网络安全保险成本大涨 企业还能负担这一重要的风险管理工具吗?
根据 Huntsman Security 的数据,到 2023 年,无法负担网络安全保险、被拒绝承保或面临重大承保限制的企业数量将翻一番。
即使对于那些被投保的人来说,持续上涨的攻击、日益趋严的监管和不断增长的财务压力所形成的强烈风暴,也使得攻击、违规和安全事件都更可能被暴露出来。
“供应链危机、通货膨胀和缺乏安全技能等因素都增加了企业试图建立健全其网络安全战略的难度。与此同时,对于许多企业来说,保险费用的增加、承保范围的限制、承保及赔付的严格性以及责任认定都限制了网络安全保险的可及性,”亨斯迈安全 CEO Peter Woollacott评论道。
“除非保费收入能更好地匹配当前的赔付支付水平,否则赔付率不会得到改善。随着网络威胁增加和监管收紧,保险准入减少,许多企业正在失去网络安全保险这一重要的风险管理工具。即使是那些仍然可以获得保险的人也要付出高得令人望而却步的费用,”Woollacott 继续说道。
数据显示,三分之一的英国公司每周至少遭受一次网络攻击,网络安全保险作为整体风险管理的一部分是至关重要的。为了弥合这种可及性的差距,保险公司正在寻求提高风险信息的质量,以便保费更好地反映该风险的真实成本。除非企业能够证明他们有保险公司指定的控制措施来管理其安全风险,否则保险公司将继续难以量化安全风险。正是由于这些原因,保险公司改变了提供产品的基础,以更准确地反映承保的风险。
在安全419的近期采访中,安恒信息高级副总裁袁明坤也指出,风险量化是网络安全保险落地的一大难点。网络安全保险需要理解和把握网络安全产品在各种场景下的安全风险。需要量化安全风险的概率,而这需要时间和数据来支撑。从安全企业侧来说,不同场景下,安全企业需要与保险业共同就场景特性制定相应的风险量化模型,这是风险量化的起步支撑。(延伸阅读:《对话安恒信息&众安科技 网络安全保险需要生态各方彼此理解支持》)
在这种环境下,改进和展示安全控制的有效性至关重要,无论是对于希望提高网络弹性和监测能力、同时提高其保险资格的企业,还是对于需要通过确保准确性来最大限度地减少自身风险的保险公司。相关关键因素包括:
● 多因素身份验证
● 端点保护
● 受限的管理员权限
● 修补操作系统/应用程序
● 员工安全意识
● 定期备份
● 经过测试的业务弹性规划
● 灾难恢复计划
Forrester Research 在其于今年4 月发布的《2022 年顶级网络安全威胁》报告中指出,随着风险信息的改善,保险公司很可能会纳入新的承保要求,并对风险控制和安全计划成熟度进行更严格的审查。如前所述,许多保险公司已经在进行这种更严格的承保流程。如果其他行业的保险流程可以作为参考,随着企业开始改进其网络风险的管理和监控,保险公司将改进其风险定价模型,并以更优惠的保险成本和条款服务那些更高级别安全水平的企业。
众安科技网络安全事业部、众至网络安全联合共创实验室负责人秦峰在接受安全419采访时就表示,与车险、健康意外险等等有相应的责任判定机构而言,处于起步阶段的网络安全保险在这方面仍有巨大差异。所以,赔与不赔的责任界定,也是网络安全保险目前阶段的落地难点之一。比如说是安全产品的问题,还是风险意外问题,又或者是存在主观恶意问题。
同时还有价值定义方面的难点,“网络安全产业帮助企业保护的数字资产价值到底是多少目前难以具体评估,这也影响一定的参照依据是否准确适用。网络安全企业在接到安全评估、渗透测试类服务时,需要对标的物进行界定,从网络安全保险角度来讲,同样需要做出界定,因为这将决定保险保额。”秦峰说道。
基于以上,不断变化的市场买卖双方对网络安全的需求无疑将推动保险市场不断进行调整。
Peter Woollacott评论道:“目前,网络安全保险行业正在全球范围内推动安全控制。即使立法者、监管机构和法院都在加码,保险公司仍将寻求提高其风险定价信息的质量来设定安全条款。企业应尽可能去增强其安全控制和态势,与网络安全保险形成良性配合,共同完善安全建设体系以提高安全水平。”
网络安全保险需要生态闭环彼此理解支持,秦峰指出,保险公司则作为承保主体,保险产品指向具有可保利益,进一步凸显其重要性。网络安全企业则能够去补充保险公司在网络安全技术能力上的不足,以及在承保期间,对于用户风险监测能力的不足。投保用户收益则尤为显见,如果出现残余风险或意外,在投资回报方面会有兜底保障。
就国内市场而言,现阶段处于网络安全保险市场培育期,需要各方以坦诚包容的态度共同致力于市场的做大做强。待市场成熟之后,各个角色自然会有自己的市场空间和地位。
THE END