随着越来越多的企业接受网络风险的必然性,网络保险正迅速成为企业开展业务不可避免的一部分。人们越来越意识到需要为诸如勒索软件引起的破坏性安全事件的影响做好准备,就像公司投资于潜在的物理威胁(例如火灾或刑事损失)一样。
但是,虽然其他潜在的颠覆性因素得益于拥有数十年甚至数百年实践经验的稳定保险提供商,但网络保险是一个新兴领域,事实证明很难掌握。即使是更有经验的保险业中坚力量也难以完成这项任务。在许多情况下,随着供应商对数百万美元的违规行为变得更加谨慎,保费迅速增加。
因此,对于许多小公司来说,网络保险已经变得无法获得。研究表明,负担不起成本的企业数量将增加一倍。
那么,是什么让网络保险比其他形式的保险更加困难,企业如何才能承受越来越高的保费和准入要求?
为什么网络与其他保险领域如此不同?
从表面上看,网络保险的功能应该与任何其他形式的保护大致相同。根据各种已知因素评估风险,并根据事故发生的可能性及其潜在的严重性和影响计算出承保水平和保费。
问题在于网络环境的复杂性和涉及的变量数量。
以火灾保险为例,说明一个变量非常容易理解的领域——毕竟人们在理解火灾方面已经有几千年的实践了。保险公司相对容易根据建筑材料、灭火器等预防措施以及地形和气候影响等其他影响因素来评估消防安全。在有变化的地方,它们是非常明显的。例如,我在澳大利亚的一个森林地区长大,那里的火灾风险增加了。
相比之下,网络要复杂得多,几乎无限数量的变量在起作用。单个IT环境已经足够复杂,但可以像物理结构一样有效地分析和评估。
但真正的问题是网络环境不断变化的混乱局面。去年,国家漏洞数据库报告并记录了创纪录的18,439个新漏洞,平均每天有50多个新发现。
每个新的软件产品发布或更新都代表了未知数量的新漏洞和威胁行为者要发现的暴露,以及旧系统发现问题的可能性。与此同时,攻击者变得更有企业,更有能力利用漏洞。新的攻击技术和工具也在不断涌现。正如网络口头禅所说,我们不知道我们不知道什么。
因此,网络环境比以前的任何业务风险都更难理解和跟踪。虽然取得了进展,但保险业尚未平衡网络领域。提供商仍然不确定他们的客户可接受的风险水平是什么样的,这使他们很容易通过过于慷慨的保险支付巨额费用。更高的保费和更严格的要求是提供者旨在保护自己免受这种风险的结果之一。
两层现实的危险
除了保费本身的成本外,更复杂的保单越来越趋向于对申请人提出复杂的要求,并包含更多将使承保无效的条款。例如,公司可能需要满足非常严格的安全解决方案和预防措施的规定列表才能获得覆盖范围。
这种趋势有可能为网络保险创造不平等的两层系统。当其他一切都失败时,保险应始终被视为最后一道防线,但较小的公司将被剥夺这个安全网,因此更容易受到攻击。
如果保费继续增加,只有预算庞大的大型企业才能负担得起。这提供了有效的最后一道防线,同时这些大公司已经能够负担得起更多的安全解决方案和人员。
结果,无法预算增加保费的小公司将更容易受到网络威胁。犯罪团伙将非常清楚,这些企业不仅更容易成为目标,而且更有可能陷入勒索软件或数据泄露和勒索等破坏性攻击,因为它们缺乏帮助他们恢复的保险资金。
小公司如何增加获得网络保险的机会?
网络保险市场可能需要一些时间才能自行解决,因为提供商需要确定如何才能最好地跟上快速变化的安全形势并保护自己的利润免受严重事件的影响。
与此同时,想要从额外的保险保障中受益的企业将需要专注于在不花费所有预算的情况下满足更高和更严格的保费。预防性思维在这方面将大有帮助,同时考虑到系统中可能已经存在的威胁。
努力应集中在尽可能减少每项投资的风险敞口。勒索软件是目前最引人注目的威胁之一,也是保险业最为紧张的问题之一。AXA去年作为第一家在其保单中退出勒索软件支付的主要供应商引起了轰动,但即使不考虑需求本身,勒索软件也可能是一个极其昂贵的前景。
显然已经认真对待这种风险并投资于检测和缓解勒索软件的能力的公司将有更好的机会安抚不确定的供应商。这里的关键因素包括及早识别攻击的能力,并通过分段等过程最大限度地减少损害。
同样,数据泄露是一个严重的问题,将成为许多政策的焦点。除了数据丢失的影响之外,攻击者越来越多地通过类似于勒索软件的勒索要求将受害者加倍。公司需要证明他们能够可靠地检测和防止外泄企图。
自动化是在预算内实现这些功能的最重要资产之一。自动化访问权限、检测和响应等关键流程将释放资源和人力,从而可以重新投入到其他有价值的活动中。如果做得好,自动化可以帮助小公司在检测和响应威胁的能力方面远远超过他们的体重。
虽然两层方案可能是不可避免的方案,但较小的公司可以跟上正确的战略。专注于最大的风险,以及简化和自动化流程,将使他们更有可能满足严格的政策,并能够为更高的保费进行预算。当然,符合政策要求的相同行动也将增加公司完全需要依靠保险安全网的机会。
