您的位置:首页 >科技 >

加拿大CROs正在重新审视网络保险

2019-12-06 14:55:14来源:

一家加拿大公司最近成了勒索软件的受害者:攻击者关闭了它的一个网站并发送了一条消息--在48小时内付清费用,否则该网站的其余部分也将被关闭。


加拿大Chubb Insurance Co.专业、媒体和网络责任总监马修·戴维斯(Matthew Davies)回忆道:“我们能够帮助他们获得一些直接的法律专业知识,帮助他们理解下一步应该是什么。”

与此同时,该公司还聘请了一名法医顾问,该顾问此前曾为该公司提供帮助,该顾问能够防止进一步的损害。

网络保险可以帮助支付这样的问题,包括专门的IT人员,灾难恢复,法律和媒体建议。在加拿大平均数据泄露估计损失约530万美元的时候,这种保护可能是有用的。

这就是为什么越来越多的加拿大首席风险官、国际安全组织(CISO)和首席执行官正在研究网络保险的问题。“这是一个快速增长的领域”,戴维斯说。

他在这里接受采访时说:“我们每周都会看到很多人要求网络报价。”与四年前相比,这可能是我们最活跃的新商机

衡量这种产品需求增长的一个指标是Betterley风险咨询公司的一项研究。该研究估计,2014年,全球各组织(绝大多数在美国)支付的网络保险保费为20亿美元,高于前一年的13亿美元。与此同时,普华永道(PriceWaterhouse Coopers)相信,到2018年,全球网络保险市场的年保费可能增长到50亿美元,到本世纪末至少将达到75亿美元。

需要武器说服管理层提高IT安全预算的民间社会组织可以将这一问题抛在其中……

生活是不可预测的。灾难可能也确实会发生。火灾,洪水,炸弹,诉讼:企业通过保险来保护自己...

虽然金融业在十多年前就开始从事网络保险业务,但现在使用网络保险的行业却各不相同。Chubb的客户范围从公司到非营利,从专业服务公司,如法律和会计实践,到高尔夫球场。戴维斯补充说,事实上,越来越多的组织要求他们的合作伙伴--比如服务公司和供应商--提供网络保险。

他说:“我认为,未来网络保险很可能不再是随意购买,而是更多地成为许多机构将购买的标准保险。”

加拿大德勤(Deloitte Canada)高级网络风险服务经理梅根·布里斯特(Megan Brister)表示,在过去两年里,这家咨询公司“寻求和购买网络保险的客户数量相对显著增加,包括作为其整体网络风险战略的一部分”。

这是因为攻击被描述为“相对简单的事情要处理”,例如个人信息丢失,网络污损或拒绝服务攻击,导致网络崩溃。

然而,越来越多的犯罪分子和民族国家破坏组织的攻击意味着袭击的影响要大得多。此外,布里斯特补充说,风险官越来越不能很好地预测攻击,而且更难清理。

重要的是要记住什么不是网络保险:一根消除风险的魔杖。就像财产保险一样,它是用来支付损害赔偿的。取决于保险公司可以承保的保险公司,例如与客户个人信息损失有关的保险(向受害者/潜在受害者发出通知、信贷监测和相关诉讼)、法律咨询、法医调查人员、修复受损硬件/软件系统的劳动力费用、监管罚款、一些业务中断费用以及可能的赎金。

根据政策,它可能不包括通过社会工程欺诈损失金钱或财产(如被电子邮件欺骗并释放金钱)、丧失公司机密信息或丧失品牌声誉。

也可能存在一些限制,例如工作人员没有遵守公司安全规则(比如丢失了一张未加密的数据磁盘)、第三方(例如云提供商)的错误、导致故障的软件错误或使策略无效的战争行为。

还有一个问题就是计算买多少。今年早些时候,德勤(Deloitte)为“华尔街日报”(Wall Street Journal)撰写的一篇文章给出了一个理论上的例子:一家信用卡处理器购买了一份针对网络事故的价值3000万美元的如果发生涉及数百万张信用卡的数据泄露,导致该公司支付超过1.45亿美元的欺诈性付款赔偿,则必须超出承保范围1.15亿美元。

据目标局估计,其2013年报告良好的数据泄露可能造成2.64亿美元的损失。该公司拥有价值1亿美元的网络保险。

C套件在网络保险方面的一个问题是它是否能提供价值。普华永道(Pricewaterhouse)的报告指出,一些机构认为保费过高,条款和条件紧张。这方面有一些证据:根据加拿大保险协会(InsuranceInstitute Of Canada)的数据,全球网络保险费不到网络犯罪估计成本的一半。该行业承认,当违规行为的成本不断上升时,它在计算风险方面有困难--就像违规企业的方法一样。

大公司可能没有意识到网络保险的必要性,他们认为自己的安全政策很难--而且他们的现金供应足够深,足以降低风险。在一个最好的实践是假设如果你还没有被攻破的时代,你可能会被认为是有风险的。

多伦多海德罗是一个加拿大组织权衡利弊。作为一个国家关键基础设施的一部分,公用事业是潜在的目标,但到目前为止,它一直远离网络保险。海德鲁的执行副总裁兼首席信息和风险官罗伯特·黄(Robert Wong)表示:“当我们观察几年前网络保险是否还不成熟的时候,我们发现了太多的排他性和保费过高。”

但是,他补充说,他再看一看,部分是因为网络保险行业已经发生了变化,并且正在提供更全面的保险,“在一个有商业意义的保险费率上”。

他补充道,网络保险只是组织整个安全难题的一部分,与其他专家的说法相呼应:“你必须了解你的行业、公司、你是如何做生意的,更重要的是,你的整体网络安全实践…有多有效?”保险只涵盖你觉得仍然暴露的东西。“

拥有保险审计师的一个好处是可以帮助CISO/CRO量化一个组织的风险。这是值得考虑的问题,因为安全供应商RaytheonWebSense预测,保险公司将越来越多地拒绝为无效的安全实践所造成的违规行为支付费用。因此,对于一些公司来说,对保险的要求将变得和许多监管要求一样重要。

有一点可以肯定的是,在某些行业,网络保险费正在上升,而最高覆盖范围则限制在1亿美元以内。马什&麦克伦南公司(Marsh&McLennan Co.)今年早些时候向路透社(Reuters)表示,2015年上半年,零售企业的网络保险费增长了32%。这份报告说,一些公司很难找到资金购买他们想要的保险。

在购买网络保险时,“你真的必须坐下来,看看你想要投保的风险,因为并不是每一家企业在数据方面都会有相同的风险资料--通过云或他们自己的系统--”多伦多卡塞尔·布罗克(Cassel BRock)专门从事IT和隐私法的合伙人贝妮丝·卡恩(BerniceKarn)说,“然后尝试进入市场,找到一种能解决这种风险的产品。”

考虑因素还包括理解组织必须做什么来提出索赔,包括保存日志和其他证据。戴维斯提出了一个建议:在获得保险之前,先看看你持有哪些信息,为什么要收集、储存或保存这些信息,你要保存多久,以及你将如何销毁这些信息。这些问题与确定风险有关。