當(dāng)今社會(huì),網(wǎng)絡(luò)攻擊日益猖狂,過去的2016年可謂是“不平凡”的一年,各類大型數(shù)據(jù)泄露事件接踵而來。根據(jù)英國國家犯罪局在今年年初發(fā)布的統(tǒng)計(jì)顯示,去年英國的網(wǎng)絡(luò)犯罪在數(shù)量上已經(jīng)遠(yuǎn)遠(yuǎn)超過了傳統(tǒng)犯罪。
通過邏輯分析,不難看出這種趨勢只會(huì)繼續(xù)“走高”。各大媒體版面通常將焦點(diǎn)放在影響跨國公司的大規(guī)模數(shù)據(jù)泄露的事件上,實(shí)際上小、中型企業(yè)正不斷成為數(shù)據(jù)泄露的受害者,這使許多企業(yè)心生恐懼,網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品也應(yīng)運(yùn)而生,并得以廣泛推廣。英國保險(xiǎn)公司最近的研究顯示,2016年的網(wǎng)絡(luò)保險(xiǎn)需求增長50%。
網(wǎng)絡(luò)保險(xiǎn)業(yè)市場潛力巨大網(wǎng)絡(luò)保險(xiǎn)的主要目標(biāo)是保護(hù)個(gè)人和組織機(jī)構(gòu)免于遭受電子儲(chǔ)存信息丟失帶來的財(cái)務(wù)損失。傳統(tǒng)的購買保險(xiǎn)是為了保護(hù)物理財(cái)產(chǎn)免遭丟失、盜竊或破壞。
然而,就在各種信息泄漏事件頻發(fā)的最近幾年,企業(yè)和個(gè)人購買網(wǎng)絡(luò)保險(xiǎn)的意識(shí)已經(jīng)逐漸形成,并且越來越意識(shí)到其重要性,這是因?yàn)樗麄兛吹诫娮訑?shù)據(jù)的價(jià)值遠(yuǎn)遠(yuǎn)超過物理財(cái)產(chǎn),而很多物理財(cái)產(chǎn)也會(huì)牽涉到電子數(shù)據(jù)。
雖然自千禧年以來,網(wǎng)絡(luò)保險(xiǎn)法律法規(guī)就已存在。過去20年,科技發(fā)展突飛猛進(jìn),使得這一領(lǐng)域仍能穩(wěn)健發(fā)展。社會(huì)將技術(shù)作為現(xiàn)代生活的關(guān)鍵組成部分,網(wǎng)絡(luò)攻擊必須適應(yīng)這種方式。隨著各種網(wǎng)絡(luò)犯罪日益猖獗、新興犯罪不斷涌現(xiàn),網(wǎng)路保險(xiǎn)業(yè)正在興起,目前已經(jīng)形成多種網(wǎng)絡(luò)保險(xiǎn)方式,承包范圍覆蓋勒索軟件、網(wǎng)絡(luò)釣魚詐騙、網(wǎng)絡(luò)敲詐和黑客攻擊等等。本文源自E安全。
現(xiàn)有保險(xiǎn)政策從財(cái)務(wù)角度以各種方式幫助網(wǎng)絡(luò)犯罪的受害者,網(wǎng)絡(luò)保險(xiǎn)支出可能包括與IT專家、監(jiān)管調(diào)查或取證調(diào)查有關(guān)的任何費(fèi)用。更重要的是,網(wǎng)絡(luò)保險(xiǎn)政策幫助受害者管理網(wǎng)絡(luò)事件,從而讓受害者接觸理解各種網(wǎng)絡(luò)犯罪及其后果的專業(yè)提供商。
投保方式的發(fā)展時(shí)代在不斷變遷。當(dāng)網(wǎng)絡(luò)保險(xiǎn)首次被引入時(shí),投保是一件相當(dāng)繁瑣的事情。先決條件通常包括現(xiàn)場審核和類似大篇幅文章一樣的技術(shù)申請表。
如今,投保方式更簡潔高效,只需完成一些問題填寫,例如:主要財(cái)務(wù)信息、先前的損失歷史和基本的風(fēng)險(xiǎn)管理等。英國有超過20家保險(xiǎn)公司提供網(wǎng)絡(luò)保險(xiǎn)政策,以幫助進(jìn)一步簡化投保過程并降低價(jià)格。另外,網(wǎng)絡(luò)保險(xiǎn)公司尚無法計(jì)算具體控制的后果,而是根據(jù)標(biāo)準(zhǔn)資產(chǎn)組合管理技術(shù)來承保賠付率。網(wǎng)絡(luò)保險(xiǎn)在風(fēng)險(xiǎn)管理方面的承付款項(xiàng)比一般的財(cái)產(chǎn)保險(xiǎn)要少。一般的財(cái)產(chǎn)保險(xiǎn)也許會(huì)闡明門上需要安裝哪種報(bào)警裝置或哪種類型的鎖,網(wǎng)絡(luò)保險(xiǎn)在風(fēng)險(xiǎn)管理方面更具靈活性。
盡管網(wǎng)絡(luò)保險(xiǎn)業(yè)采用的方式越來越高效簡單,但英國公司購買了網(wǎng)絡(luò)保險(xiǎn)的比例仍不到10%,而在美國,這項(xiàng)比例已經(jīng)超過25%。行業(yè)專家認(rèn)為,隨著網(wǎng)絡(luò)犯罪繼續(xù)在英國膨脹,這個(gè)比率可能會(huì)飛速提升。
網(wǎng)絡(luò)保險(xiǎn)的索賠肯定水漲船高隨著投保人的數(shù)量不斷增加,網(wǎng)絡(luò)保險(xiǎn)市場的規(guī)模也將會(huì)飛速擴(kuò)大,索賠量無疑會(huì)增加。
2016年上半年,英國遭遇200多起網(wǎng)絡(luò)事件,其中近33%的網(wǎng)絡(luò)事件與數(shù)據(jù)泄露有關(guān),20%以上與電子欺詐有關(guān)。其它事件還包括勒索軟件、惡意軟件和DDoS攻擊。大多數(shù)這些攻擊目前為止帶來的損害相對(duì)較小,絕大多數(shù)造成的損失低于5萬英鎊,可以合理推測,企業(yè)的潛在經(jīng)濟(jì)破壞是巨大的。例如,2016年黑客獲取英國某小型企業(yè)的所有數(shù)據(jù),導(dǎo)致該公司損失超過100萬英鎊。
網(wǎng)絡(luò)攻擊還會(huì)給企業(yè)帶來間接影響。這些間接影響就是近年來持續(xù)增長所謂的“虛幻破壞力”。雅虎去年年底遭遇黑客攻擊并導(dǎo)致10億以上互聯(lián)網(wǎng)用戶的數(shù)據(jù)被盜,但這還不是事件的結(jié)局,此類泄露事件帶來的連鎖效應(yīng)有巨大破壞性。由于許多用戶在多個(gè)網(wǎng)站使用重復(fù)的密碼和用戶名,這為攻擊者提供可乘之機(jī),一旦實(shí)施初始攻擊之后,攻擊者可以輕易利用其它網(wǎng)站(即使這些網(wǎng)站本身的安全性可圈可點(diǎn))。
投保方和保險(xiǎn)公司需共同協(xié)作盡管網(wǎng)絡(luò)保險(xiǎn)的重要性日益凸顯,但也出現(xiàn)這樣的聲音“網(wǎng)絡(luò)保險(xiǎn)不會(huì)賠付”。在某些情況下,企業(yè)沒有正確或完整填寫保險(xiǎn)申請,導(dǎo)致不能獲得賠付。然而更多情況下,保險(xiǎn)公司才是那個(gè)被“丑化”的對(duì)象。
要減少無效索賠,保險(xiǎn)公司和投保方需要有效協(xié)作。
從保險(xiǎn)公司的角度來看,它們不在乎投保方是否部署了強(qiáng)大或不堪的安全控制措施,而是需要投保方在申請單上準(zhǔn)確描述,這與傳統(tǒng)保險(xiǎn)行業(yè)一致。
但這也存在問題被誤解或曲解的情況。例如,企業(yè)可能會(huì)說他們加密了所有數(shù)據(jù),而事實(shí)上只是設(shè)置了密碼保護(hù)。保險(xiǎn)公司有責(zé)任以更清楚的方式提問,并進(jìn)一步解釋較為復(fù)雜的安全概念。
網(wǎng)絡(luò)保險(xiǎn)需要保險(xiǎn)公司和投保方進(jìn)一步協(xié)作,這其中政府積極推動(dòng)還能起到更多的作用。英國政府開了一個(gè)好頭。英國2014年引入政府網(wǎng)絡(luò)基礎(chǔ)計(jì)劃,旨在培訓(xùn)公司如何減少網(wǎng)絡(luò)攻擊,以及在遭遇網(wǎng)絡(luò)入侵后如何最大限度降低費(fèi)用。
良好的網(wǎng)絡(luò)習(xí)慣應(yīng)成為企業(yè)防御的第一道防線,但絕大多數(shù)英國公司,尤其小中型企業(yè)遭遇網(wǎng)絡(luò)攻擊,顯然現(xiàn)狀并不如此。為此,英國主張采用雙管齊下的策略,在升級(jí)的安全和風(fēng)險(xiǎn)管理實(shí)踐中加大投資,并購買保險(xiǎn)。