网络保险是一项正在进行的工作,许多现有客户实际上是小白鼠。网络保险行业的根本问题说起来容易,解决起来难。收入(保费)必须超过支出(索赔)约30%(运营成本+利润)。如果索赔增加,保险模式的保费也必须增加才能可持续。但网络犯罪的成本正在急剧上升,而且多年来一直如此。不断提高保费以应对不断增加的索赔最终是不可持续的。作为企业风险管理的一种有效形式,保险迟早会变得过于昂贵。因此,要使网络保险可持续发展,就必须找到一种平衡成本收益的方法。一种可能的解决方案是降低成本(索赔)比增加销售额(保费)更快地提高损益率。这是保险业目前正在考虑的选项。首先,可以通过在保单中加入免责条款来降低成本。当然,这降低了保险作为风险管理工具的价值并限制了覆盖范围。其次,如果客户的安全状况得到改善,足以减少索赔,保险成本也可以降低,或者至少维持在目前的水平。网络保险的当前问题根据研究公司穆迪2021年10月19日的报告:“勒索软件的激增已经导致网络保险策略出现损失,2021年保险公司的损失可能会增加。尽管保险公司已经看到勒索软件提高网络保险定价、降低保单限额、增加免赔额以及收紧条款和条件。”勒索软件是目前行业和保险公司面临的一个大问题。但这并不是唯一的威胁。BEC(商业电子邮件欺诈)也会造成巨大且不可预测的损失。许多研究人员认为,随着技术的进步,BEC将在2022年继续扩大(通常作为深度造假)。在大多数保险市场中,保险公司拥有数百年的海事、汽车、家庭和人寿保险损失及其原因的数据。这些数据用作精算表,提供准确的证据,可用作个人保险的基础案例保费。但对于网络空间,没有这样的精算表,它们不太可能被编译。“我不认为保险业可以为网络安全创建精算表,风险是不可预测的。攻击者很聪明,总是寻找新的方法来剥削受害者。是的,我们正在变得更好,我们有更多的数据——但三年前的损失经验在今天已经无关紧要了。保险业会得到精算吗表的方式汽车行业呢?我认为这不会发生。”——克里斯·里斯,Cowbell保险总监如果没有历史数据的帮助,保险公司无法主动设定准确的保费,只能做出被动反应。通过设定更高的保费和承保条件来应对不断增加的索赔。简而言之,保险的购买成本越来越高,续保也越来越困难,有时甚至是不可能的。另一方面,尽管成本上升和承保范围缩小,网络保险市场仍在迅速扩张。2021年5月,美国政府问责局(GAO)发布了全球保险经纪公司MaSH的数据,显示购买网络保险的客户比例从2020年上升到47%,而2016年为26%。主要原因是网络犯罪的持续增长。一些调查报告估计,网络犯罪已使全球经济损失数万亿美元,并将在未来几年继续增长。保险业需要做的不仅仅是反复提高保费,以应对更大市场中不断增加的索赔,因此一种可能的解决方案是通过提高客户的网络安全来减少索赔。问题是,保险公司(而不是网络安全公司)如何着手呢?网络保险的可能路径支付卡行业有一个安全标准(PCIDSS),所有公司在接受卡支付之前都必须遵守该标准。提高被保险人安全的一种方法是制定类似的安全标准并要求遵守。英国的汽车保险业已有先例。在驾驶员为机动车投保之前,车辆必须首先通过交通部(MoT)设计的测试并获得MoT证书。法律要求保险,因此法律也要求进行检测。保险业受益的同时,也会降低保费,因为客户有证书。美国通常的做法是要求汽车保险承保第三方责任。目前没有法律要求企业必须拥有网络保险——但未来可能会发生这种情况并非不可想象。合规要求强制保险的价值可以体现在证书上,比如上面提到的MoT证书。通过此验证证明客户的安全性高,因此保险公司将提供较低的保费。但这只是假设,在网络保险领域,安全证书是否可以减少被保险人的索赔概念,并最终让保险业将保费保持在当前或更低的水平,还有待观察。“PCI确实提高了很多公司的网络安全基准,但它并没有神奇地解决这个问题。您可以通过PCI审核,但仍会遭到黑客攻击。支付卡行业的问题是,攻击的成本能否超过收益?”——埃里克·斯金纳,趋势科技市场战略和企业发展总监也许只有时间才能证明保险业是否能够制定、维护并要求遵守有效的可靠安全标准。特殊控制是否可行保险业的另一种做法是对不同的客户应用不同的控制,这将比单一的通用标准更加灵活。不同行业、不同时期的不同用户的风险不同,可以针对不同用户进行不同的规定,也可以在续期或每年变更修改。但这样做意味着保险公司参与了客户的安全评估。例如,网络保险专业人士会要求客户提供有关其安全状况的声明。像年度合规审计的调查问卷,但对降低风险作用不大。比如,“你部署了EDR了吗?”一些保险经纪人表示,如果客户回答“否”,他们很可能会被拒绝续保或不再续保。但根本问题是,安全性不是通过部署安全产品来增强的,而是通过正确实施和充分使用它们来增强的,这是无法通过问卷调查来衡量的。因此,这就需要保险人员了解保险公司的业务,了解公司CISO掌握的安全情况。先不说保险公司有没有能力和意愿,客户愿意吗?第三种实施持续监测的方式是保险业根据第三方安全评估公司的建议支付保费。此类建议基于持续的安全态势监控,更有可能被客户接受。保险公司可以简单地说,我们的扫描显示您在某些方面很薄弱,加强这些方面可能会降低保费。这种评估的缺点是大多数扫描只能看到客户基础设施的外部视图,但它仍然有效,因为绝大多数黑客都这样做。收敛攻击面,强化漏洞,会增加黑客的攻击成本,难以找到切入点。但是,如果能够逐步从外部监控升级为对整个基础设施的内部持续监控,无疑可以让保险公司对客户需要投保的保费做出更智能的评估。从某种意义上说,那些提供安全评估服务的公司可以说是保险经纪人的助手,为经纪人提供必要的信息,以便在与客户谈判时确定最具成本效益的保费。网络保险的未来网络保险是一种正在试验的新保险,这意味着许多现有客户实际上是小白鼠。而且,如上所述,当前通过增加保费和除外责任来抵消不断增加的索赔的模式是不可持续的。保险公司意识到了这一点,并正在积极寻求解决方案。双方的目的是一样的,都是为了提高安全性,减少网络攻击造成的损失。Resilience首席执行官VishaalHariprasad认为,解决方案将伴随保单持有人、网络安全和保险公司之间的新关系而来。Hariprasad于2016年进入保险行业,此前担任PaloAlto威胁情报架构师。他还拥有美国空军预备役网络作战官的身份。“2016年,可以购买价值100万美元的网络保险。经纪人会问,你们有IT人吗?你有防火墙吗?但他们从不询问防火墙是否打开,因为整个保险业都不关心。但这必须改变,保险公司需要知道,你的防火墙是否打开?它是否不断更新?它是否不断引入正确的数据源?有监控吗?”需要建立一种新型的伙伴关系。换句话说,保险公司通过与威胁信息共享机构的关系成为客户的网络安全顾问。保单持有人和保险公司都在寻求同一个目标——更好的网络安全,这可以通过相互实现。网络保险业务成功的最重要的是共同参与和持续监控,即保单持有人和保险公司之间的关系充分了解威胁情况。联合参与和持续监控网络安全缓解措施。网络保险和网络安全必须学会和谐相处,不能被视为相互替代。保险公司必须成为投保人董事会值得信赖的顾问,董事会必须学会与保险公司合作,完善网络安全措施,增强企业安全能力,尽可能降低保费。
