企业主和首席信息安全官(CISO)不能靠网络保险来抵御所有网络攻击风险及其所造成的损失。

针对挪威铝业巨头 Norsk Hydro 所遭勒索软件攻击潜在损失的网络保险调查开始了。2017年NotPetya蠕虫驱动的产业界网络保险投保热潮有望再升热度。尽管 Norsk Hydro 遭 “LockerGoga” 攻击所致全部损失尚有待计算,但正如NotPetya案例所示,收入锐减和严重的业务断档是免不了的了。

但网络保险真的足以限制勒索软件攻击受害者所受到的影响吗?如果不能,有远见的公司企业该怎样确保遭到攻击之后能享有经济保障呢?

计算损失

随着公司企业披露源自WannaCry/NotPetya的确切损失及潜在网络影响,近期网络犯罪事件对IT及保险行业的影响持续发酵。美国财产理赔服务署(PCS)的最新报告中将NotPetya所致损失定位在33亿美元上,并称该数字还在持续增长。Norsk Hydro 事件目前正在接受PCS的评估以确定是否可称之为全球性网络事件——产生至少2,000万美元的再保/保险损失。该公司近期评估称损失了4,000万美元。

对某些公司而言,尽管有保险理赔,理赔额度却已被证明是不足以覆盖网络攻击影响的。以美国制药巨头默克公司为例。该公司曾披露称,自2017年6月起,NotPetya网络攻击已使公司损失5.8亿美元,且到2018年底还会再增加2亿美元的损失。与之相对的是,专家估算他们的保险理赔可能达到2.75亿美元——十分庞大的数字,但连已明确损失的一半都不到,更别说还有持续出现的隐形损失了。

其他公司的情况更糟,比如零食业巨头亿滋国际,到现在都还在跟其财产保险商苏黎世美国保险公司扯皮。亿滋国际就NotPetya攻击提出索赔基于涵盖 “一切物理损失或损坏风险” 的保单,且保单中特别指明了 “电子数据、程序或软件遭受的物理损失或损坏,包括因机器代码或指令恶意入侵所致损失或损坏。”

但在美国情报官员认定NotPetya恶意软件源自俄罗斯军队针对乌克兰的攻击之后,苏黎世保险公司依据 “任何政府或主权力量的敌对或战争行为免于赔付” 的条款,拒绝理赔。

战争行为对理赔意味着什么?

随着网络犯罪的持续增长,网络保险令公司企业不得不重新考虑他们的保险覆盖范围。面对投保决策的公司企业需在预算中留出月度开销和潜在大笔保费的空间。想令保费投资值回票价,公司企业就得确保遭遇网络攻击时能以理赔弥补损失。因此,选择正确的保险覆盖范围就变得十分关键了

围绕NotPetya网络攻击的几起保险理赔,尤其是亿滋国际的案例,将保险覆盖范围问题摆到了台面上。考虑到国家支持的网络攻击,或者说,被保险公司出于拒赔目的而振振有词地宣称为国家支持的网络攻击的增多,理赔范围变得尤为现实。随着监管规定的修改,随着美国军方被赋予更多对外国政府黑客发起预防性网络攻击的自由度,能跟政府或军队扯上关系的丝毫证据都会被确认为网络战行为,然后被合法用于拒绝赔付,让索赔人欲哭无泪。

这些细则会影响到公共研究吗?

这种情况的涟漪效应还会超出保险行业,从长期来看,会对安全研究甚至新闻与出版自由产生连带影响。研究人员向来可以自由评论网络攻击,甚至可以通过攻击者的行为及其攻击特征信息来猜测攻击元凶。如果保险公司和保险经纪开始使用公共研究作为拒赔理由,当意识到自己的研究结果可能会加剧受害者困境的时候,研究团队就被架到了道德伦理的热锅上烤。因此,出于对牵涉进司法程序的恐惧,研究人员可能也就不愿意公开自己的发现成果了。总的影响可能会是公开研究数量的减少,以及行业整体透明度的下降。

网络安全供应商就能“保证”安全吗?

不仅仅是保险经纪,支持哪种索赔的问题还延伸到了网络安全供应商的财务担保上。供应商为购买了网络安全产品的客户提供担保的做法越来越流行,为他们宣称的产品功能提供了实质性支撑。然而,很多专家认为,网络保险政策满是漏洞,这种担保毫无意义。前文已经提到过常被拎出来当免赔金牌的 “国家行为或自然灾害” 免责条款,其他的例子还包括可移动设备、内部人威胁或故意行为。即便你的保险条款里覆盖了所有事件,难不成还覆盖到了所有的员工吗?最新一期的《网络保险购买指南》支出,大部分保险政策都未妥善提供甲方和第三方损失保障。

购者自慎

寻求保障的企业主和CISO所面对的现实就是:网络保险不能抵御所有风险和损失,尤其是在网络犯罪肆意跨界作恶的时代。正如我们所见,网络保险行业面临着确保受害者保障上的种种未解决难题。而且,网络安全公司许下的大额担保最终也会被保险细则侵蚀得一干二净,既不是安全保障,也无法追索。除非行业拿出这些问题的解决办法,否则购买网络保险和网络安全解决方案的公司企业只能自己小心。

美国财产理赔服务署(PCS)关于NotPetya所致损失的最新报告:

https://www.reinsurancene.ws/petya-cyber-industry-loss-passes-3bn-driven-by-merck-silent-cyber-pcs/

《网络保险购买指南》:

https://www.aba.com/Tools/Function/Documents/2016Cyber-Insurance-Buying-Guide_FINAL.pdf

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。