勒索软件的兴起如何改变了保险公司提供服务的方式?自1990年代以来就已经存在,并且由于勒索软件攻击不断增长并不时成为头条新闻,人们对网络保险的看法也有所不同。保险公司传统上在网络保单上使用现金流承保,这意味着他们将采取许多保单来增加其业务账簿的保费。因此,企业通常以相对较低的价格获得全面的网络覆盖,至少按照今天的标准是这样。勒索软件攻击在很大程度上引起了保险公司的担忧,从而大大降低了服务范围并提高了保费。一些保险公司甚至考虑不再提供网络保险。提供网络保险服务的保险公司现在对企业的风险状况提出更谨慎的问题,并增加被保险人的责任。这消除了对某些行为、财产、损坏类型或地点的承保范围。保险公司也在努力使他们的业务账本多样化,这样对第三方提供商的一次勒索软件攻击就不会造成灾难性后果。在SolarWinds网络攻击中,有很多被保险人使用这个软件,你可以想象保险公司为此付出了多少。灾难性事件造成的经济损失可能如此之大,以至于保险公司可能会收取10年的保费,结果却因一次网络攻击而损失了这些利润。这种战略变化如何影响希望为其资产提供保险的企业?AviBashan:网络攻击让企业处于非常困难的境地。与此同时,他们感觉比以往任何时候都更容易受到勒索软件攻击,保险公司已经到了网络保险比以前更贵的地步,并且有更明确的理由要求大多数企业投保。此外,涵盖范围广泛的网络事件的保险政策越来越少,这意味着企业确实需要量化其网络风险并了解对业务的潜在影响。只有这样,他们才能考虑在减轻和转移风险上投入更多资金。企业CISO、董事会和其他高管需要了解网络保险和风险转移的理想组合,最终将节省资金。保险公司与企业之间是否存在妥协?AviBashan:网络保险的未来发展在于基于对企业网络风险态势的持续监测和分析的风险/回报机制。这与保险公司处理汽车或家庭保险的方式没有太大区别。许多保险公司向具有良好运营历史的被保险人以及进行某些改进(例如重新屋顶)的房主提供折扣。网络保险不太可能恢复到勒索软件之前的覆盖范围和定价方式,因此企业有责任确保将其网络安全状况充分传达给保险公司。网络风险的增加如何改变了企业对强大安全态势重要性的整体认知?AviBashan:许多组织开始认识到量化网络风险是其整体风险管理的关键。量化网络风险意味着预测损失频率和严重程度以做出网络风险融资决策。不久前,企业CISO不得不努力证明其年度网络安全预算的合理性。企业IT和业务部门开始使用同一种语言,并从财务角度看待网络风险。量化金融网络风险也将有助于业务部门将两者结合起来,了解网络风险本质上是一种运营支出,而不是技术支出。到2022年及以后,这将是一个加速的趋势。我们在2022年可以期待什么?保险业将如何适应日益增长的威胁?AviBashan:随着企业试图更好地了解网络攻击对其业务的潜在财务影响,并优先投资网络安全和网络保险,保险公司在网络覆盖范围方面缩减服务范围的趋势将推动网络保险的大规模采用风险量化。除了量化网络风险之外,勒索软件的大肆宣传应该会让CISO比过去更容易获得更高的安全预算。在保险方面,他们将更多地投资于为被保险人提供网络风险承保工具、投资组合管理和高端网络安全风险缓解服务。可能在2022年开始实现的一件事是不断发展网络保险法规以推动标准化。这方面的任何进展都应有助于组织更好地了解他们在传达网络风险态势方面的期望,以及他们在网络覆盖方面的期望。
