正如最近的事件所表明的那样,网络攻击的速度和规模继续增长,财务风险 - 收入损失,恢复费用,责任成本以及潜在的严厉监管罚款都是公司面临的后果。 2017年NotPetya,历史上最具破坏性的网络活动,继续困扰着商业公司:恶意软件造成超过100亿美元的经济损失,并扰乱了全球主要公司的业务运营,生产和物流。仅这次袭击造成的保险损失估计超过30亿美元。

诸如此类的事件迫使公司将控制网络风险作为公司的首要任务。在最近发布的2019年全球风险报告中,发达经济体的人们再次将网络攻击列为其最大的风险问题。这种认识已经从将网络风险视为需要解决的问题发展而来,通过在技术上花费更多来将其视为必须在公司的许多领域积极管理的风险来解决。这种思维方式的转变使投资网络保险成为公司如何管理其技术风险的整体方案。

但网络风险越来越受到人们的关注,不仅仅是C抬头的管理层和董事会:监管机构也更积极地研究企业如何应对网络风险以及如何管理他们对关键利益相关者的责任。因此,即使网络威胁的财务成本增加,随着越来越多的监管机构 - 特别是美国证券交易委员会(SEC)开始对企业提出更严格的要求,监管风险也随之增加。

这两个趋势 - 越来越多地采用保险来转移网络风险和更严格的网络风险管理监管方法 - 与众多方式相吻合。围绕网络风险评估,预防和管理,执行和董事会级别所有权以及事件披露和响应的许多新监管要求和指导都是相同的做法,应该为企业围绕网络保险投资的决策提供信息。这些相同的最佳实践是承销商越来越期望和重视的。

美国证券交易委员会加强其立场

几年来,网络安全一直是美国证券交易委员会的议程。 2011年,该委员会的公司财务部发布了指导意见,要求公司评估其有关其网络安全风险和网络事件的披露义务。

虽然这是一个很好的起点,但在为主动和被动的网络风险管理和监督设定明确的期望方面,指导还远远不够。 美国证券交易委员会2018年的解释性指南概述了公开交易公司披露网络安全风险和重大事故的要求。

SEC指导重点关注五个主要领域:

-事故前披露。该指南要求透明度高管团队对网络风险的识别,量化和管理以及董事会的监督。通常,技术和全球运营环境的增长阻碍了对公司脆弱点的360度可见性,缺乏数据导致安全性受损。

-董事会监督。董事会有望理解,量化和监督网络风险。美国证券交易委员会建议公司在其代理声明中披露董事会在网络风险监督中的作用和参与。董事会成员必须了解并了解公司的整体网络安全风险,特别关注对公司财务状况的影响,将这种洞察力整合到他们对公司风险的360度视角中。

-事故披露。公司必须“及时向投资者提供有关重大网络安全风险和事件的信息。”为此,公司必须建立适当的结构来识别和量化网络风险工具,使其能够快速确定是否受到影响。事实上,制度是重要的,需要向监管机构和投资者披露。

-控制和程序。该指南还要求公司评估其企业风险管理(ERM)流程是否足以保护公司免受网络灾难的影响。这需要针对网络破坏的分步操作手册,包括确定需要联系的人以及企业将如何以及与谁共享有关数据泄露的信息。鉴于网络风险的不断变化,应该进行持续的尽职调查,以识别和管理新的风险 - 特别是在合并或收购期间。大多数公司长期以来一直为自然灾害等其他风险做到这一点,并且必须将这一过程扩展到网络风险。

-内幕交易。 2018年指南的新内容提醒公司,董事,高级职员和其他内幕交易禁令。实际上,这意味着,在泄露此类漏洞或漏洞之前,了解公司的网络漏洞或数据泄露的董事,高级职员和其他高管如果出售公司股票或指示其他人这样做,则可能要承担责任。

违规的成本可能很高。 去年美国证券交易委员会对一家大型科技公司处以3500万美元的罚款,该公司称该公司未能披露数亿用户账户盗窃个人数据时误导投资者。

持有美国证券交易委员会资金的国会正在向该机构施加越来越大的压力以改善网络安全,私人投资者也迫切要求他们持有的公司采取更严格的网络安全控制措施。 因此,美国证券交易委员会可能会开始对那些更有活力的公司采取行动,特别是在最近 - 以及不可避免的未来 - 重大数据泄露事件之后。

风险转移作为核心网络风险管理工具

鉴于大多数风险的性质,企业认识到技术和其他解决方案本身无法应对他们面临的各种风险。从历史上看,保险公司已经介入,为通过流程,程序和缓解无法控制风险为零的剩余风险提供财务支持。

从这个意义上说,网络风险并没有什么不同,企业现在认识到网络风险也无法单纯通过技术来管理。这是一项操作风险,需要纳入公司的整体企业风险管理流程 - 包括风险转移,缓解和弹性规划。

保险市场现在为网络风险提供风险转移解决方案,既解决了不断变化的技术风险,又解决了传统保险产品最近因适当解决公司不断变化的网络风险状况而退缩的问题。

网络保险的前提是所有公司的技术驱动风险都应该是可保险的。这些风险包括公司在收入或资产损失方面可能遭受的直接损失,以及数据泄露或未能遵守无数新的国内和国际法规可能产生的责任。

网络保险也一直处于推动更好地理解这种风险的财务影响的前沿,以帮助行业改进潜在损失情景的建模。财务评估也是企业风险管理规划的重要基础:网络风险量化有助于企业评估一系列网络破坏的经济影响,并在此基础上对技术,保险和响应资源进行明智的投资。量化网络风险还可以在公司的整体风险框架内分析网络风险,并将其整合到整体风险管理规划中。

作为购买网络保险的重要基础的评估,评估和建模过程在很多方面与美国证券交易委员会最近的指导所要求的做法保持一致。鉴于监管议程日益活跃的可能性,建议各企业调整其经营策略和做法,以遵守美国证券交易委员会的建议,并考虑保险市场保障范围,以帮助防范与网络安全相关的损失和监管责任。

作者介绍

Bob Parisi是网络产品的领导者,Christopher Hetner是Marsh的网络风险咨询总经理。

https://blog.nacdonline.org/posts/what-your-board-needs-to-know-about-cyber-insurance-and-regulatory-change

声明:本文来自CyberRisk赛伯瑞斯克,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。