趋势与观点 | 网络保险新视角:转移风险,提升网络弹性

在当今高度互联的世界中,数字技术塑造了我们生活的方方面面,网络威胁几乎是每个人都面临的障碍。网络威胁继续变得更加复杂,给个人、组织和整个国家带来了重大挑战。随着安全专业人员应对当前的网络威胁,了解新出现的危险并通过网络保险加强数字防御对安全的数字未来至关重要。

审视网络威胁

勒索软件仍然是一种强大的网络威胁,对各行各业造成了严重破坏。最近备受瞩目的勒索软件攻击激增,凸显了不断升级的危险,犯罪分子以关键基础设施、医疗机构和大型企业为目标。

国家级网络行动也引起了人们日益关注的问题。国家支持的威胁行为者从事复杂且资金充足的网络间谍活动、知识产权盗窃和针对关键基础设施的破坏性攻击。这些攻击可能产生严重的地缘政治影响,并对国家安全构成重大威胁。

此外,基于网络的用于连接工控网络的OT技术和物联网(IoT)设备的激增为连接环境带来了大量漏洞。设计不安全和配置不当的OT 设备对网络犯罪分子来说是诱人的目标。通过利用这些漏洞,黑客可以破坏网络,侵犯隐私,并发起大规模的业务中断,从而造成重大的生产损失和重大的财产损失。

随着网络犯罪分子以受信任的供应商和供应商为目标,未经授权访问目标网络,供应链攻击也越来越突出。破坏单个供应商可以提供渗透到众多组织的途径。管理供应链风险的聚集是大型组织面临的一项重大挑战。

考虑网络保险

随着网络威胁日益严重,各种规模的企业都越来越认识到对网络保险的需求。网络保险在发生网络攻击或数据泄露时提供财务保护和支持。据预测,到2040年,网络风险转移市场的规模将与财产保险相当。

然而,驾驭网络保险市场可能是复杂而艰巨的。了解关键考虑因素并做出明智的决策对于确保足够的覆盖范围和有效的风险管理至关重要。

近年来,购买网络保险的人数大幅增加。 许多组织已经改变了他们的网络策略,选择购买网络保险以保护自己免受损失。当“沉默网络”承保被财产保险等传统险种拒绝时,网络保险才发展成为一个概念。传统上,网络保险一直是大型金融机构和科技企业的支柱,但现在公共部门和中小型企业正在寻求投保。

不幸的是,导致这种购买网络保险的热潮的相同因素引发了市场动态的变化。组织经常成为网络犯罪分子的目标,保险索赔量也有所增加。网络损失代价高昂,这导致网络保险市场在2022年底前的几年不断加强。保险市场的硬化意味着从根本上降低限额,大幅提高费率,并缩小承保范围,并有许多限制和排除。这种有限的偏好是由于网络市场缺乏确定性。

网络保险不应被视为一个独立的解决方案,而应被视为综合风险管理战略的一部分。在尝试获得网络保险之前,了解组织的风险状况并展示足够的网络弹性非常重要。

评估组织风险

在企业进入网络保险市场之前,必须评估其独特的风险状况。进行全面的风险评估有助于识别潜在的漏洞和暴露领域。需要考虑的因素包括业务性质、数据的敏感性、现有的安全措施和监管要求。了解其风险状况可指导组织选择适当的承保范围和保单限额。

了解保单承保范围

网络保险政策在承保范围、除外责任和限额方面可能会有很大差异。彻底了解所考虑的政策的条款和条件至关重要。

要审查的关键要素包括:

  • 第一方保险 - 涵盖组织遭受的直接损失(例如,数据泄露响应成本、业务中断、数据恢复费用、公共关系工作)

  • 第三方保险 -涵盖因受影响方提出的索赔而产生的责任(例如,法律费用、监管罚款 [如果根据法律可保]、客户通知费用)

  • 附加承保选项 - 可为因声誉受损、社会工程欺诈或网络勒索而造成的损失提供延期(应根据特定需求评估选项)

  • 排除和限制 - 政策可能不涵盖所有潜在情况。重要的是要审查并清楚地了解政策涵盖的内容和排除的内容。

实施风险缓解和损失预防措施

保险公司可能会要求投保人实施特定的安全措施和风险缓解措施。积极投资于强有力的网络安全措施、员工培训、事件响应计划和定期风险评估,有助于降低保费,并展示企业对降低风险的承诺。

了解保险公司关注的控制措施非常重要。大多数主要保险公司在 2023 年寻求的首要关键控制措施是,排名不分先后:

  • 端点检测和响应(EDR)

  • 对整个企业中的特权帐户(包括特权服务帐户)进行充分管理

  • 用于远程访问和特权访问的多因素身份验证(MFA)

  • 适当的网络分离以保护最重要的信息资产并防止横向移动

  • 监控和响应能力(内部或外包)

  • 事件响应计划和定期测试

  • 紧急修补节奏

  • 受勒索软件保护并经过适当测试的备份

  • 充分的用户意识和培训

  • 安全基线配置和恶意代码防护

  • 对静态和传输中的数据进行充分加密

网络保险公司希望组织能够展示网络弹性,而不仅仅是网络安全。保险公司明白,没有一个组织可以100% 防发生事故,大多数企业都在努力提高其网络成熟度。因此,对于组织来说,展示其独特的网络成熟度路径非常重要,而不仅仅是现状。提供有关已知差距的详细信息以及计划的未来安全计划的时间表是提交保险的更好方法。

即使有关键控制措施,也并不总是能够为经常成为网络犯罪分子目标的高风险行业提供足够的保险。这些行业分类因国家/地区和保险公司的胃口而异。一个好的保险经纪人的作用是帮助客户选择合适的承运人,并决定身份和保单承保范围的限制。

评估保险提供商

选择信誉良好且可靠的保险提供商对于获得有效的网络保险至关重要。在评估保险提供商时,需要考虑以下几个因素:

  • 专业知识和经验 - 理想的提供商在网络保险方面拥有良好的记录,并且对网络威胁及其随时间的变化有深刻的理解。

  • 财务实力 - 应评估保险公司的财务稳定性和评级,以确保它们在发生索赔时能够履行其义务。

  • 索赔处理流程 - 应审查索赔流程,包括响应时间、支持服务和提供商在处理网络索赔方面的声誉。

  • 风险管理支持或事前服务—一些保险提供商提供风险管理服务,以帮助投保人增强其网络安全态势。理想的提供商提供主动支持和指导以降低风险。事前网络服务包括一系列旨在防止网络事件和改善组织整体网络安全态势的主动措施。保险公司现在将这些服务作为传统保险单的增值主张提供。通过利用他们的专业知识和洞察力,保险提供商与客户合作评估漏洞、实施预防措施并建立强大的事件响应协议。

查看和更新承保范围

网络威胁的数量正在增加,恶意网络行为者不断开发攻击方法,因此定期审查和更新网络保险范围至关重要。企业必须随时了解新出现的威胁、监管变化和行业最佳实践。应重新评估风险概况,并定期评估覆盖率,以确保它们符合不断变化的需求。鼓励与保险提供商进行公开沟通,以确保及时解决任何变化或疑虑。

考虑风险转移的其他方法

随着企业努力应对日益频繁和复杂的网络攻击,传统的保险可能无法提供足够的保护。在此背景下,替代风险转移解决方案(例如使用专属前端)正在成为管理和转移网络风险的重要工具。通过利用专属解决方案,企业可以增强其网络弹性,减轻潜在的财务损失,并更有效地驾驭网络保险。自保公司有助于增加保险市场的依附点,并作为弥补保险市场能力缺口的解决方案。保险公司越来越鼓励将自保公司用于网络。

结论

日益增加的网络威胁对网络保险市场的影响是深远的。保险公司面临的挑战是调整其保单和承保实践,以跟上新出现的风险,而投保人必须根据更复杂的威胁仔细评估其承保需求。网络事件日益增长的财务影响、不断扩大的威胁范围、监管审查、协作和风险缓解举措塑造了网络保险市场的动态。通过迎接这些挑战和机遇,网络保险行业可以在帮助组织应对复杂的网络威胁和加强其系统性网络弹性战略方面发挥至关重要的作用。

编者按:本文于2023年11月21日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。。

作者:ARUNAVA BANERJEE, CISM, ISO 27001:2013 LI, ITIL V3, PRINCE2,是苏黎世保险公司风险工程部门 Zurich Resilience Solutions 的网络风险咨询主管。

翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。

校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。