随着越来越多的企业接受网络风险的必然性,网络保险正迅速成为开展业务不可避免的一部分。人们越来越意识到需要为破坏性安全事件(例如勒索软件)的影响做好准备,就像公司投资于潜在的物理威胁(例如火灾或犯罪破坏)一样。但是,虽然其他潜在的破坏性因素受益于拥有数十年(如果不是数百年)实践经验的稳定保险提供商,但网络保险是一个新兴领域,事实证明它很难掌握。即使是更有经验的保险业中坚力量也难以完成这项任务。在许多情况下,随着供应商对数百万美元的违规行为变得更加谨慎,保费迅速上升。因此,许多小公司无法获得网络保险。研究表明,无力承担成本的企业数量将增加一倍。那么,是什么让网络保险比其他形式的保险更难,企业如何才能负担得起不断增加的保费和准入门槛?为什么网络与其他保险领域如此不同? 从表面上看,网络保险的功能应该与任何其他形式的保护非常相似。风险是根据各种已知因素和保险范围评估的,保费是根据事故的可能性及其潜在的严重性和影响来计算的。问题在于网络环境的复杂性和涉及的变量数量。以火灾保险为例,说明一个变量非常容易理解的领域——毕竟,人们已经练习了数千年的理解火。保险公司根据建筑材料、灭火器等预防措施以及地形和气候影响等其他影响因素评估消防安全性相对容易。在有变化的地方,它们是非常明显的。例如,我在澳大利亚的森林地区长大,那里发生火灾的风险更高。相比之下,网络要复杂得多,有几乎无限多的变量在起作用。单个IT环境已经足够复杂,但可以像物理结构一样有效地进行分析和评估。但真正的问题是网络环境千变万化的混乱局面。去年,国家漏洞数据库报告并记录了创纪录的18,439个新漏洞,平均每天有50多个新发现。每个新的软件产品发布或更新都代表了未知数量的新漏洞和威胁参与者要发现的风险,以及旧系统可能会发现的问题。同时,攻击者变得更加企业化,更有能力利用漏洞。新的攻击技术和工具也在不断涌现。正如互联网口头禅所说,我们不知道我们不知道什么。因此,网络环境比以往任何业务风险都更难理解和跟踪。虽然取得了进展,但保险业尚未平衡网络领域。供应商仍然不确定他们的客户可接受的风险水平是什么样的,这使得他们很容易通过过于慷慨的覆盖范围支付巨额费用。更高的保费和更严格的要求是提供者旨在保护自己免受这种风险的结果之一。两层真正的危险 除了保费本身的成本,更复杂的政策越来越倾向于对申请人提出复杂的要求,并包含更多将使承保无效的条款。例如,一家公司可能需要满足非常严格的安全解决方案和预防措施规定清单才能获得保险。这种趋势有可能为网络保险创建一个不平等的两层系统。当一切都失败时,保险应始终被视为最后一道防线,但较小的公司将被剥夺这个安全网,因此更容易受到攻击。如果保费继续上涨,只有拥有大量预算的大公司才能负担得起。这提供了有效的最后一道防线,而这些大公司已经能够负担得起更多的安全解决方案和人员。因此,无力增加保费的小公司将更容易受到网络威胁。犯罪团伙会很清楚,这些企业不仅更容易成为目标,而且它们也更有可能陷入勒索软件或数据泄露和勒索等破坏性攻击,因为它们缺乏帮助它们恢复的保险资金。小公司如何增加获得网络保险的机会? 网络保险市场可能需要一些时间来自我梳理,因为提供商需要确定如何最好地跟上快速变化的安全形势并保护他们的底线免受严重事件的影响。与此同时,想要从额外保险中获益的企业将需要专注于满足更高和更严格的保费要求,而不会耗尽所有预算。考虑到系统中可能已经存在的威胁,预防性思维将大有帮助。应努力将您对每项投资的敞口降至最低。勒索软件是目前最引人注目的威胁之一,也是保险业中压力最大的问题之一。AXA去年作为第一家在其政策中选择退出勒索软件付款的主要供应商而引起轰动,但即使撇开需求本身,勒索软件也可能是一个极其昂贵的前景。明确认真对待这一风险并投资于检测和缓解勒索软件能力的公司将更有可能安抚不确定的供应商。这里的关键因素包括及早识别攻击并通过分段等过程最大限度地减少损害的能力。同样,数据泄露是一个严重的问题,将成为许多政策的重点。除了数据丢失的影响之外,攻击者越来越多地向受害者提出类似勒索软件的要求。公司需要证明他们能够可靠地检测和防止违规企图。自动化是在预算范围内实现这些功能的最重要资产之一。自动化关键流程(如访问、检测和响应)将释放资源和人力,将其重新投入到其他有价值的活动中。如果做得好,自动化可以帮助小公司在检测和应对威胁的能力方面远远超过他们的实力。虽然两层方法可能是不可避免的方法,但较小的公司可以跟上正确的策略。专注于最大的风险,以及简化和自动化流程,将使他们更有可能满足严格的政策,并能够为更高的保费做预算。当然,符合政策要求的相同行动也会增加企业需要完全依赖保险安全网的可能性。
