近日,欧盟发布《网络保险的需求:对OES的挑战和前景的分析》报告,报告分析了基本服务运营商(OES)在获得网络保险服务方面的当前观点和挑战。信息和统计数据是根据他们在日常业务生命周期中选择、获得和使用网络保险作为缓解工具而提供的。数据的收集和意见的阐述与网络和信息安全(NIS)指令(指令(欧盟)2016/1148)中包含的OES类别有关。然而,结果和证据也适用于NIS2指令(欧盟)2022/2555框架中定义的基本和重要实体。

本分析的主要目标是了解和确定基本服务运营商(OES)在签订网络保险合同时面临的当前要求和挑战。因此,本分析的目的是向政策制定者和OES提供关于面对这些挑战的可能方法的建议。这项工作特别注重对作为网络保险产品和服务的获取者的OES的分析。

工作范围

所进行的工作旨在阐明阻碍OES购买网络保险的潜在障碍。本报告只涉及网络保险市场的"需求方",适用于OES的特定情况。因此,与网络保险部门的供应方有关的考虑和分析不在本分析的范围之内。研究的重点是分布在25个欧盟成员国的262家OES所面临的挑战,代表了被称为NIS指令的(欧盟)2016/1148号指令所定义的所有战略部门。分析的最终结果反映在本报告的主要部分。调查中涉及的一套完整的问题和答案包括在附件中。

网络保险行业的需求方

基于案头研究分析,以下几个方面提供了网络保险部门的总体概况。现有的文献从多个角度探讨了网络保险,大多是从网络保险市场的提供方,如保险公司或经纪人的角度出发。

  • 网络保险仍处于发展阶段,要掌握对保险的期望值如何随着时间的推移而变化,以及新出现的威胁如何改变对保险的期望值,是一个挑战;

  • 网络保险行业可能会预期对网络保险的需求会逐渐增加,网络保险的重要性也会大大增加;

  • 网络保险流程遵循三个主要支柱:风险识别、风险分析和建立合同;

  • 对网络风险的整体认识和感知概率高,但对网络攻击的预期影响可能被低估;

  • 缺乏与事件相关的数据是详细了解网络风险的基本方面和向最终用户提供适当保险的主要障碍;

  • 保险公司在向最终用户收集准确信息方面可能面临挑战,因其并不愿意在调查问卷中提供完整的答案,也不愿意提供与关键资产、内部程序和安全控制有关的信息;

  • 终端用户担心不披露或不完整的信息导致索赔被拒。因此,很难确定要转移多少风险,保险公司也可能面临他们可能没有适当量化的风险;

  • 缺乏可靠的数据和高额总损失可能会导致网络保险政策在保障范围上出现漏洞,而且限额过低,可能导致网络损失并无法索赔;

  • 随着新系统的加入和旧系统的拆除,系统不断迭代,导致风险状况不断变化;

  • 关于网络事件的统计数据并不完全可靠,因为受害者并不总是报告事件;

  • 可能需要很长的时间才能注意到漏洞,根据保单条件,这样的事件可能不再受到保障;

  • 网络保险的指导方针是可用的,可以为终端用户提供一个初步的框架,以便在各自的环境下选择和使用网络保险;

  • 相比之下,案头研究活动无助于获得与网络保险市场动态中需求方相关的数据和信息。因此,本报告中提出的工作旨在分析网络保险的挑战和前景,目标是被称为:基本服务运营商(OES)的特定实体群体,如NIS指令中所定义的。以下章节将详细讨论相关分析和获得的结

0风险管理实践

网络保险是减少风险的策略,因此在一个组织内的风险管理过程中得到解决。风险管理过程也可以是网络保险的一个前提条件。由于风险转移的前提是对风险暴露的识别和量化,它可以是一系列其他风险管理策略中的一个选项。因此,受访者被问及风险管理流程、风险缓解选项和网络风险的量化。

在所有的受访者中,超过77%的人表示遵守正式的流程来识别网络风险。相反,分析还显示,23%的人没有使用正式的流程,或者不确定是否有这样的流程。当受访者被问及现有的风险缓解工具和控制措施的决策过程时,差距扩大了。32%的情况下,确定风险缓解工具和控制措施的程序没有到位。

图1:识别网络风险的正式程序

结果表明,只有三分之一的受访者对网络风险进行了量化。两个数字间的差异可以解释为受访者只采用了定性的风险评估过程。拥有网络保险的受访者也更有可能对网络风险进行量化。

图2:识别网络风险的正式程序

由于风险量化是风险转移的先决条件,OES中相对缺乏风险量化的做法,可以看作是面向获取网络保险服务的初步步骤中出现的挑战。受访者表示,风险量化过程是由其保险经纪人或代理人进行的。所有受访者都表示有风险管理的做法,并有确定控制的过程。大多数受访者自己并未量化网络风险,而是与他们的经纪人或保险公司合作,量化他们的风险并确定保险需求。在某些情况下,所选择的保险也是在保险范围和成本之间进行权衡,以保持年度网络保险费在允许的预算范围内。

综上所述,可以说,对于一部分OES来说,风险管理过程的成熟度是可以提高的。获得的数据表明,随着风险管理成熟度的提高,网络保险的覆盖面也会增加。关于OES的风险管理实践的其他主要发现。此外,68%受访者遵循选择控制措施以减轻风险的程序;在所有受访者中,只有32%对网络风险进行量化;在已经拥有网络保险的受访者中,22%的人对网络风险进行了量化;

0网络保险和其他保险

本研究的一个关键方面是了解OES的网络保险。此外,还调查了通过其他现有政策的覆盖面,以及覆盖面的类型、缺失的元素和过去获得网络保险的失败尝试。同时还分析了签订网络保险的动机和主要挑战。

目前的网络覆盖率显示,只有26%的受访者目前拥有网络保险。这表明覆盖率略低于2022年的NIS投资结果,该结果报告称32%的OES/DSP拥有网络保险。虽然该网络保险调查报告的覆盖率略低于NIS投资报告,但它确实显示了过去几年的下降趋势。

图3:OES中网络保险的接受情况

从地域的角度来看,网络覆盖的区域差异明显。西欧和网络覆盖率最高(45%),其次是南欧(39%),最后是东欧,采用网络保险的比例最低(12%)。

表1:欧盟各国的网络保险采用情况

其他保险保障

除了特定的网络保险,其他保险有时也可能提供网络事件保险。可能通过网络附加险明确规定,也可能是通过不排除任何网络事件隐含的。超半的受访者表示没有这种保险,但26%的受访者表示通过其他保单拥有某种形式的网络保险。

图4:独立网络保险外的保险

网络保险政策

网络保险的覆盖范围相当广泛,包括各种损害和事件。保障范围包括(分布式)拒绝服务(DDoS)攻击、恶意软件、勒索软件攻击、被盗凭证(未经授权访问和使用数据资产和计算机系统)、网络钓鱼攻击、网络中断等。然而,受访者对续保的难易程度以及延期的不保事项、限制和价格表示担忧。尤其是在过去几年中,获得勒索软件的保险变得越来越困难。

无法获得网络保险

调查还显示,企业在获得网络保险方面存在困难,主要有三个原因:

  • 保险范围不满足需求;

  • 保险公司评估组织的方式;

  • 保单或报价的价格不符合预期;

图5:不签订网络保险的原因

过半消费者购买网络保险的主要原因是事故发生时的保险。法律要求(19%)、事发前(11%)和事发后(11%)的保障是较低程度的重要原因。未购买保险的受访者表示对各种类型的保险感兴趣,包括:业务连续性、事件中的专家支持和勒索软件保险。

图6:购买网络保险的主要原因

主要发现

  • 对于26%的受访者来说,其他保险会在发生网络事件时提供保障;53%的受访者没有这种保险,剩余22%表示不了解;

  • 只有26%的OES有网络保险,74%的受访者没有网络保险;

  • 第三方责任险是受访者首选的附加险种(例如,对供应商发生事故而导致被保险人业务中断的保险);

  • 区域差异显示,西欧和北欧的覆盖率最高(45%),其次是南欧(39%)。东欧的覆盖率最低,为12%;

  • 市场研究和访谈表明,网络保险价格在上升,而覆盖面却在下降;

  • OES越来越多地关注其他风险缓解策略;

  • 过半受访者表示其他风险缓解工具比网络保险更有效;

  • 受访者表示:如果价格持续上涨,将考虑停止目前的网络保险;

  • 本研究和以前的NIS投资数据相结合,显示出网络保险覆盖率下降的趋势;

0网络保险公司的识别和选择

本节介绍与网络保险公司的识别和选择阶段相关的方面,作为网络保险合同流程的一部分。同样,本节讨论了OES对保险公司接受的看法。定向、识别和选择 数据显示,26%的受访者目前拥有网络保险,74%没有。然而,37%的受访者确认他们已经将网络保险确定为风险缓解工具,20%的受访者表示正在考虑在一年内或两年后购买。56%的受访者表示“其他风险缓解工具被认为更充分”。在访谈期间,已与OES详细讨论了该主题,并且这种回应的原因通常与可用保险的高价格有关。

图7:网络保险初始步骤中的支持

关于选择过程,大多数拥有保险的OES都指出,依靠保险经纪人或保险公司来确定合适的网络保险。相比之下,当向尚未获得网络保险的OES提出同样的问题时,57%的人会依赖保险经纪人或保险公司,24%的人会依赖监管机构/公共机构。当被问及购买网络保险的选择标准时,174名受访者给出了如图8所示的答案。

图8:购买网络保险的选择标准

可以看出价格是获得网络保险的最重要标准。紧随价格之后,其他标准条件网络保险

收购包括:保险公司的声誉、覆盖范围、具体条款以及支持服务。最后,在拥有网络保险的64个OES实体中,只有16%的人表示 对风险敞口的保险不满意,而其余的则表示满意(69%)或非常满意(16%)。

保险公司的评估和验收

关于招生评估事宜,已要求OES提供答案,基于适用于之前的程序的要素,答案如表2所示。

表2:保险公司进行的摄入量评估

大多数评估依靠调查表、访谈和要求提供文件。此外,第三方评估是评估方法之一,但并不常用。关于评估期间需要付出的努力,相关答复如下:

图9:评估期间需要付出的努力

最后,关于在评估阶段可能遇到的法律限制问题,答复者说,没有任何限制,如有限制,可加以调整,以便共享信息。60名受访者中只有1名表示无法调整这些法律限制。必须指出的是,在7%的情况下,法律限制导致保险公司拒绝或修改报价。

主要发现

  • 四分之一的OES目前拥有网络保险。此外,37%的受访者确认已将网络保险确定为风险缓解工具,20%的受访者表示正在考虑在一年内或两年后购买网络保险;

  • 一半的OES通过自行研究确认了解网络保险产品,27%的OES已由代理商或经纪人联系,10%依赖其他资源。只有13个OES声明他们通过与其他OES的互动获得了有关网络保险产品的知识;

  • 在购买网络保险的标准中,价格似乎是最重要的,其次是:保险公司的声誉,承保范围,特定条款和支持;

  • 与经纪人共享信息时的法律限制通常不会引发问题。然而,在7%的案件中,法律限制导致保险公司拒绝或修改报价;

0合同与流程

对于13%的受访者,首席信息安全官(CISO)或安全团队负责购买网络保险。拥有网络保险的受访者更有可能拥有专门的保险团队参与网络保险的采购。如表3所示,在大多数情况下,有关购买保险的决策是在CISO职能之外进行的。有关网络保险的决定通常由高管、专门的保险团队或财务职能部门做出。

表3:OES负责网络保险

39%的总体经验表明,合同不可谈判,并且基于标准模板;而大多数经验表明,合同即使不能完全谈判,也至少可以进行部分商榷。

图10:根据组织需求的网络保险合同

关于认证(例如.ISO 27001)存在及其对合同协议的影响的数据表明,在77%的情况下,这一因素使保险公司更容易接受。在40 个 OES中,5个报告,认证的存在导致价格降低,4个宣布拥有这些功能对覆盖范围限制有影响。在承保范围内,58家OES中只有7家报告说,保险公司进行的评估导致了除外责任和分项限制,而44%的人回答说没有引入限制。

关于购买网络保险时收到的信息,在60名受访者中,57%的受访者表示已收到有关保险的任何嵌入式排除和限制的明确信息,包括系统性事件的情况。

同时,只有32%的OES确认已提供被排除在覆盖范围之外的事件示例列表。应当指出,在同样的两个问题中,几乎三分之一的与会者回答说,他们不知道他们是否收到了明确的信息和排除清单。一位保险经理对如何解释网络保险合同的某些条款表示担忧。并提及条款缺乏标准化,也缺先例来理解在损失情况下如何解释条款。

主要发现

  • 多数情况下,有关购买保险的决策是在CISO职能之外进行的;

  • 只有少数的OES表示合同及其附件不明确;

  • 在拥有网络保险的受访者中,过半的受访者认为合同条款明确或有些明确;

  • 关于合同的可谈判性,五分之三的部分或完全可谈判的;

  • 据报告,57%的OES已收到有关网络保险范围的任何嵌入式排除和限制的明确信息,包括系统性事件的情况;

0维护与支持

在探索OES收购的网络安全保险中嵌入的附加功能或服务的领域时:

  • 40%的受访者表示其保险公司在预防网络事件方面提供支持;

  • 68%的受访者表示其保险公司提供事后网络支持

还向与会者提出了与“预防支助”服务的重要性有关的问题。网络保险支持似乎与18%的OES无关,而与32%相关。只有20%的OES认为这是非常必要的。

图11:网络保险的相关性

相比之下,被保险的OES被问及网络事件是否导致成本增加或拒绝承保。在这种情况下,只有10%的受访者确认了这种可能性,而50%的受访者表示并未观察到任何事件。

主要发现

  • 对于OES,网络保险公司提供的事故后响应服务比事件前响应服务更为突出;

  • 对于20%的未投保OES,网络保险公司提供商的维护和支持将是非常必要的;

  • 一半的投保OES没有目睹任何网络事件,因此他们无法评估网络保险费用的增加是如何相关的;

0索赔程序

调查的最后一部分致力于收集有关已获得网络保险的OES的经验数据,重点是“索赔程序”。

图12:声明

确定索赔并证明所有支持证据可能是该过程中相当复杂的步骤。某答辩人表示,由于案件的复杂性,使其聘请了理赔顾问。

主要发现

  • 13%的受访者已向其网络保险公司提出索赔;

  • 8个受访者中,6个确认其索赔获得批准,2个确认赔偿额足以弥补实际损失;

  • 6个受访者中有3个还确认索赔得到了及时处理(只有2个答复说没有);

  • 关于计算索赔额的方法是否明确,6个国家中有3个国家确认方法清楚(2个国家否认);

  • 在6名受访者中,5名表示索赔未导致与保险公司发生任何法律纠纷,1名不知情。

0意识与技能

为了提高对网络保险的认识,最重要的回应是沟通和传播、更好的覆盖面、特设协作网络和同行学习。有趣的是,提到了更好的覆盖范围,这可能表明网络保险被视为一种缓解策略,风险本身的范围有限。受访者提到,并不认为网络保险是一种可行的风险缓解策略。非正式学习和建议被认为是改进战略的好方法。较少提及的选项是公众支持、研究和科学证据。为了增加网络保险的购买量,排名靠前的回应分别是:

• 更好的覆盖范围

• 更少的排期

• 更清晰的政策措辞

• 沟通和传播

这一发现与访谈结果一致,受访者表示他们对网络保险作为降低风险策略的兴趣下降。近年来网络保险保单费用大幅上涨,同时保单条款(除外责任、分项限制等)变得不那么有吸引力。由于价格和覆盖范围的变化,网络保险的吸引力下降是采访中反复出现的主题。对网络控制的投资)通常被认为在减轻网络风险方面更有效。提到的顶级技能(按顺序)是风险评估技能、立法知识、信息管理和保险市场运作。由于风险管理技能被指定为主要技能,

受访者表示,目前尚不清楚保费是如何计算的。要求更高的透明度以便能够看到风险模型,做出更好的加权决策。一位受访者还认为,目前尚不清楚对网络控制的投资将如何有助于降低保费)。

主要发现

  • 沟通和传播、更好的覆盖面、设置协作网络和同行学习是提高对网络保险相关性的认识的重要领域;

  • OES认为,增加购买网络保险的关键方面是:更好的承保范围,更少的除外责任,更清晰的政策措辞,沟通和传播;

  • 从意识的角度来看,大多数受访者意识到近年来网络保险保单费用大幅上涨,而保单条款的吸引力却降低了;

  • 在技能方面,提到的与网络保险部门相关的顶级技能是:风险评估、立法知识、信息管理和保险市场运作。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。