如果一家公司的知识产权被黑客入侵并被盗,任何保险都不会涵盖该公司在研发上花费的数百万美元。网络保险政策旨在涵盖安全事件和数据泄露费用,例如系统取证、数据恢复以及法律和客户赔偿费用。涵盖的典型事件类型包括发票欺诈、加密锁恢复和内部威胁。虽然网络保险在整体安全方法中占有一席之地,但其地位经常被误解。首先,组织必须了解他们的关键数字资产和风险,因为合理采用网络保险策略对于管理保费支付和确保适当的覆盖范围至关重要。但网络保险是事后才想到的,永远不应取代适当的安全计划。如果公司在网络保险方面过度投资而在安全控制方面投资不足,他们预计会遭到黑客攻击,而由保险公司来修复它,即使他们不是故意的。是的,数据泄露以惊人的频率发生,而且根据数据隐私法开出的巨额罚款也越来越频繁。但对组织而言,更好的安全方法是采用积极主动的安全策略与网络保险的适当平衡。2005年才开始流行的网络保险是一个相对较新且发展迅速的行业。AdroitMarketResearch最近的一份报告称,网络保险市场将经历指数级增长,从2019年的近40亿美元全球保费增长到2025年的超过230亿美元。推动这一预测的是公司对最近颁布的一系列数据隐私政策的反应法规,例如2018年5月生效的欧盟《通用数据保护条例》(GDPR)。企业自然会害怕数据泄露可能导致的巨额罚款和损失,例如对英国航空公司和万豪国际征收的巨额罚款和损失。他们向保险公司寻求保险计划,涵盖与数据泄露通知和其他补救成本相关的费用。然而,过度依赖网络保险而不投资于适当的控制表明组织预期数据泄露而不是组织有效的防御。虽然保险公司可以挽回一些损失,但他们无法修复因安全事件而受损的公司声誉,也无法取回公司被盗的知识产权(IP)。可悲的事实是,如果一家公司在研发(R&D)上花费了数百万美元,而知识产权被盗,则没有任何保险单可以支付该研发投资的成本。云网络保险蓬勃发展的另一个促成因素是云的快速采用。但组织通常将网络保险视为保护迁移和错误配置的保护伞,而不是开发主动安全计划来衡量和持续测试其控制措施的有效性。此外,组织必须明白,网络保险提供商是受利润驱动的,不会为本可以通过适当的安全程序避免的数据泄露支付费用。正如长期健康保险将拒绝为未通过健康评估的保单持有人提供保险一样,保险公司越来越多地限制索赔,甚至拒绝为缺乏适当安全控制的公司提供保险也就不足为奇了。例如,如果一家公司遭受了可以通过多因素身份验证(MFA)缓解的电子邮件泄露攻击,那么保险公司可能不会支付或减少赔偿金额。FUD因素在当今瞬息万变的数据隐私环境中,围绕保险公司的保单和理赔分类不乏恐惧、不确定和怀疑(FUD)。值得注意的案例之一是索尼网络保险公司(ZurichAmericanInsurance)拒绝承认2011年7700万用户的个人身份信息(PII)泄露事件造成的20亿美元损失。甚至在索尼将苏黎世告上法庭之后,苏黎世还给索尼上了一课,所谓的“保险政策不涵盖任何第三方黑客事件”。最终,网络保险不能也不应该被视为适当网络安全计划的替代品。网络保险可以帮助弥补事后损失,但无法弥补知识产权被盗的损失,也无法堵住设计不当的安全程序的漏洞。有效的安全策略不仅可以帮助组织获得网络保险,测试这些安全控制的有效性还可以帮助组织在攻击者进入之前发现安全漏洞。这种方法还使组织能够通过识别和删除重叠控制来提高其网络安全预算的投资回报率,同时还向所有利益相关者表明公司对安全的重视。
