一項調(diào)查，購買了網(wǎng)絡(luò)安全保險的企業(yè)支付贖金的可能性比沒有保險的企業(yè)高兩倍以上。

黑客甚至?xí)ㄟ^攻破保險公司，從而查看潛在受害者的保險，來發(fā)現(xiàn)并確定最高贖金。一旦他們勒索的企業(yè)有網(wǎng)絡(luò)安全保險，他們就會將注意力轉(zhuǎn)移到此處。

這使保險公司處于一個尷尬的境地。他們不僅自己是潛在的受害者，而且業(yè)務(wù)也不如過去幾年那么富有成效。網(wǎng)絡(luò)保險的賠付率現(xiàn)在已經(jīng)超過70%，達到了盈虧平衡點，這就迫使保險公司要做出艱難的決定。

如何在網(wǎng)絡(luò)攻擊和數(shù)字轉(zhuǎn)型的時代建立信任

隨著對網(wǎng)絡(luò)攻擊的擔憂不斷增加，越來越多的企業(yè)將考慮網(wǎng)絡(luò)完全保險。但它只是安全防護網(wǎng)絡(luò)中的一部分，它能給企業(yè)網(wǎng)絡(luò)安全防護能力帶來的僅限于更高的保費、更嚴格的標準以及它特定的安全目標。

無論你是否選擇網(wǎng)絡(luò)保險，都要確保你有網(wǎng)絡(luò)安全有基本保障。必須強制所有員工使用強密碼和MFA。確保你給所有系統(tǒng)打補丁，并保持安全軟件的更新。流量過濾和網(wǎng)絡(luò)分段是必須的。你還應(yīng)該制定災(zāi)難恢復(fù)計劃。

進行數(shù)據(jù)泄露應(yīng)急演練，網(wǎng)絡(luò)安全意識教育，并定期測試，以確定漏洞并根據(jù)需要進行修改。安全不能做到100%，但是有了這些措施，可以確保你有條不紊的應(yīng)對網(wǎng)絡(luò)安全事件，也更容易通過網(wǎng)絡(luò)保險的資格審查。

網(wǎng)絡(luò)安全保險的下一步該怎么做

威脅格局將繼續(xù)轉(zhuǎn)變，保險公司也將適應(yīng)。如果保險費用合理的話，購買網(wǎng)絡(luò)安全保險是一個不錯的選擇。因為在發(fā)生網(wǎng)絡(luò)安全事故時，這可能維持企業(yè)的生存，而不至于走向倒閉。但網(wǎng)絡(luò)安全保險絕不是企業(yè)在安全防護方面應(yīng)該考慮的第一要素。

專注于安全本身，不是為了通過網(wǎng)絡(luò)保險資格審查，而是要確保確保你擁有網(wǎng)絡(luò)安全的基本保障能力。企業(yè)的整體生命力是掌握在你自己手中的，不能僅依靠其他的東西來保障。