网络安全保险成本大涨 企业还能负担这一重要的风险管理工具吗?

VSole2022-08-12 13:00:00

根据 Huntsman Security 的数据,到 2023 年,无法负担网络安全保险、被拒绝承保或面临重大承保限制的企业数量将翻一番。

即使对于那些被投保的人来说,持续上涨的攻击、日益趋严的监管和不断增长的财务压力所形成的强烈风暴,也使得攻击、违规和安全事件都更可能被暴露出来。

“供应链危机、通货膨胀和缺乏安全技能等因素都增加了企业试图建立健全其网络安全战略的难度。与此同时,对于许多企业来说,保险费用的增加、承保范围的限制、承保及赔付的严格性以及责任认定都限制了网络安全保险的可及性,”亨斯迈安全 CEO Peter Woollacott评论道。

“除非保费收入能更好地匹配当前的赔付支付水平,否则赔付率不会得到改善。随着网络威胁增加和监管收紧,保险准入减少,许多企业正在失去网络安全保险这一重要的风险管理工具。即使是那些仍然可以获得保险的人也要付出高得令人望而却步的费用,”Woollacott 继续说道。

数据显示,三分之一的英国公司每周至少遭受一次网络攻击,网络安全保险作为整体风险管理的一部分是至关重要的。为了弥合这种可及性的差距,保险公司正在寻求提高风险信息的质量,以便保费更好地反映该风险的真实成本。除非企业能够证明他们有保险公司指定的控制措施来管理其安全风险,否则保险公司将继续难以量化安全风险。正是由于这些原因,保险公司改变了提供产品的基础,以更准确地反映承保的风险。

在安全419的近期采访中,安恒信息高级副总裁袁明坤也指出,风险量化是网络安全保险落地的一大难点。网络安全保险需要理解和把握网络安全产品在各种场景下的安全风险。需要量化安全风险的概率,而这需要时间和数据来支撑。从安全企业侧来说,不同场景下,安全企业需要与保险业共同就场景特性制定相应的风险量化模型,这是风险量化的起步支撑。

在这种环境下,改进和展示安全控制的有效性至关重要,无论是对于希望提高网络弹性和监测能力、同时提高其保险资格的企业,还是对于需要通过确保准确性来最大限度地减少自身风险的保险公司。相关关键因素包括:

  •  多因素身份验证
  •  端点保护
  • 受限的管理员权限
  • 修补操作系统/应用程序
  • 员工安全意识
  • 定期备份
  • 经过测试的业务弹性规划
  • 灾难恢复计划

Forrester Research 在其于今年4 月发布的《2022 年顶级网络安全威胁》报告中指出,随着风险信息的改善,保险公司很可能会纳入新的承保要求,并对风险控制和安全计划成熟度进行更严格的审查。如前所述,许多保险公司已经在进行这种更严格的承保流程。如果其他行业的保险流程可以作为参考,随着企业开始改进其网络风险的管理和监控,保险公司将改进其风险定价模型,并以更优惠的保险成本和条款服务那些更高级别安全水平的企业。

众安科技网络安全事业部、众至网络安全联合共创实验室负责人秦峰在接受安全419采访时就表示,与车险、健康意外险等等有相应的责任判定机构而言,处于起步阶段的网络安全保险在这方面仍有巨大差异。所以,赔与不赔的责任界定,也是网络安全保险目前阶段的落地难点之一。比如说是安全产品的问题,还是风险意外问题,又或者是存在主观恶意问题。

同时还有价值定义方面的难点,“网络安全产业帮助企业保护的数字资产价值到底是多少目前难以具体评估,这也影响一定的参照依据是否准确适用。网络安全企业在接到安全评估、渗透测试类服务时,需要对标的物进行界定,从网络安全保险角度来讲,同样需要做出界定,因为这将决定保险保额。”秦峰说道。

基于以上,不断变化的市场买卖双方对网络安全的需求无疑将推动保险市场不断进行调整。

Peter Woollacott评论道:“目前,网络安全保险行业正在全球范围内推动安全控制。即使立法者、监管机构和法院都在加码,保险公司仍将寻求提高其风险定价信息的质量来设定安全条款。企业应尽可能去增强其安全控制和态势,与网络安全保险形成良性配合,共同完善安全建设体系以提高安全水平。”

网络安全保险需要生态闭环彼此理解支持,秦峰指出,保险公司则作为承保主体,保险产品指向具有可保利益,进一步凸显其重要性。网络安全企业则能够去补充保险公司在网络安全技术能力上的不足,以及在承保期间,对于用户风险监测能力的不足。投保用户收益则尤为显见,如果出现残余风险或意外,在投资回报方面会有兜底保障。

就国内市场而言,现阶段处于网络安全保险市场培育期,需要各方以坦诚包容的态度共同致力于市场的做大做强。待市场成熟之后,各个角色自然会有自己的市场空间和地位。

网络安全风险成本
本作品采用《CC 协议》,转载必须注明作者和本文链接
安全形势正在迅速变化——安全和风险领导者需要跟上。
随着信息化、网络化、数字化的快速发展,安全保密工作既面临前所未有的机遇,又面临新的安全风险与泄密隐患。国防工业承担着保障国家安全与发展的重大职责,其安全保密问题普遍受到各国政府的高度重视。美国通过构建完善的保密监管体系、加强武器装备科研生产单位物理防护、增强国防工业领域网络安全等措施,不断加强对国防工业安全保密工作的管控,以确保其竞争优势。
数据显示,2021年勒索软件威胁达到了前所未有的水平。
近期,网络安全行业投融资活跃,兼并重组热情高涨。公告称,双方在技术和市场方面互补性强。中信证券表示,三季度,网络安全行业订单有所回暖,订单金额实现较快增长。华西证券表示,网络安全行业发展短期由网络安全事件驱动,中期由合规驱动,长期由IT架构升级驱动。
解释投资回报率和网络安全投资由于网络安全带来了新的和持续的挑战,投入再多资金也不可能消除风险,向董事会成员解释这一点很重要。投资回报率的主题对于网络安全来说可能有些复杂,因为品牌声誉价值、数据/个人信息安全的妥协以及潜在的法律成本等重要的因素更难量化。
元宇宙用户的“数字身份”与相关“虚拟资产”,属于宝贵的隐私数据,是支撑元宇宙经济持续运转的底层资源。例如,互联网巨头已纷纷推出了元宇宙数字身份平台钱包、元宇宙虚拟现实设备等产品与服务。因此,“数字身份”应成为元宇宙安全保卫战中的重要阵地。值得注意的是,确保“数字身份”的安全,元宇宙具有独特的优势。构建安全的元宇宙尽管仍有待探索,但好在方向已然明确。
阿里安全在平台部署了上述新升级的新一代安全架构核心AI能力,让AI对风险商品进行“联想”,以此对抗突发新增、变异的风险商品。
近日,美国电视频道和品牌Nickelodeon被曝成为数据泄露的受害者。据消息人士透露,此次泄密事件发生在2023年初,但涉及的大部分数据“只与生产文件有关,与长格式内容或员工或用户数据无关,而且似乎有几十年的历史。
近些年,随着统筹协调机制、“互联网+政务服务”、信息资源整合共享等概念的出现和逐步落地,以及数字化、网络化、智能化为特质的新一代信息通信技术(ICT)加快驱动,政府再次转型驶入新型电子政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件系统、办公系统不断得到创新和运用,网上办公、数据集中、各种业务支撑系统层出不穷。
VSole
网络安全专家