愈來愈多的組織試圖投保以保護自己不因為潛在的網路侵入事件蒙受損失,在此同時,保險公司在核保過程中又會如何評估風險。
文/Karen Epper Hoffman 譯/高忠義
隨著IT安全侵害事件之發生變成只是「早晚」的問題,而不是「如果發生怎麼辦」,愈來愈多公司部門組織購買網路保單以降低侵害事件的影響。根據 AM Best 美國信用評級機構的市場部門報告,網路保險公司簽署保單的直接保費從2015年的9億9千6百萬,上升到2018年的20億,那是兩倍的增長。
的確,隨著各種規模或大或小的組織受到資料竊取行為、勒贖軟體與其他各式各樣的侵入事件之襲擊,網路保險,也稱為網路責任保險,或網路風險保險,愈來愈受歡迎。
「網路安全社群逐漸承認這議題有更多的風險管理面向」,Chubb網路產品的全國產品線經理 Matt Prevost 這麼說。「所以,確實需要從企業風險管理開始才能引起網路安全社群的共鳴。」
對網路保險的看法正在轉變
在過去兩年,組織內的能見度已有改善,而許多組織現在也更清楚地瞭解網路安全與風險管理不只是「大公司與小公司的技術問題」,Prevost在訪談中如此補充。
PwC會計師事務所估計大約十分之三的公司買了網路風險保單。然而,在該事務所最近的報告《2020與之後的保險:收割網路復原的利益》,PwC會計師事務所預估在十年期結束之時總保險費毛額可能達到75億。
Cyber Risk Underwriters (CRU)事務所的管理合夥人 Jeffrey Smith 觀察到CRU簽署的中小企業(SME)網路保險保單的成功核保率只有60%(取決於產業與組織規模)。「很像早期的資訊安全市場,最初的產品總是不太好,」Smith 這麼說。「因為威脅會日益演化,保險範圍也必須與時俱進。」Smith在訪談中補充表示,高度管制行業的公司,像是醫療保健、金融服務、法律與不動產服務業是最熱切接受網路保險的行業,因為他們在侵犯事件中承受的成本極高。
也是資深的風險管理師 Jake Kouns 承認多年以來「一般認為網路保險沒什麼價值…而且網路市場也不夠成熟。」現在「有更多保險了,」提供網路風險顧問服務,並曾經向國土安全部與五角大廈就網路保險議題進行簡報的 Risk Based Security 公司資安長Kouns這麼說。
將網路保險整合到風險管理中
要推出一張網路保險保單不是隨便說說就行的,尤其如果組織希望能獲得最佳的金融交易,確認它們的保單涵蓋真正有安全風險的領域,並使它們的網路保險能支援他們整體的安全計劃,那就更難了。根據Prevost的說法,舉例來說,藉著詳細瞭解保險公司用來決定保單參數的初步核保程序,組織可以知道如何降低潛在的風險,並將它們的保單與它們的風險管理專案整合。
這個過程的範圍大小有極大伸縮空間,保險公司對於規模很小的組織可能只會提出四到五個問題,但對於較大的企業客戶可能會花上大約三天的時間在企業內部訪查。Prevost表示「大型組織與小型組織都需要調查式的核保程序,以開始詢問他們先前對於網路安全有哪些預設想法,」Prevost 這麼說。
就算非佔大部分,但在許多情況,強化公司的風險管理地位,並降低保險費與採用何種特定的科技關係較小,而與公司在策略上如何處理風險管理,以及從IT安全到法律以及財務室甚至高階主管等各個部門如何整合更為密切相關。保險公司想要看到公司已準備好能完整說明各個利害關係人或單位在出現勒贖軟體,或執行長匯款詐欺或大量資料外洩事件時如何因應的完整事故因應計劃。舉例來說,組織必須定期的執行桌上模擬演練,降低風險並對保險公司表現出已準備妥當。為了進一步證明他們已準備好,「組織不只需要知道影響的金額,也必須能回復日常運作,並從事件中復原。」Prevost這麼說。
在像是產業公會或同業或行業的資訊共享與分析中心(ISAC)裡分享資訊與經驗也可能協助較大型的企業更妥善地準備核保程序,並獲得更好的保險條件。若能對風險管理與策略發展有更強的理解將有助於協助組織建立更強的方案,Prevost如此分享他的經驗。
教育小型組織使其明瞭風險管理
時常為中小企業核保的Smith表示中級市場的保險代理人時常並不「瞭解網路承保範圍」,而且有時候被保公司本身也沒有全職的資安長。因此,該公司相關風險的風險複雜程度可能有極大的差異。「我們曾經為使用防火牆與雲端服務的小型診所核保,」Smith這麼說。在更小的組織裡,可能沒有內部的IT安全小組,而核保師與保險公司愈來愈常教導要保人如何改善他們的風險管理。
為了擴大對影響網路保險費與投保的因子之認識,「網路保險產業開始分享更多理賠案件的資訊,以及錯誤的經驗,已協助尚未了解這些因子的組織,使它們真正瞭解最新發生的情況。」Prevost補充說明。Chubb公司為了那樣的目的已創設一項「網路索引」(Cyber Index)。Chubb公司的網路索引是即時的私有資料,內容有關於當前的網路威脅,那是Chubb公司在過去二十年從保險公司已經賣出的網路保險中蒐集來的。使用者可以在線上按照產業別、公司收益或日期別來檢視;看看有多少比例的事故起因於內部或外部人員或夥伴的行為,並看看在過去十年來哪些企業資產受到這些侵入事件影響。藉由檢視這項資料,組織能夠更好地掌握不只是哪裡最需要保險,也包括它們在風險管理工作上需要補足那些可能的不足之處。
瞭解網路保險核保過程
網路保險供應商可以影響要保企業的安全政策與程序,例如給做得好而不只透過科技,也能透過員工教育訓練、團隊合作與其他正向的風險管理步驟以降低風險的組織更好的條件或更低的保費。就像產業專家已經指出的,核保過程本身就可能提供一種正向循環,讓公司可以更瞭解如何改善它們的風險管理,甚至更瞭解它們承擔的風險。
尋求網路保險的組織應該能夠向自己與保險公司證明它們已經盡全力避免事故,或者他們不只被收了過高的保險費,也找到一些未獲保障的重要領域。舉例來說,如果公司並未採取所謂「合理」步驟以維持安全,或者更具體地說,並未將行動資料加密,某些保單即可能將金錢損失排除在保險範圍之外。
而且,就像Prevost指出的,要保人如果在核保過程中不肯配合提供有關他們的系統與可能責任的資訊,就無法得到最佳的保險方案或最佳的保障範圍,而這可能造成某種事故被排除在承保範圍之外。「我們遇過一些客戶,極不願意提供有關他們在防火牆之外使用的科技之任何資訊」他說。「有種情況是某些客戶完全拒絕回答任何問題,而那會讓核保過程極為困難,假使不是完全不能進行。」
「有些高風險公司可能並未認知到他們是真正的高風險公司」Prevost這麼說。「而那是發生核保問題的地方,而需要採用很複雜的核保程序…非常困難的風險在核保上必須非常謹慎。」
