最近ESI ThoughtLab发布了一个有关“安全驱动力”(企业在现在的数字环境中如何驱动安全达到最佳表现)的报告,其中的一个最佳实践是:尽可能多地通过网络安全保险转移风险。一定程度上,网络安全保险的使用数量在增加,但是保险行业似乎认为可以做得更好。
ESI ThoughtLab调查了全球超过1,000家企业,得到了大量的领头企业,比如Verizon、KnowBe4、Check Point的支持。同时,也有网络安全保险公司Cowbell Cyber。Cowbell为报告提供了中小型企业(在美国年收入低于10亿美元的公司)的相关保险数据。
在Cowbell的报告中,第一件注意到的事,是中小型企业正在以一个比大企业更快的速度(65%对比58%)采用网络安全保险作为对抗手段的一部分。但是,这可能只是因为来自于他们客户的要求——而这个原因的影响对大公司来说要小很多。35%的中小企业因为这个原因购买网络安全保险,而另外30%的购买原因是基于相关规定对个人和第三方的赔付要求。不过,无论是何种原因,97%的中小企业都对网络安全保险的ROI表示满意。
但从另一方面来看,一些数据表明,70%的公司采取的网络安全保险保额不足。这些公司的保险范围低于100万美元,而Cowbell认为一次成功的网络攻击造成的平均损失为122万英镑(约150万美元)。因保额不足面临最多风险的公司包括电信、零售、医疗和生命科学企业。和保额不足相对的,是有公司超额投保,这类公司以媒体和某些专业领域的为主。
保险费成本和潜在汇报之间的差异也是Cowbell讨论的内容之一。对于中小企业而言,网络保险缺少更高的保额上限。当网络空间涉及到更广泛的领域的时候,上限不足以补偿真实网络事故中的损失。保险政策的制定者低估了事故发生后,响应和修复中需要的费用。
网络安全保险的最大问题之一,是正确平衡投保费和赔偿费用。网络安全保险最初是作为填补之前存有的保险种类中缺失的一部分。因此,独立存在的网络安全保险险种并不总是存在,同时由于不同客户面临的风险不同,平衡保险和风险之间的关系本身也很复杂。
Cowbell自身的解决方法,是用他们自己的AI风险监测平台发现,并量化每个客户的风险。这使得他们能够为每个客户形成一套独特的基于风险的独立保险产品,从而明确保险的理赔范围,消除各种存在的分歧——这也是独立的网络安全保险产品的重要意义。
对于改善以后的网络安全保险,一大隐患是出现意料之外的情况。保险公司会基于自身利益,还是保护客户来开发产品?另一个更普遍的问题,是勒索病毒保险是否实际上在供养勒索病毒市场,让勒索金额升高。最后,客户是否会因为过度依赖保险而非他们自身的安全控制,从而降低了整体的安全生态?
Cowbell的CEO,Jack Kudale,认为这些答案都是否定的。首先,他并不认为保险公司会完全只基于自身的利益出发。同时,在他看来,通过Cowbell的分析工具,勒索攻击成功的几率会被下降,从而赔偿和风险会更平衡。他认为,保险的最终目的不是鼓励勒索病毒攻击,而是让企业在寻求保险之前,加强自身的防御能力并进行一次完全的评估。
最后,他不认为在网络安全保险上的依赖会降低对安全控制的要求。毕竟,没有人愿意发生一起安全事故,再从中进行重建。另外,71%的调查受访者表示会在未来两年内加大投保金额。网络安全保险的客户也在学习到需要进一步的保护。Kudale表示,现在企业逐渐意识到没有任何安全工具能够消化100%的攻击,因此需要网络安全保险来降低攻击带来的损失。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。