為什么網(wǎng)絡(luò)保險(xiǎn)很重要？

電子數(shù)據(jù)的丟失、泄露或被盜會(huì)對(duì)企業(yè)造成負(fù)面影響，導(dǎo)致客戶和收入的損失。企業(yè)主可能要為竊取第三方數(shù)據(jù)造成的損失負(fù)責(zé)。

2011年，黑客入侵了索尼的PlayStation網(wǎng)絡(luò)，暴露了個(gè)人身份信息(血漿無機(jī)碘)的7700萬PlayStation用戶賬戶。這次入侵導(dǎo)致PlayStation用戶在23天內(nèi)無法訪問該服務(wù)。索尼公司在這次入侵中花費(fèi)了超過1 . 71億美元。網(wǎng)絡(luò)保險(xiǎn)本來可以支付部分費(fèi)用，但索尼公司沒有一個(gè)合適的政策。一個(gè)法庭案例裁定，索尼的保險(xiǎn)政策只涵蓋物理財(cái)產(chǎn)損害，讓索尼承擔(dān)與網(wǎng)絡(luò)損害相關(guān)的費(fèi)用。

同樣，2017年9月，消費(fèi)者信用報(bào)告機(jī)構(gòu)Equifax遭遇數(shù)據(jù)泄露，暴露了1.47億人的個(gè)人信息。2019年，Equifax與美國(guó)美國(guó)聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解。作為和解的一部分，Equifax同意花費(fèi)4.25億美元提供免費(fèi)的信用報(bào)告，為已經(jīng)注冊(cè)信用監(jiān)控服務(wù)的人支付現(xiàn)金，補(bǔ)償從身份盜竊中恢復(fù)所花費(fèi)的時(shí)間或金錢，以及免費(fèi)的身份恢復(fù)服務(wù)。一份網(wǎng)絡(luò)保險(xiǎn)本可以支付Equifax和解的部分費(fèi)用，前提是該保險(xiǎn)涵蓋了其數(shù)據(jù)泄露的情況。

網(wǎng)絡(luò)保險(xiǎn)提供以下好處:

• 防范網(wǎng)絡(luò)風(fēng)險(xiǎn)。網(wǎng)絡(luò)責(zé)任保險(xiǎn)對(duì)于保護(hù)企業(yè)免受網(wǎng)絡(luò)事件(包括與恐怖主義相關(guān)的事件)的風(fēng)險(xiǎn)非常重要。網(wǎng)絡(luò)保險(xiǎn)可以提供網(wǎng)絡(luò)安全保障，并有助于及時(shí)補(bǔ)救網(wǎng)絡(luò)攻擊和其他事件。
• 財(cái)務(wù)保護(hù)。網(wǎng)絡(luò)保險(xiǎn)針對(duì)網(wǎng)絡(luò)安全事件造成的損害提供財(cái)務(wù)保障。這包括調(diào)查費(fèi)用、信用監(jiān)控服務(wù)和法律責(zé)任，以及與數(shù)據(jù)泄露相關(guān)的其他成本。此外，它還可以為業(yè)務(wù)中斷、收入損失和計(jì)算機(jī)系統(tǒng)恢復(fù)提供補(bǔ)償。
• 法律支持。網(wǎng)絡(luò)保險(xiǎn)通常包括法律援助，這有助于企業(yè)在圍繞網(wǎng)絡(luò)安全事件的復(fù)雜法律體系中游刃有余。它可以支付法律顧問的費(fèi)用服從數(shù)據(jù)泄露和隱私侵犯帶來的法規(guī)和潛在訴訟。
• 安心。網(wǎng)絡(luò)保險(xiǎn)通過保證企業(yè)和個(gè)人在網(wǎng)絡(luò)危機(jī)中的財(cái)務(wù)穩(wěn)定，為他們提供安全感。這使得企業(yè)可以專注于核心業(yè)務(wù)運(yùn)營(yíng)，而不必?fù)?dān)心網(wǎng)絡(luò)攻擊可能帶來的財(cái)務(wù)和聲譽(yù)后果。
• 對(duì)安全的承諾。網(wǎng)絡(luò)保險(xiǎn)強(qiáng)調(diào)組織致力于保護(hù)客戶數(shù)據(jù)并積極主動(dòng)地進(jìn)行網(wǎng)絡(luò)防御。對(duì)網(wǎng)絡(luò)安全的承諾可以提高企業(yè)在客戶中的聲譽(yù)和信心，利益相關(guān)者還有合伙人。

網(wǎng)絡(luò)保險(xiǎn)是如何運(yùn)作的？

大多數(shù)提供商業(yè)保險(xiǎn)的保險(xiǎn)公司，如E&O、商業(yè)責(zé)任險(xiǎn)和商業(yè)財(cái)產(chǎn)險(xiǎn)，也出售網(wǎng)絡(luò)保險(xiǎn)。保單通常包括第一方保險(xiǎn)，適用于直接影響公司的損失。他們還可以擁有第三方保險(xiǎn)，根據(jù)第三方與該公司的業(yè)務(wù)關(guān)系，適用于其他人因網(wǎng)絡(luò)安全事件或事故而遭受的損失。

作為網(wǎng)絡(luò)安全事件響應(yīng)工作的一部分，網(wǎng)絡(luò)保險(xiǎn)單可以涵蓋網(wǎng)絡(luò)安全事件造成的財(cái)務(wù)損失。此外，網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)通常涵蓋與補(bǔ)救相關(guān)的成本，包括法律援助、調(diào)查人員、危機(jī)溝通人員以及客戶信用和退款的費(fèi)用。

誰需要網(wǎng)絡(luò)保險(xiǎn)？

雖然每個(gè)組織的風(fēng)險(xiǎn)狀況都是獨(dú)特的，但大多數(shù)公司都可以從購(gòu)買網(wǎng)絡(luò)保險(xiǎn)中受益，將其作為整體風(fēng)險(xiǎn)管理戰(zhàn)略的一部分。一系列行業(yè)都是網(wǎng)絡(luò)保險(xiǎn)的理想選擇:

• 各種規(guī)模的企業(yè)。在線創(chuàng)建、存儲(chǔ)和管理電子數(shù)據(jù)(如客戶聯(lián)系、客戶銷售、PII和信用卡號(hào)碼)的組織可以從網(wǎng)絡(luò)保險(xiǎn)中受益。此外，電子商務(wù)企業(yè)可以從網(wǎng)絡(luò)保險(xiǎn)中受益，因?yàn)榕c網(wǎng)絡(luò)安全事件相關(guān)的停機(jī)時(shí)間會(huì)導(dǎo)致銷售和客戶的損失。類似地，任何在網(wǎng)站上存儲(chǔ)客戶信息的組織，包括小型企業(yè)，都可以從網(wǎng)絡(luò)保險(xiǎn)單提供的責(zé)任范圍中受益。
• 醫(yī)療保健提供商。醫(yī)療保健公司處理一系列敏感信息和患者數(shù)據(jù)，經(jīng)常成為數(shù)據(jù)泄露和網(wǎng)絡(luò)威脅的目標(biāo)。根據(jù)IBM的年度數(shù)據(jù)泄露報(bào)告，醫(yī)療違規(guī)的平均年成本接近1000萬美元。降低與數(shù)據(jù)泄露相關(guān)的財(cái)務(wù)和法律風(fēng)險(xiǎn)健康保險(xiǎn)流通和責(zé)任法案違規(guī)，網(wǎng)絡(luò)保險(xiǎn)對(duì)醫(yī)療機(jī)構(gòu)至關(guān)重要。
• 金融機(jī)構(gòu)。銀行和信用社是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，因?yàn)樗鼈兲幚砻舾袛?shù)據(jù)，如社會(huì)安全號(hào)碼、賬號(hào)和其他PII。網(wǎng)絡(luò)保險(xiǎn)可以幫助這些機(jī)構(gòu)從網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失中恢復(fù)過來。
• 政府機(jī)構(gòu)。政府機(jī)構(gòu)處理大量的私人信息。網(wǎng)絡(luò)保險(xiǎn)可以幫助政府機(jī)構(gòu)防范網(wǎng)絡(luò)攻擊，確保公共服務(wù)的連續(xù)性。
• 教育機(jī)構(gòu)。教育機(jī)構(gòu)，如學(xué)校、學(xué)院和大學(xué)，為員工和學(xué)生存儲(chǔ)了大量的個(gè)人和學(xué)術(shù)記錄，使他們成為網(wǎng)絡(luò)保險(xiǎn)的良好候選人。
• 收入高的公司。收入豐厚的公司是黑客的目標(biāo)。為了防范網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露造成的經(jīng)濟(jì)損失，這些組織應(yīng)該考慮網(wǎng)絡(luò)保險(xiǎn)。

網(wǎng)絡(luò)保險(xiǎn)覆蓋和不覆蓋哪些內(nèi)容？

許多主要的美國(guó)保險(xiǎn)公司為客戶提供網(wǎng)絡(luò)保險(xiǎn)政策選項(xiàng)。根據(jù)保單的價(jià)格和類型，客戶有望獲得因IT資產(chǎn)的物理破壞或失竊而產(chǎn)生的額外支出的賠償。

通常包括哪些內(nèi)容？

很多入門級(jí)的網(wǎng)絡(luò)安全保單只保第一方損失；更廣泛的政策涵蓋第三方責(zé)任損失。網(wǎng)絡(luò)保險(xiǎn)涵蓋的支出通常包括以下相關(guān)費(fèi)用:

• 滿足勒索軟件攻擊的勒索要求。
• 發(fā)生安全違規(guī)時(shí)通知客戶。
• 支付因侵犯隱私而征收的法律費(fèi)用。
• 雇用計(jì)算機(jī)取證恢復(fù)受損數(shù)據(jù)的專家。
• 恢復(fù)PII受損客戶的身份。
• 恢復(fù)已被更改或竊取的數(shù)據(jù)。
• 修復(fù)或更換損壞或受損的計(jì)算機(jī)系統(tǒng)。
• 為受數(shù)據(jù)泄露影響的客戶提供信用監(jiān)控服務(wù)。

通常不包括什么？

以下是網(wǎng)絡(luò)安全政策沒有涵蓋的排除和問題:

• 可預(yù)防的人為安全問題，如貧困結(jié)構(gòu)管理或者對(duì)數(shù)字資產(chǎn)的不當(dāng)處理。
• 先前存在的問題和以前的違規(guī)以及網(wǎng)絡(luò)安全事件，如購(gòu)買保單前發(fā)生的事件。
• 由員工或內(nèi)部人員發(fā)起并導(dǎo)致的網(wǎng)絡(luò)安全事件。
• 不是由有目的的網(wǎng)絡(luò)攻擊造成的基礎(chǔ)設(shè)施故障。
• 未能糾正已知的漏洞，例如當(dāng)公司知道存在漏洞，但未能解決它，然后出現(xiàn)與該漏洞相關(guān)的危害情況。
• 改進(jìn)技術(shù)系統(tǒng)的成本，包括系統(tǒng)或應(yīng)用程序的安全強(qiáng)化。
• 知識(shí)產(chǎn)權(quán)價(jià)值的損失，如專有信息、商業(yè)秘密或其他無價(jià)的無形資產(chǎn)。

網(wǎng)絡(luò)保險(xiǎn)要多少錢？

通常，網(wǎng)絡(luò)保險(xiǎn)的定價(jià)基于被保險(xiǎn)實(shí)體的年收入、行業(yè)、覆蓋范圍和類型以及組織的規(guī)模。組織規(guī)模很重要，因?yàn)楦嗟膯T工意味著惡意行為者的攻擊面更大，并且需要更多的保險(xiǎn)。行業(yè)是一個(gè)重要因素，因?yàn)獒t(yī)療保健和金融等行業(yè)管理大量敏感數(shù)據(jù)，并應(yīng)對(duì)更多風(fēng)險(xiǎn)。

在過去的幾年里網(wǎng)絡(luò)保險(xiǎn)費(fèi)激增這種趨勢(shì)歸因于攻擊面的擴(kuò)大和對(duì)手技術(shù)的發(fā)展。根據(jù)Progressive Casualty Insurance Company的數(shù)據(jù)，一份典型的保單每年的費(fèi)用可能在500美元至5000美元之間，甚至更多。

為了獲得網(wǎng)絡(luò)保險(xiǎn)的資格，個(gè)人或?qū)嶓w通常必須接受保險(xiǎn)公司的安全審計(jì)，或者提供來自經(jīng)批準(zhǔn)的評(píng)估工具的文檔，例如由國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所提供的評(píng)估工具網(wǎng)絡(luò)安全框架。來自安全審計(jì)的結(jié)果或來自批準(zhǔn)的評(píng)估工具的文檔可以作為保險(xiǎn)公司提供的保險(xiǎn)類型以及保費(fèi)成本的因素。

如何選擇網(wǎng)絡(luò)保險(xiǎn)

網(wǎng)絡(luò)安全政策因供應(yīng)商而異。要選擇一項(xiàng)政策，公司應(yīng)審查政策的細(xì)節(jié)，以確保它包含必要的保護(hù)和規(guī)定。此外，公司應(yīng)該評(píng)估保險(xiǎn)產(chǎn)品是否可以防范已知的和新出現(xiàn)的風(fēng)險(xiǎn)網(wǎng)絡(luò)安全事件和威脅概況.

一項(xiàng)計(jì)劃可能涵蓋的各種費(fèi)用包括法醫(yī)、法律和公共關(guān)系費(fèi)用。在發(fā)生違規(guī)或攻擊的情況下，需要進(jìn)行取證調(diào)查，而且違規(guī)導(dǎo)致的任何法律或監(jiān)管費(fèi)用通常都包括在內(nèi)。各種計(jì)劃還包括雇傭公共關(guān)系機(jī)構(gòu)來維護(hù)投保人聲譽(yù)的費(fèi)用。一些計(jì)劃可能會(huì)概述特定類型攻擊的覆蓋范圍，如勒索軟件，在這種情況下，企業(yè)可以報(bào)銷向惡意行為者支付的贖金。

網(wǎng)絡(luò)保險(xiǎn)與網(wǎng)絡(luò)防御

網(wǎng)絡(luò)防御和網(wǎng)絡(luò)保險(xiǎn)并不是同義詞。網(wǎng)絡(luò)防御是一個(gè)寬泛的術(shù)語，指的是企業(yè)為應(yīng)對(duì)網(wǎng)絡(luò)威脅而選擇實(shí)施的任何安全工具和策略安排。網(wǎng)絡(luò)保險(xiǎn)計(jì)劃是企業(yè)購(gòu)買的一種政策，用于在網(wǎng)絡(luò)攻擊后提供補(bǔ)救和財(cái)務(wù)補(bǔ)償。網(wǎng)絡(luò)保險(xiǎn)是對(duì)其他安全工具和程序的補(bǔ)充。

建立網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施先于購(gòu)買網(wǎng)絡(luò)保險(xiǎn)。缺乏安全工具和政策的企業(yè)可能會(huì)為網(wǎng)絡(luò)保險(xiǎn)支付更多費(fèi)用，因?yàn)檫@將被視為風(fēng)險(xiǎn)更高。但是，如果在購(gòu)買之前就建立了基礎(chǔ)設(shè)施，風(fēng)險(xiǎn)就會(huì)降低，保險(xiǎn)計(jì)劃覆蓋的范圍也會(huì)減少。網(wǎng)絡(luò)保險(xiǎn)只是企業(yè)全面網(wǎng)絡(luò)防御戰(zhàn)略的一個(gè)組成部分。