新发布的研究数据显示,勒索软件攻击成本不断上升,大幅推高英国和美国的网络保单保费。
过去两年来,美国网络保险平均支出超过350万美元,越来越多的网络安全保险公司希望能够直接获得客户安全指标和措施。Panaseer关于网络保险行业状况的报告表明,这有助于证实安全控制的状态。
然而,保险公司难以准确了解客户的安全状况,而这又会反过来影响价格上涨。
Panaseer创始人兼董事长Nik Whitfield指出,82%的受访保险公司预计保费将继续上涨。他解释道:“勒索软件成本增加正在推高保费,而攻击次数和成功攻击数量的增加,意味着越来越难投保,且保费越来越高。”
同时,87%的受访保险公司希望采用更具一致性的方法来分析网络风险。“从根本上讲,保险公司需要更全面细致的信息来为风险定价——问卷可不会降低风险。”Whitfield表示,“从客户那里获得有关其安全状况的真实实时数据,是保险商准确定价风险所需要的,就像远程信息处理给汽车保险所带来的那样。”
调查发现,在评估潜在客户的安全状况时,最重要的因素是其云安全(40%的受访者提到此因素),其次是安全意识(36%)、应用程序安全(32%)、漏洞管理(31%)、特权访问管理(31%)和补丁管理(30%)。
Whitfield指出,市场的潜在挑战之一可能是,许多组织很不愿意交出有关其安全态势内部机制的特权信息。“没人愿意跟别人共享自己的安全信息,因为这会带来安全风险。而且,将有关自身安全状况的私密信息暴露给他人也会让人觉得很危险。”
最糟糕的情况下,有些公司会无法获得保险,因为他们无法提供足够的信息来获得价格合理的保险。
“这种情况下,他们将不得不做一些更极端的事情,比如提供证据、信息,希望与保险公司合作来改善自身安全状况。”Whitfield指出。“这跟任何类型的风险一样:保险公司觉得风险越低,你的保费就越便宜,你就越容易获得保险。网络领域也不例外。”
网络保险市场定价问题
调查表明,很多保险公司尚未弄清如何定价网络保险:虽然47%的受访者表示对承保过程“非常有信心”,但44%的受访者仅仅是“有点信心”。
“有一些结果相互矛盾:一方面,他们对自己的模型充满信心;但另一方面,他们并不真正确信自己了解如何定价。”Whitfield解释道,“这种情况会随时间推移而变化。但需要保持开放意识,与市场就如何做到这一点进行沟通。”
复杂的是,在网络安全领域,过往情况从来都不是良好的预测指标。“对某些类型的风险而言,过往情况能让你很好地把握将来会发生什么。但在网络领域,根本不是那么回事。我们的对手非常活跃。他们总能用新的工具、技术和程序来访问我们的环境,总能搞出新的恶意软件。而新的应用程序也层出不穷。想用过去预测未来是行不通的。这就是保险商难以定价网络保险的原因。”
面对日益复杂的全球性威胁态势,随着攻击频率和严重程度的不断增加,保险公司和经纪商开始对保单收取更高的费用,设定更高的要求。
卡巴斯基于2021年10月进行了一项调查研究,并在2022年1月发布了研究报告。报告表明,投资网络保险的趋势日益鲜明,28%的受访者称其公司每年拿出2.5~5万美元投资网络保险。
在Whitfield看来,网络安全威胁的前景会先变糟再变好。“企业面临的风险一直在增加,过去几年里,数据泄露的数量及其成本稳步上升。”
那么,保险业怎样才能在支持业务的同时又获得回报呢?这就得靠被保险人和保险商之间的伙伴关系了,Whitfield解释道。“我不认为单靠其中一方就能达成,这需要用证据来解决,而不是发张调查问卷问问组织对安全态势的看法就完事。”
这意味着保险公司可以高效实时获取有关组织安全状况的硬数据,并且具有可倚赖的高质量数据。“这将是网络保险行业的真正革命。”Whitfield说道。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。