随着网络保险索赔的增加,受影响的企业可能会受保险专业人士所左右。
一位学者表示,随着网络安全保险索赔数量的激增,企业需要比以往任何时候都更加谨慎地对待自己保单的承保范围。他警告称,保险公司对网络事件的说明越来越唯利是图。
“理赔人员必须平衡多方利益冲突”,麦考瑞大学 (Macquarie University) 商学院会计与企业管理系讲师、Optus-Macquarie 网络安全中心的活跃成员 John Selby 博士在本月于墨尔本举行的澳大利亚网络会议上对与会者说道。
如果他们不去兑现保险公司为投保人许下的承诺,将来没有人会买这个公司的保险,但如果他们赔给你的钱太多,那么剩下的钱就不够用来赔付今年其他的索赔了。
网络安全事件的日趋严重促使很多公司向网络安全保险公司提出索赔——这些保险公司正在变得越来越谨慎,想方设法寻找减少或否认其支付义务的方法。
传统保险概念和 IT 概念之间的差异造成了矛盾,Selby 表示:例如,一些保单只针对甲方的损失,不涵盖第三方损失——如果将业务功能外包给云服务供应商,企业就没有理赔依据。
与此类似,对 “承包商” 一词的严格定义可能将损失限制在人类行为上,这使得在评估非人类供应商(例如云运营商)的潜在责任时变得更加复杂。
面对网络安全事件带来的损失,企业应该 “询问造成损失的每个部分是否都属于保险范围之内”,Selby 表示,并指出保险范围需要明确指出能够解决网络敲诈,冒充合法服务供应商等事件,甚至是在软件开发和部署时自身原因导致的错误或疏漏。
保险公司 “也可能会问你是否没有遵守保单规定的其他义务”,Selby 说道,“他们可能会寻找其他能够拒绝赔付的法律依据,例如弃权和失权原则”。
鉴于在很多数据泄露事件中人为错误的普遍性,员工对数据泄露的影响也可能会提高——导致了高管与 IT 主管关系紧张。
当保险公司试图在理赔期间最大程度地降低网络安全索赔金额时,他们可能会将赔付限制在特定的损失限额内,使受害者的获得的赔付远远低于其保单所提供的总承保范围。
Selby 指出,企业需要 “正确地计算” 潜在损失的可能有多大,特别是在网络安全法规的不断变化在经常影响风险的情况下——例如,政府将针对隐私侵犯行为的最高罚款从 210 万美元提高至 1000 万美元。
然而,计算损失可能很困难,因为损失的范围及其对业务中断的影响,往往只有在事后才会变得清晰。今年全球食品巨头 Mondelez——旗下品牌包括受 NotPetya 攻击的 Cadbury(吉百利),起诉保险公司 Zurich 使得这一问题尤为突出。Zurich 拒绝对受 2017 年恶意软件攻击影响的 1700 台服务器和 2.4 万台笔记本电脑进行赔付。
Zurich 利用了 Mondelez 财产保险政策中的一项例外条款,该条款规定战争时期可以无需支付保费——Zurich 辩称,当外部各方积极参与到针对被保险人的敌对行动时,该条款也适用。
这家保险公司的解释扩展了战争的传统定义,即 “假定会与运动的物体发生物理冲突,导致财产损失和破坏”,Sleby说道。“然而,技术在发展——随着技术武器化,新技术将带来战略优势。”
该案仍在审理中,“Zurich 需要举证证明 Petya 属于战争行为”,他继续指出 “如果判决对这家保险公司有利,将对网络保险市场产生重大影响”,因为为了填补这一缺口,会出现对商业保险范围的新需求。相比之下,Mondelez 可能会发现网络安全保费可能会大幅提高,以应对可能会出现的巨额赔付。
今年,网络保险政策的索赔大幅增长,网络保险专家 Emergence Insurance 最近指出,2019 财年索赔率同比增长 29%。
其中专业、科学和技术服务公司以及提供金融服务的公司,索赔率增长了 20%,医疗和社会救助服务供应商的索赔率则增长了 14%,金融和保险服务供应商的索赔率增长了 12%。
这一结果反映了数据泄露通报法案 (Notifiable Data Breach, NDB) 报告的分布和趋势,平均索赔严重程度比上一年高出 51%。
索赔原因中黑客行为占 36%,勒索行为占 31%。
再多的风险管理也无法让你彻底摆脱一个坚定的网络攻击者,销售应急主管 Gerry Power 表示,人为失误的存在以及员工必须明白,如果安全系统失灵,他们是最后一道防线。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。