在过去几年中,医疗保健行业一直是黑客的主要目标。 攻击的复杂性有所增加,有时从明显的勒索软件攻击转移到隐藏在后台窃取数据的网络攻击。
随着黑客频率的增加,网络安全的成本也在爆炸式增长。 首先,医疗机构在数据泄露后的两年内,在广告上的支出增加了64%。根据安全公司Radware的一份报告,整体而言,从网络攻击中恢复需要大约140万美元。
这些成本包括生产力损失、声誉受损、服务中断等费用。
为了应对这些成本和声誉风险,许多医疗保健企业正在转向购买网络安全保险,这可以保护企业免受与数据泄露相关的成本。
网络责任保险涵盖数据泄露,数字安全问题,网络犯罪和黑客攻击。 就像火灾保险可以帮助房主支付财产损失和相关的火灾恢复,网络保险有助于支付法律费用,网络,软件或硬件损坏以及其他相关损失。 有些保险产品也可能涵盖与HIPAA相关的罚款。
但是,并非所有产品条款和保险公司都是信息对称的。 而且,与更常见的保险产品(如生活,健康或房主保险)相比,网络保险相对较新,存在许多灰色地带,这可能导致企业无法购买正确的保险。
因此,高级管理人员可能认为他们的保单已经充分覆盖了他们的风险,但却发现他们并非如此。 由于医疗行业几乎每天都会发生数据泄露,因此了解保险公司与保单之间的差异以及投保人的要求至关重要。
每个供应商的覆盖范围和要求类型都不同,在选择策略时要避免许多危险信号。 为了避免犯下代价高昂的错误,医疗服务提供者需要做好功课。
什么是网络保险?为什么重要?医疗保健企业如何确保他们购买的是最能满足其需求的保险?
什么是网络安全保险?
通常,网络安全保险将涵盖由数据泄露或安全事件引起的损失和损害,包括丢失,暴露,不正当共享或盗窃患者数据。 一些保险还承保勒索软件攻击,但投保人必须确保在与保险代理商协商时将正确的措辞添加到保险范围内。
CNA,Chubb,Beazley Insurance,Traveler和Liberty Mutual是一些服务于多个商业领域的顶级网络安全保险公司。
但是,与传统的保险产品不同,承销这些类型的保单没有标准格式。 因此,采购团队负责研究保险公司条款差异,例如持有人的数量和要求。
例如,保险范围将分解为第一方或第三方损失。 在网络威胁,数据泄露和其他安全事件的情况下,承保范围将仅限于被保险人本身或扩展到被保险人的第三方。
正确的网络安全保险组合将包括数据泄露管理和信用监控通知。 企业也可以选择购买包括负担维修或更换被网络攻击损坏的工具或系统成本的附加保险。
网络安全保险还可以承担数据泄露后调查的费用,以及通知被泄露的个人和公众的费用。
要开始保险采购流程,投保人需要与网络安全保险代理商合作,以确定不同类型的保险产品。 通常,保险范围越大,保费成本就越高。
但是,与网络安全一样,网络安全保险应被视为一项保护整个企业的财务投资。 虽然成本很重要,但保险范围至关重要。 如果保单不能充分满足企业的需求,那么在不了解企业要求的情况下购买保险或选择保险范围可能会浪费资金。
为什么企业需要网络保险?
随着黑客继续通过网络攻击打击医疗保健行业,因数据泄露引发的诉讼在同等程度上有所增加。 即使数据未被破坏,当网络攻击影响提供患者护理的能力时,企业仍可被起诉。
考虑到2018年1月对Allscripts的勒索软件攻击。 虽然公司表示没有数据受到影响,但EHR供应商被一些在长达一周的攻击期间无法访问其EHR的客户起诉。 他们声称,Allscripts应该更好地保护和审核其系统以防止此类事件发生。
虽然诉讼仍在审理中,但在发生网络攻击时,企业声誉风险可能会受到严重影响。
不仅如此,由于近年来诉讼增加,几乎所有的网络安全保险产品都包括与数据泄露相关的通知和法律费用。
如果一家企业在2017年4月面临类似于伊利县医疗中心(ECMC)的情况,这种覆盖范围可能是至关重要的。 勒索软件攻击在六周内感染了6000台ECMC计算机。 尽管网络攻击是在几小时内被发现的,但所有计算机系统都被锁定,使提供商重新回到笔和纸工作的原始社会里。
两周以来,ECMC工作人员在没有电子邮件访问的情况下工作,不得不手动注册患者实验室结果和其他通信需要三周时间才能以电子方式传送。 根据Barkly的一份报告,更糟糕的是,该系统需要数月才能恢复,公司承认从攻击中恢复需要花费近1000万美元。
随着黑客寻求医疗设备和闯入网络的新方法,网络攻击可能会导致医疗事故和其他法律问题。 医疗保健行业的新现实是,安全事件的风险已经超出数据丢失的可能性: 现在是患者安全问题。
在一天结束时,企业不能100%确定他们是否受到黑客和其他网络威胁的保护。 虽然网络安全保险不是保护收入和声誉的神奇,全面解决方案,但正确的网络保险经纪人和保单可以提供一些保护,使其免受与数据泄露和其他安全事件相关的损失。
评估企业的需求
购买网络保险始于对企业的IT和安全功能进行全面的自上而下评估。 在开始评估经纪人和保险范围的过程之前,需要合适的人员参与确定企业的保险需求。
首先,企业必须让关键的利益相关者参与该过程。 这将包括隐私和安全领导者,安全官员和IT领导者。 关键业务决策者和法律团队也应参与其中。
这些利益相关者将进行评估过程,该过程将查看企业服务的患者数量以及要保护的数据类型和数量。 他们还应该能够将这些细节传达给网络保险代理人。
我们的想法是让这些利益相关者提供有关这些安全需求如何与患者相关的必要信息,以及有关数据如何在企业内流动的内部信息。 例如,IT和安全领导者应该清点数据所在的位置,这将对所需的覆盖范围产生影响。
此外,企业需要掌握其控制的营运环境。
风险经理和IT主管应评估他们的事件响应计划,这对于网络安全保险覆盖至关重要。 医疗保健企业在安全方面需要坚持讨价还价,如果发生数据泄露,保险公司可以借没有按照事件响应计划执行拒绝赔付。
因此,企业需要评估其事件响应计划,灾难恢复协议,安全工具,修补实践和其他流程,以确保其安全计划符合保险公司的标准。 此风险评估应高于检查HIPAA合规性方框。 通常,雇用第三方取证团队可以帮助评估安全计划。
评估网络安全保险供应商
根据Verisk Analytics的数据,预计到2020年网络保险市场将达到62亿美元,在保险公司和保险产品方面有很多选择。
但我们的想法是找到一家真正与安全企业合作的保险公司。
首先,寻找声誉良好的公司,并获得全国保险专员协会的会员资格。 该组织是美国标准制定和监管支持组织,由首席保险监管机构管理。
接下来,寻找一个对条款开诚布公的保险公司,并与企业合作制定可以增强安全计划的定制产品。 保险公司也应该定价合理,企业应该比较不同保险产品的保险费用,以确定产品及价格都适合。
保险公司将提供由企业填写的调查问卷,其中将概述其安全状况,计划,工具和政策。 至关重要的是,这个过程要仔细准确地完成,因为如果不能坚持表格中列出的安全项目和计划,可能会导致被拒绝的索赔。 因此,在答案中写的保守一点也很重要。
企业应与保险代理人会面,讨论可能对其陈述准确性产生影响的任何问题。 如果企业说他们采取了某些安全措施,但实际上它们已经过时实际未被执行,那么保险公司可以拒绝索赔。
透明度对于保单至关重要。 成功获得赔款的关键是在购买保单之前进行的强有力的风险评估。 这为保险公司提供了清晰的文档,证明企业的安全计划是合理的。
但是,应该向承保人注明对程序的任何更改,例如新工具或修补问题,以保持保险范围和准确性。
供应商应审查每家保险公司提供的服务并阅读客户评论,以选择合适的保险公司。 拥有医疗保健行业承保经验的公司是理想的。 保险公司必须了解医疗保健行业中网络安全的困难性质,并应掌握医疗保健行业的具体需求。
最后,企业必须确保在发生数据泄露或网络攻击时被保险的内容。 通常,提供商会急于将流程集中在成本上,但却未能充分评估所保险的内容。 不要依赖口口相传; 让法律团队仔细评估文档,以确保正确的数据,系统和数据恢复流程。
如果发生数据泄露,保险公司可能会与企业合作 - 尤其是在调查期间。 每个保险公司都有自己的处理数据泄露情况的方法,许多公司都想要参与。
一些IT领导者错误地认为他们将负责调查。 然而,根据网络安全公司赛门铁克的报告,对于网络安全保险,大多数保单都包括使用保险公司首选的计算机法医取证团队。
“典型的第一方损失包括以下内容: 法医调查人员确定网络或隐私事件的范围;律师事务所作为数据泄露律师,向被保险人提供有关因泄露敏感数据而产生的义务的建议;通知受影响个人的费用;一家公关公司,就是否以及如何进行公开声明,信用和/或身份监控提供建议;和呼叫中心的支持,“报告作者写道。
“网络安全保险将有助于阻止事件,但不支付纠正或修复技术问题或提供必要的升级以防止未来数据泄露所产生的费用。 ”
因此,如果企业需要这种类型的风险控制,利益相关者必须在合同过程中描述他们的风险偏好。
成功购买网络保险的关键是时间,研究和彻底,透明的风险评估。 由于医疗保健行业仍然是网络攻击的主要目标,并且考虑到风险面很大,购买保险的最佳方式是积极主动。 与具有医疗保健承保经验的代理商合作的好处还将确保覆盖范围适用于企业的需求。
https://healthitsecurity.com/features/what-is-cyber-insurance-for-healthcare-organizations
声明:本文来自CyberRisk赛伯瑞斯克,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。