遭遇网络攻击损失5.8亿美元理赔却不到一半,企业该如何对待网安险
2021-03-01 20:38:13 Author: www.freebuf.com(查看原文) 阅读量:84 收藏

前段时间一直占据网络安全头条的SolarWinds供应链攻击事件,波及范围极广,影响了大量科技企业,黑客还获取了微软Azure等产品的部分源代码。有报道称,甚至连美国宇航局(NASA)和联邦航空管理局(FAA)的网络也被入侵。2月4日,美国纽约州率先给保险划了一个框架,发布了美国第一个网络安全保险风险框架。

这类大规模攻击造成的损失难以估算,企业们复盘时看着一长串的损失数字,默默在网络安全保险预算后加了个0。

遭遇大范围黑客攻击,企业是否只能自认倒霉?除了技术补救,还有什么方法可以将经济损失降到最低?

保险也许是解决方法之一,给企业安全和数据财产上一重保险。

恶意勒索、钓鱼攻击成2020年企业主要安全事件

将视线转回国内,2020年我国也发生了不少网络安全事件。钓鱼邮件攻击、恶意勒索软件、供应链攻击等层出不穷。

据安全服务商瑞星发布的《2020年中国网络安全报告》显示,其系统在2020年共截获勒索软件样本156万个,感染次数为86万次;挖矿病毒样本总体数量为922万个,感染次数为578万次。

同时,2020年截获的病毒数量也比2019年同期上升43.71%,达到1.48亿个,病毒感染次数高达3.52亿次。

2020年病毒类型统计,来源:瑞星2020年中国网络安全报告

除此之外,企业安全事件也频频发生。新型冠状病毒疫情期间,多个APT组织利用疫情相关信息作为诱饵进行网络攻击,中国是频繁攻击目标之一。这些APT组织主要利用疫情相关话题的钓鱼邮件,通过宏、0day或Nday等漏洞进行攻击。尼日利亚网络钓鱼组织也通过邮件钓鱼等方式对我国进出口贸易、货运代理、船运物流等企业实施攻击。

2020年上半年,7000多名武汉返乡人员信息泄露,将公民个人信息安全问题再次暴露在大众视线中。中国电信超2亿条信息以每条0.01元至0.02元的价格被卖出、非法牟利2000余万元。

网络安全公司Deep Instinct最新研究报告显示,2020年,全球恶意软件总体增加了358%,勒索软件增加了435%。

“特别是新型冠状病毒疫情期间,许多公司加速了数字化转型,在线业务体量变大,居家远程办公更易暴露安全问题,安全团队难以及时响应各种攻击。”Deep Instinct首席执行官Guy Caspi做出上述分析,他表示,除了攻击量庞大,攻击变得更加复杂也使检测困难。

网络攻击体量之大令许多企业深受其害,除了从自身技术和安全团队方面下功夫,一定程度上也催生了网络安全保险需求,行业规模日益扩大。

我国的网安险:起步晚、险种少、历史数据不足

自上世纪90年代中期首批互联网网络安全保险产品面世以来,行业发展缓慢,直到2010年后行业规模才开始有大幅度提升。

2012年,全球网络安全保险规模达到5亿美元,其中美国占据绝大比例的市场份额。相关市场调查统计,美国企业投保网络安全保险比例高达70%。

欧洲网络安全保险市场也在2018年5月欧盟《通用数据保护法案》(GDPR)实施以后迅速壮大。法案对数据保护要求严格、涉及企业多、罚款金额高,例如英国航空公司因泄露50万客户的个人及信用卡信息被罚款2亿欧元。于是,很多企业开始借助保险工具来转移风险。

亚洲等其他新兴市场的网络安全保险行业由于起步晚、法规不完善等原因,该行业依然处于缓步发展阶段。

起步晚、险种少、历史数据不足、主要面向企业端,是我国网络安全保险行业的现状。

2013年,苏黎世保险在中国首次推出网络安全保险,但反响平平。这种情况直到2016年11月《中华人民共和国网络安全法》通过才有所改善,企业的安全保险意识开始提升,保险公司也开始推出相关险种。

某再保险公司调研显示,目前中国市场上购买网络安全保险的企业以国际性企业和世界500强企业为主。它们通常持有全球性的网络安全保单,某些独立保单的保障限额在人民币3亿元至10亿元之间,有些甚至达到10亿元以上。

中国本土企业中,电子商务行业由于业务对线上依赖程度高,所以对网络安全保险的需求也更高。

有机构观察到,在中国,中小型企业对网络安全保险的投保积极性更高。据统计,2019年中小企业遭遇的网络安全事件中,26%为勒索软件、26%为虚拟挖矿、17%为蠕虫病毒、14%为入侵事件。由于自身人力和应急响应机制不健全等原因,中小企业更倾向于借助保险工具转移部分网络安全风险。

中小企业网络安全事件类型分布,来源:绿盟科技

网安险该如何突破现状

2019年,工信部曾发布《关于促进网络安全产业发展的指导意见》,提出要探索开展网络安全保险服务。原中国保监会副主席周延礼也曾表示,解决中国的网络安全问题,需借鉴成熟市场的有效做法,大力推动网络安全保险市场发展。

虽然中国网络安全保险行业正在逐步升温,但其中还面临不少困难。对于保险公司而言,难点在无法准确衡量网络风险、系统性风险考虑不足、网络攻击事件的权责划分和除外条款。对于企业而言,难点在于险种选择少、保费高、赔付额度有限。

以2017年现象级的NotPetya网络攻击事件为例,美国制药巨头默克公司称该网络攻击已致公司损失5.8亿美元,且随着时间的推移损失还将增加2亿美元。但保险专家给出的理赔额度仅为2.75亿美元,不到实际已产生损失的一半。

NotPetya网络攻击,来源:网络

如果说默克公司已算幸运,那同样遭受NotPetya攻击的食品巨头亿滋国际提出的赔偿要求则被拒绝。苏黎世美国保险公司以“任何政府或主权力量的敌对或战争行为免于赔付”为由拒绝赔付,因为在美国情报官员将NotPetya恶意软件的来源认定为俄罗斯军队针对乌克兰的攻击。

相比于国外有公开的赔付案例,国内公开的案例则比较少,企业也会出于品牌形象考虑避免宣传此类信息。

对于网络安全保险来说,网络风险很难理解,规避起来也很麻烦。威胁环境不断变化也导致保险公司需要不断调整整体保险计划。网络安全保险不像财产险等成熟的保险业务,市场上有丰富的历史数据,在设计和购买产品时市场上有可参考的目标额度和实际情况。

例如,与2015年至2017年的安全事件相比,2020年勒索软件大行其道。想要应对勒索软件攻击,保险公司就必须跟上行业发展或者选择和网络安全公司合作,开发出合适的产品。

对于企业来说,保费较高是面临的问题之一。这也是全球所有企业面临的网络安全保险现状之一,因为保险公司对网络安全风险的认知不深,出于保守定价考虑,将保费定的比较高。

美国纽约州前不久发布了美国第一个网络安全保险风险框架,给所有财产和意外保险公司提供指引。该风险框架主要有七个方面:1、建立正式的网络保险风险策略;2、管理并消除沉默网络保险风险敞口;3、评估系统性风险;4、严格衡量保险风险;5、为被保险人及保险提供方提供教育引导;6、获取网络安全专业知识;7、向执法部门发布通报。

该风险框架对我国网络安全保险行业同样具有借鉴意义。一方面,我国应该制定关于网络安全保险的法律法规,为网络安全风险的评估和等级界定提供确切标准。另一方面,保险公司要提高风险衡量能力,可以选择与安全厂商联手设计保险产品,并且提高网络安全保险的精算能力。

作为企业方,则应该加强网络安全意识,提升自身技术能力或调整单一性业务架构,提高应对网络攻击能力。同时,企业还应该选择一份合适的网络安全保险,转移部分风险。


文章来源: https://www.freebuf.com/articles/network/264764.html
如有侵权请联系:admin#unsafe.sh