因為你沒加密所以網路保險不給你理賠

安全專家表示，安全事件頻頻登上報端引發了網路保險業的蓬勃發展，但這一市場目前十分複雜。

資訊長(CIO)和首席資訊保安官(CISO)面對的最悲苦的事，恐怕就是在重大網路安全事件後進行損害評估了。責難成山，卻少有人能公平看待。而到向網路保險索賠的時候，概念混淆的存在，還會使這個責任推卸遊戲變得更加複雜。

典型的企業網路保險爭論通常是這樣的：CEO或董事長把CISO叫到辦公室，告訴他保險公司只願意支付38%的索賠，因為“你沒對受影響的應用實現加密”。

CISO說：“首先，我不知道我們有網路保險。其次，受影響的應用是在我們的ATM機上執行的，如果我們對其進行加密，您早就因為客戶無法訪問而解僱我了。我希望您在實施這些策略之前先告訴我一聲。”

CISO不知道自己公司投了保險以避免網路攻擊損失這事兒，聽起來就像HBO劇集《矽谷》裡的一個情節，而不是真實的商業案例。但隨著安全事件不斷髮生，這種斷層也時常湧現。PivotPoint風險分析公司CEO朱利安·威特說：“保險購買不透明，你覺得在你處理金融風險轉移時應攜手共進的兩件事情，其實相互間根本毫無溝通。”

忽視和困惑導致了覆蓋面缺口

因此，公司企業經常不確定自己的保險策略覆蓋到了哪些部分而哪些又根本沒有保障，時常保了那些錯誤的東西，導致索賠因各種原因遭拒，比如沒有足夠的網路安全測試規程和審計、過時的補丁、網路事件響應計劃部署不到位、缺乏備份和恢復過程等等。

同時，保險商的聚合風險模型也更像是普適策略，而未必適合企業客戶的特殊需求。普華永道所言全球網路保險市場到2018年將有50億美元保費，2020年至少75億的斷言，也因此承受著巨大挑戰。

為更好地理解網路保險業，威特委託IT部門和保險商進行了研究。網路保險研究公司Advisen調查了195家保險公司和代理商，系統與網路安全協會 SANS Institute 對203位資訊保安和IT專業人士進行了問卷調查，其分析師芭芭拉·菲爾金絲撰寫了報告《橋接保險/資訊保安缺口：2016 SANS 網路保險調查》。

菲爾金絲發現，為有效購入符合自身需求的網路保險策略，企業必須彌合的關鍵缺口有4個：

術語缺口。資訊保安和保險業人士承認，他們對於“風險”基本概念的定義並未達成共識。資訊保安人士從威脅和漏洞的角度理解，並覺得可通過構築防禦措施、策略和專案來清除威脅。保險提供商則從降低企業從網路安全事件中遭受的經濟損失入手。

評估缺口。評估框架為最低階別的網路衛生制定標準實踐、指標和成本，並被用來與其他企業的防禦和規程進行比較衡量。但保險商更喜歡定量模型而非定性模型，卻只有25%的資訊保安受訪者有具體的定量模型。

溝通缺口。以上缺口促生了資訊保安人士和保險商之間的溝通鴻溝，資訊保安專業人士和風險經理之間，保險業內部的承保商和經紀人之間，同樣存在溝通天塹。

投資缺口。承保標準制定中透明性的缺乏，導致了尋求網路保險的買家在投資上的偏差。資訊保安人士可能會投資到錯誤的事情上，以為這些東西都是可保的；或者他們購買的保險不符合遭遇到的損失，而索賠被拒。更為複雜的情況是，可能會有需要法律顧問來解釋的保單條款和例外情況。舉個例子，2014年，美國最大中餐連鎖店 P.F. Chang 從其保險商那裡索回了170萬美元的安全事件後續處理開支和集體訴訟的辯護費。但該公司就未能拿回花在信用卡處理器上的190萬支付卡行業資料安全標準(PCI DSS)評估費。

CISO必須參與網路保險採購

肖恩·維奧拉稱，SANS發現的缺口與其在評估和購買網路保險策略上的經驗相一致。作為護理設施供應商 Creative Solutions in Healthcare 的CIO和CISO，維奧拉發現，很多策略都與他那基於美國國家標準技術研究院(NIST)網路框架的安全模型不相匹配。他認為，有工具或評估矩陣可供CISO們將自身安全態勢和選擇要買的保險策略關聯起來。另一個挑戰則在於，公開處理的網路保險索賠案例實在太少，讓公司企業恍如在黑暗中前行。

雖然網路保險是大家都想搞明白的問題，卻沒人願意談論它，因為談論網路風險讓人們覺得不舒服。維奧拉稱：“這是個年輕的產業，人們對它還有很多困惑。保險商們沒有認識到這一點。”他已採取行動，培訓其高管層瞭解網路風險和網路保險知識。

那麼，CISO/CIO到底該做什麼？Advisen共同創始人兼首席策略管大衛·布拉德福德分享了他的想法：CISO應在較早階段就參與進來，與風險經理共同搞清企業到底有哪些風險暴露面，好讓風險經理在購買網路保險策略時可向保險經紀人解釋清楚，而保險經紀人又反過來能向保險商解釋並匹配選出正確的策略。

====================================分割線================================

本文轉自d1net（轉載）