网络责任保险:保险与信息安全的协同发展

未央网 作者: 郝东林

最近几年,多个电商、门户网站、互联网金融平台发生了各种“泄密门”事件,既有邮箱账号、密码泄密,更有多起银行卡信息泄露事件,包括持卡人姓名、身份证号、持卡类别、卡号、CVV码等所有信息,均在地下产业链中进行明码标价,公开买卖。

这种情况下,消费者迫切希望并且愿意从那些他们值得信赖并对他们提供足够保护的公司获得所需要的服务。而对于各大企业而言,维护公司网络安全和用户隐私成为企业成功经营的一个关键因素。随着互联网+的发展,因为对信息安全不够重视,滋生出的各种重大安全问题也慢慢暴露,个人信息泄露问题就是其中之一,也是涉及面最广、影响最大的问题。当今全球范围内企业出现数据泄露事故的可能性和实际案件都在不断上升,每家公司都在大量存储企业经营数据、客户信息、雇员信息,自己或商业合作伙伴的商业机密,一旦发生数据泄露,损失将难以预估。

网络责任保险,是传统保险中留下的缺口,普通责任险的保单不承保电子数据损失,被保险人或其员工的犯罪或故意行为,或索赔前发生的费用。财产险保单通常将承保范围限定为风险导致的有形财产损坏或用途损失以及特定地点的有形财产损失。而网络责任安全保险可以承保计算机因实际或被指称发生安全故障而未能阻止或减轻计算机攻击所造成的索赔等。

我们先从国外的视角了解一下。首先,国外对安全事件强制公开有成熟的法律保证,在国际范围内网络责任险并非新生事物且受众颇广,最为成熟且渗透率最高的是美国市场,美国50个州中有46个州颁布了在发生数据泄露事件时需强制通知客户,英国也在起草《欧盟数据保护规定EU Data Protection Regulation》,包括了数据泄露的强制通知。企业为了减少这类安全事件,一般会部署相应的安全机制,但再强大的系统也可能被攻破,一旦发生安全事件,企业就需要告知用户,采取相关的补救措施。

这种情况下,对于企业自有损失包括:取证调查、危机公关、法律咨询、通知费用、系统宕机的业务损失;对于企业的客户,则面临重发信用卡、应对管理机构询问,数据泄露等损失。这么大的损失,在现实社会中可以通过保险补偿全部或部分损失,而同样在网络空间,也可以通过网络保险解决企业在信息安全方面遇到“不可抗力”的难题。

网络保险覆盖主要包含四大类:

1. 技术错误、失误(Errors and Omissions)

例如IT企业的产品开发延期,产品集成出现错误,由此造成的经济损失;

2. 版权、商标等知识产权(Media Liability)

例如与其他企业发生了知识产权纠纷,需要法律方面的费用、赔偿等;

3. 网络、信息安全

例如企业存储的商业机密或用户数据泄露、数据丢失、病毒传播和勒索等造成的损失。

关于勒索,很多企业曾经受到勒索,如不支付一定费用,其网站就被拒绝服务攻击;2013年出现的勒索软件Cryptowall半年绑架了52.5亿份文件,其v3版本造成了3.25亿美元的损失。关于数据丢失,例如,规模仅次于沃尔玛的第二大零售商Target公司电脑网络在2013年被黑客侵入,损失高达2.64亿美元。

IBM 报告认为每年会出现9千万安全事件,无论是上述哪种事件,企业很可能无法承受如此巨大的损失,此时保险就成为了一种必要的补救手段,减少企业经济损失。

4. 隐私数据

同样都是数据层面的内容,隐私数据主要是指现实环境中的失误,如丢失存有敏感数据的笔记本,员工将带有客户信息邮件发错等等。

综合这四类保险类型,网络保险公司的赔偿费用包括有:对受影响客户的通知和系统修复费用、安全事件的调查取证费用、危机管理费用、业务中断造成损失的费用、支付勒索的费用、受损数据还原的费用、补偿入侵造成的账户财务损失的费用,以及补偿电信诈骗造成的损失的费用等。

网络攻击和信息泄露可能给企业带来的影响是营业中断或者收入显著下降、法律责任、监管和行业的调查等等;而对于用户端也会产生如无法享受服务或服务体验下降、个人隐私泄露、财产损失等负面影响。这就要求,各个企业在发展业务的同时,必须加强相关的安全防范措施。

据统计,每年由于网络攻击造成的商业损失高达4千亿美元。欧美成熟企业每年网络安全投入占整体IT投入大约10%,而在国内还不到3%。2015年全球网络安全市场规模预测为770亿美元,2020年将达到1700亿美元,未来3~5年将保持至少10%~15%的年增长率。

当然,从某种角度来说,互联网+保险——网络责任保险在中国的成熟普及推广,可以在最大程度上避免企业的损失,同时避免消费者的损失。

国内市场方面,苏黎世保险在中国大陆率先推出了“安全与隐私保护综合保险”, 协助企业主动加强信息保护方面的责任。据了解,中国大陆之前尚无此类保险产品,在整个亚太地区,也只有新加坡、澳大利亚和香港等相对发达的国家和地区有相关保险。目前,包括各大电商、互联网金融巨头也有准备甚至开始试水,大家似乎都在等待领头羊的出现。2016 年 1 月中旬,众安保险开始尝试提供数据安全险,为企业虚拟资产数据的安全承保。

当网络保险普遍被企业所接受时,如何提高企业安全水平,减少针对企业的安全事件,就是摆在保险公司面前的现实问题。下一步,就需要保险公司与安全厂商建立新的更紧密的关系。

同时,随着网络保险的普及,未来安全的发展将呈现如下的趋势:

首先,根据Gartner报告,自适应安全体系,将成为未来安全的主流趋势。这就要求企业的安全产品不仅要解决当前的安全问题,还要未来可扩展。这就意味着,规划安全体系一定要先考虑企业日益变化复杂的IT环境和业务变化,并可应对专业组织化的高级攻击行为为目标。

所以,企业对安全防护的规划设计上需要前瞻性地脱离对基础设施的依赖,防护能力要从物理层上升到业务逻辑层次,这样才能很好地应对未来的安全挑战。

在实际操作中,如何将安全专家的经验和实施自动化,是企业安全产品的一个核心课题。目前最佳解决方法是“人机协作”,在帮助安全专家从繁琐低级工作中解放出来的基础上,提供给他们智能的机器学习系统,用于共同构建业务的正常行为模式,包括梳理业务单元、行为模式、访问关系、设置行为锚点等,这样的积累梳理将真正构建企业安全以数据驱动的强大能力。

其次,可度量、可视化的安全是未来安全的发展趋势。

企业安全的工作成绩和效果如何考量?是安全团队发展和管理的一个重要问题。当安全团队内外,特别是上级管理部门都不能清晰感知安全工作的效用时,企业安全的发展必然非常缓慢。

目前很多企业产品都意识到这一点,并纷纷构建基于风险指数的管理视图,综合外部威胁情报、内部风险薄弱点评估、核心资产价值评估、安全资源等多个因素形成全局报表,并呈现出可衡量、具备指导性的风险指数和改善建议。

目前,国内由于法律法规不够健全,所以企业通常没有动力主动公布相关安全事件,所以网络和信息安全方面的保险相对落后。除了金融、运营商、政府和能源等行业的大型企业有安全需求外,很多中小企业没有部署安全产品或安全机制,出现安全事件后没有较大损失,更没有动力去谈网络保险。相信如果《网络安全法》正式颁布后,特别是诸如“及时向用户告知安全缺陷、漏洞等风险”等条款的执行,会推动企业重视自身的安全保障。此时,安全厂商的安全产品和保险公司的网络保险,可共同提供技术和资金上的保障,使企业更愿意在安全防护方面投入。

最后需要强调一点,虽然作为企业安全防护的最后一道防线,网络保险可以避免企业造成巨大的损失,但应该要意识到保险本身不是万能的,如网络保险不能解决如信誉受损、未来营收受影响内部系统需改进,以及知识产权丢失这些问题。所以采购安全产品,部署安全方案,使用安全服务,还是企业在安全防护方面应该考虑的第一要素。