Katie Teitler,Axonius的高级网络安全策略师,负责公司的网络安全资产管理产品的信息传播,同时也是热门播客《企业安全周刊》的共同主持人。

网络安全保险是目前的一个热门领域。一份精心编写的网络安全保险政策可以帮助企业防范许多人认为是不可避免的事情——“防患于未然”的理论。正是这种理论(或者,有人会说是策略)让企业寻找非技术性的缓冲措施,以减少网络事件发生时的经济责任。当强化的网络控制还不够时,保险理论上可以弥补一些损失。

网络安全保险行业(正式)只有十年左右的历史,仍在寻找自己的立足点。在这个阶段,供应商之间的政策差异给客户带来了复杂性和混乱。更重要的是,由于客户已经目睹了保险公司在真正的事件中逃避了大量的索赔补偿,他们对每月支付给保险公司的保费能否在需要时能得到回报没有很大的信心。

保险,作为一个普通行业,已经存在了几百年,保险公司已经完善了他们在健康、家庭、财产等方面的方案。然而,网络安全保险更加不稳定,不仅因为它是一个较新的领域,而且因为游戏规则不断变化。

投保,还是不投保。这是个问题。

许多组织已经明确网络安全保险是明智之举。但与其他类型的保险不同,找到合适的计划并获得资格可能是非常令人沮丧和费力的。首先,并不是所有的保险公司都提供网络安全保险,所以企业可能要重新识别供应商。一旦确定了一个简短的供应商名单,客户就会进入评估阶段。但评估计划并不总是直截了当的。对于寻找方案的企业和保险公司来说都是如此。为了获得网络安全保险的资格,企业必须满足某些技术资格,但这些条件可能因供应商的不同而改变。

然后是保费...

网络安全保险的保费比其他保险更难确定,原因有很多。其中最主要的是:变化和范围。与全球攻击面的超速增长相对应,网络攻击的规模和频率在过去20年里也在增加。组织的数字生态系统的复杂性和事物的庞大数量--硬件、软件、数据、网络、用户、传输协议,意味着会发生各式各样的攻击。虽然攻击方法本身并没有很大的变化(因为它们不需要),但邪恶行为的机会却更多。任何人只要能有点技能以及能联网,无论他们在世界何处,都可以对世界上任何地方的任何人或公司发动网络攻击。网络空间实际上是一个巨大的地理均衡器。

那么,从逻辑上讲,网络安全保险市场混乱的第一个原因是:

1.网络威胁的性质不断演变

网络攻击的格局是不断变化的。公司的数字环境不断发展和变形(有时只在几个小时内),新的漏洞和威胁不断出现,攻击者一旦看到机会或需要就会改变策略。因此,保险公司必须根据历史数据对未来会发生什么做出最好的猜测,同时考虑到网络空间及其固有的风险变化有多快。

尽管如此,仍有其他因素影响着保险市场。这对客户和企业经营者而言并不意味着挫折感会减少,但对情况的了解可能会有所帮助。引起惊愕的其他原因包括:

2.有限的历史资料

承接第一点,与其他类型的保险相比,关于网络安全损失的历史数据是有限的。与其他常见的保险相比,网络安全是一个很新的领域。保险公司已经有数百年的时间来完善他们对诸如人寿保险、健康保险、海事保险、汽车保险、火灾保险等保险领域的计算方法。相比之下,第一个已知的网络安全保险是由AIG在1997年发布的,该保险包括的范围远远小于现在方案需要包含的内容。由于缺乏全面的数据,保险公司很难准确预测和量化与网络事件相关的潜在损失。

3.缺乏标准化

领域的新生事物也意味着保险公司还没有在术语、保险的最低可行要求,甚至是共同的内含物或排除物方面达成一致。由于缺乏标准化,不同公司的保单条款、保险选择和核保做法都存在差异。反过来,企业往往觉得他们无法直接比较保险公司之间的保险和定价选择。冗长的法律审查会拖慢获得保险的过程,而且企业可能无法在一个供应商的方案中包括他们想要的所有保险。

4.风险评估的复杂性

评估一个组织的网络风险状况是一项复杂的任务。组织的IT基础设施是移动的目标(一语双关)。服务有启动有关闭,政策不断变化,过时,硬件和软件的添加和删除,用户的访问要求的变化等等。除此之外,没有相似的两个环境。因此,为了有效,评估人员必须为每个组织定制评估,这增加成本、时间和精力。尽管评估很复杂,但为了保障他们自己的利益,保险公司根据更严格和更统一的措施来承保保险。为了减轻对被保险人网络状态的模糊认识,一些保险公司已经开始要求在被保险人的环境中实施他们自己的或指定的托管的威胁检测与响应服务(MDR)技术。

5.网络事件的成本不断攀升

网络事件的经济影响可以摧毁一个企业。根据最新的IBM安全 "数据泄露的成本 "报告,现在全球数据泄露的平均成本是435万美元。勒索软件攻击的平均成本(不包括支付的任何赎金)是454万美元。仅仅是承担的成本就足以让企业不断改善他们的安全控制范围。不过,从保险公司的角度来看,如果发生网络事件,他们愿意支付多少钱,是直接的风险加成本计算。保险公司的目标是赚钱,而不是在客户成为攻击的受害者时亏钱。因此,保险费必须写得让保险公司在客户提出索赔时不会承担任何长期的经济损失。其结果是更严格的核保标准、更高的免赔额和保险限额,以便保险公司能够减轻他们对大量索赔的潜在风险。

鉴于这些因素,想要获得网络安全保险的企业需要准备好与供应商进行漫长的、有时是复杂的讨论。在讨论之前,企业应该确定对他们来说什么是最重要的,以及他们是否有办法加强任何现有的控制,以获得足够的保险,或者他们是否愿意在未能满足某些保险要求时承担更高的保险费。在所有情况下,无论选择哪个供应商,企业都需要展示其网络安全态势,无论是初始状态还是持续状态,以保留被保护的实体。企业有责任定期向其供应商展示安全措施的状况,参与风险评估,并与保险经纪人密切合作,网络安全状况和组织的安全态势随时间推移而调整。

原文链接:

https://thereformedanalyst.substack.com/p/5-reasons-cyber-insurance-is-a-mess

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。