网络攻击损失5.8亿美元不到一半,企业应如何应对网络安全?获得MicrosoftAzure等产品的部分源代码。据报道,甚至NASA和FAA的网络也遭到破坏。2月4日,纽约州率先制定保险框架,发布全美首个网络安全保险风险框架。如此大规模的攻击造成的损失难以估计。企业在审核时看着一长串损失数字,默默地在网络安全保险预算后加了一个0。面对大规模的黑客攻击,企业只能自认倒霉吗?除了技术上的补救措施,还有什么办法可以将经济损失降到最低?保险可能是解决方案之一,为企业安全和数据资产提供重磅保险。恶意勒索、钓鱼攻击成为2020年企业主要安全事件,注意力又回到了中国。2020年,我国也发生了多起网络安全事件。钓鱼邮件攻击、恶意勒索软件、供应链攻击等层出不穷。据安全服务商瑞星发布的《2020年中国网络安全报告》,其系统在2020年拦截了156万个勒索软件样本,感染次数为86万次;挖矿病毒样本总数922万,感染次数578万次。同时,2020年截获的病毒数量也较2019年同期增长43.71%,达到1.48亿,病毒感染人数高达3.52亿。2020年病毒种类统计,来源:瑞星2020中国网络安全报告此外,企业安全事件也频频发生。新冠病毒疫情期间,多个APT组织以疫情相关信息为诱饵实施网络攻击,中国是频繁攻击的目标之一。这些APT组织主要利用疫情相关话题的钓鱼邮件,通过宏、0days、Ndays等漏洞进行攻击。尼日利亚钓鱼组织还通过电子邮件钓鱼等方式攻击我国的进出口贸易、货代、航运物流等企业。2020年上半年,7000多名武汉归国人员信息泄露,再次将个人信息安全问题暴露在公众面前。以每条0.01元至0.02元的价格出售中国电信2亿多条信息,非法获利2000余万元。根据网络安全公司DeepInstinct的最新研究报告,2020年全球恶意软件整体增长了358%,勒索软件增长了435%。“尤其是在新冠疫情期间,很多企业加快了数字化转型,在线业务量增加。居家远程办公更容易暴露安全问题,安全团队难以应对各种攻击。”及时。”DeepInstinctCEOGuyCaspi做出上述分析,他表示,除了攻击体量巨大外,攻击变得更加复杂,检测难度大。网络攻击体量大,让很多企业深受其害。辛苦了安全团队的多元化在一定程度上也带动了网络安全保险的需求,行业规模日益扩大中国网络安全保险:起步晚、险种少、历史数据不足。自上世纪90年代中期第一批互联网网络安全保险产品推出以来,行业发展缓慢,直到2010年行业规模才出现明显增长。2012年全球网络安全保险规模达到500家万美元,其中美国占据了绝大部分的市场份额,据相关市场调查统计,美国企业投保比例网络安全保险高达70%。欧洲网络安全保险市场在2018年5月欧盟《通用数据保护法案》(GDPR)实施后也快速增长。该法对数据保护要求严格,涉及企业众多,罚款金额高。例如,英国航空公司因泄露50万客户的个人信息和信用卡信息而被罚款2亿欧元。于是,很多企业开始使用保险工具来转移风险。由于起步较晚、监管不完善等原因,亚洲其他新兴市场的网络安全保险行业起步较晚。行业仍处于缓慢发展阶段。起步晚、险种少、历史数据不足、主要面向企业是我国网络安全保险行业的现状。2013年,苏黎世保险在国内首次推出网络安全保险,但反响平平。这种情况直到2016年11月的?批准后才有所改善,企业对安全保险的意识开始增强,保险公司开始推出相关险种。据某再保险公司调查,目前在中国市场购买网络安全保险的企业以国际为主,主要是大型企业和世界500强企业。他们通常持有全球网络安全保单,部分独立保单的保障限额在3亿元至10亿元之间,有的甚至达到10亿元以上。中国内地企业中,电子商务行业对网络安全保险的需求较高,对线上业务的依赖程度较高。有机构观察到,在中国,中小企业购买网络安全保险的热情更高。据统计,2019年中小企业遭遇的网络安全事件中,勒索软件占26%,虚拟挖矿占26%,蠕虫病毒占17%,入侵事件占14%。由于自身人力和应急机制等原因,中小企业更倾向于使用保险工具来转移部分网络安全风险。中小企业网络安全事件类型,来源:绿盟科技网络安全如何突破现状2019年工信部发文《关于促进网络安全产业发展的指导意见》,提出探索发展网络安全保险服务。中国保监会原副主席周延利也表示,解决我国网络安全问题,需要借鉴成熟市场的有效做法,大力推动网络安全保险市场的发展。尽管我国网络安全保险行业逐渐升温,但仍面临不少困难。对于保险公司而言,难点在于无法准确衡量网络风险,对系统性风险的考虑不够,网络攻击事件的权责划分和免责条款。对于企业来说,困难在于保险选择少、保费高、赔付有限。以2017年现象级的NotPetya网络攻击为例。美国制药巨头默克公司表示,网络攻击已使公司损失5.8亿美元,随着时间的推移,损失将增加2亿美元。但保险专家给出的索赔金额仅为2.75亿美元,不到实际损失的一半。NotPetya网络攻击,来源:互联网如果默克公司幸运的话,同样遭到NotPetya攻击的食品巨头亿滋国际将被拒绝赔偿。在美国情报官员确定NotPetya恶意软件的来源是俄罗斯军队对乌克兰的攻击后,苏黎世美国保险公司拒绝赔付,理由是“任何政府或主权国家的敌对或战争行为都免于赔付”。与国外的公开赔偿案件相比,中国的公开案件相对较少,企业出于品牌形象的考虑也会避免公开此类信息。对于网络安全保险而言,网络风险难以理解且难以规避。不断变化的威胁环境也促使保险公司不断调整其整体保险计划。与财产险等成熟的保险业务不同,网络安全险在市场上拥有丰富的历史数据,在设计和购买产品时也有目标限额和市场实际情况可以参考。例如,2020年勒索软件相比2015-2017年的安全事件呈上升趋势。应对勒索软件攻击,保险公司必须紧跟行业发展,或者选择与网络安全公司合作开发合适的产品。对于企业来说,高昂的保费是他们面临的问题之一。这也是全球所有企业面临的网络安全保险现状之一。由于保险公司对网络安全风险了解不深,出于保守定价的考虑,他们将保费定得相对较高。不久前,纽约州发布了美国首个网络安全保险风险框架,为所有财产和意外伤害保险公司提供指导。风险框架有七个主要方面:建立正式的网络保险风险战略;管理和消除沉默的网络保险风险;评估系统性风险;严格衡量保险风险;为被保险人和保险提供者提供教育;网络安全专业知识;向执法部门发出通知。这一风险框架对我国网络安全保险行业也具有借鉴意义。一方面,我国应制定网络安全保险的法律法规,为网络安全风险的评估和等级界定提供准确的标准。另一方面,保险公司若想提升风险计量能力,可选择与安全厂商合作设计保险产品,提升网络安全保险的精算能力。作为企业,应加强网络安全意识,提升自身技术能力或调整单一业务结构,提高应对网络攻击的能力。同时,企业也应该选择合适的网络安全保险来转移部分风险。
