數(shù)據(jù)泄露保險服務15年之后 保險公司開始面對網(wǎng)絡攻擊帶來的物理損害

責任編輯:editor005

作者:nana

2016-12-13 14:51:56

摘自:安全牛

黑客的頻繁出擊肆意破壞簡直令人沮喪,保險行業(yè)不得不正視這一全新的風險領域。盡管保險公司已經(jīng)幫助企業(yè)承擔了平凡數(shù)據(jù)泄露的保險,但整個行業(yè)依然缺乏對大型網(wǎng)絡災難的明確規(guī)范化響應。

只有來一場網(wǎng)絡災難,才能真正揭示保險行業(yè)的準備程度

黑客的頻繁出擊肆意破壞簡直令人沮喪,保險行業(yè)不得不正視這一全新的風險領域。網(wǎng)絡風險范圍廣泛,從零售商信用卡數(shù)據(jù)泄露,到烏克蘭電網(wǎng)遭襲致大規(guī)模斷電這種災難性事件都涵蓋在內。針對數(shù)據(jù)泄露的專門“網(wǎng)絡保險”策略已經(jīng)成了相對常規(guī)的險種。但保險公司其他保險策略擔保的風險,也受到了網(wǎng)絡風險的影響——而他們正苦于理解這一所謂的“沉默的”網(wǎng)絡暴露面。

為受數(shù)據(jù)泄露傷害的公司提供保險的服務已經(jīng)存在15年了。給被盜健康記錄準確估值,可比給汽車一類的有形資產(chǎn)估值困難多了。保險公司通過只承擔公司被黑的直接損失,來規(guī)避了這一問題。通常,這筆直接損失包括聘用專業(yè)取證公司、通知受影響客戶、短期業(yè)務中斷、罰款等開銷。

2018年即將實施的歐盟數(shù)據(jù)保護新規(guī),將對安全事件通告提出更嚴格的要求,對數(shù)據(jù)泄露的罰款也比以前嚴厲得多,這對保險行業(yè)形成了很大的震蕩。有鑒于此,普華永道估測,2014年全球保費收入25億美元的網(wǎng)絡保險市場,到2020年將增至75億美元。當然,與全球保費收益6700億美元的汽車保險市場相比,還是極小的。

然而,數(shù)據(jù)泄露,大多數(shù)情況下只是可控的干擾,而不是災難。盡管每年都有幾百起數(shù)據(jù)泄露事件發(fā)生,2010年至今報給監(jiān)管機構的美國公司數(shù)據(jù)泄露事件中,卻只有90起是對公司業(yè)務有實質性傷害的。

更大的擔憂是那些“沉默的”暴露面——可導致物理破壞或人身傷害而引發(fā)其他保險條款的網(wǎng)絡攻擊,比如壽險、房險、商業(yè)財產(chǎn)保險等等。通常,此類保險策略,盡管在制定時沒有考量到網(wǎng)絡風險,卻也沒有特別排除它們。有些案例中,是否排除了網(wǎng)絡因素的保險條款觸發(fā),造成的區(qū)別幾乎可以忽略不計;黑了智能門鎖溜進屋的竊賊,未必會比破窗而入的盜賊偷得多。但2014年德國鋼廠高爐被黑客攪亂所造成的巨大破壞,烏克蘭電網(wǎng)被黑致大面積斷電這種事,保險公司就得細細思量了。他們在理解、衡量和調整此類新威脅的暴露面上,加緊了腳步。

現(xiàn)實世界的前例太多稀少,不足以形成任何可靠估算的基準,保險業(yè)轉向了采用假想情景進行估算。去年年末,專業(yè)利基市場和新興風險保險公司英國勞合社(Lloyd’s of London),首次邀請其保商和保險經(jīng)紀人設想“似乎合理但極端”的網(wǎng)絡攻擊場景,然后報告他們估算的總體暴露程度。此舉預計會成為每年常規(guī)動作。2015年5月,勞合社管理層就設想了黑客導致美國東北部整個電網(wǎng)斷電的場景,估算這一情況會造成2220億美元直接商業(yè)收益損失,并在隨后5年對GDP造成超過1萬億美元的影響。

很多保險公司都轉而尋求外部專家的幫助。像RMS和賽門鐵克這種久負盛名的,提供建模能力幫助保險公司理解自身網(wǎng)絡責任的分析公司,便陷入了“軍備競賽”中。(RMS已經(jīng)是颶風建模界廣受信任的專家了。)

但即便暴露面被更好地理解了,怎樣限制它們也是很棘手的。比如說,劃分網(wǎng)絡戰(zhàn)或網(wǎng)絡恐怖主義和“常規(guī)”黑客活動之間的界限,就幾乎是不可能的。網(wǎng)絡犯罪可沒有地域限制,不像佛羅里達颶風一樣可測。保險策略至少需要明確承認網(wǎng)絡風險是在覆蓋范圍之內,或者干脆排除掉它們——就像很多保險策略已經(jīng)包括了恐怖主義或戰(zhàn)爭免責條款一樣。

盡管保險公司已經(jīng)幫助企業(yè)承擔了平凡數(shù)據(jù)泄露的保險,但整個行業(yè)依然缺乏對大型網(wǎng)絡災難的明確規(guī)范化響應。不過,勞合社CEO對該市場持樂觀態(tài)度,認為其嚴格的建模操練和獨特的風險共享架構,會比大多數(shù)保險公司更有應對能力。但只有一場真實的災難性網(wǎng)絡攻擊,才能檢測其所有準備的有效性。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號