網路安全保險作為金融市場和資訊保安行業的新寵,近年來獲得了業界的關注。基於綠盟科技近兩年的服務資料顯示:中小企業的安全服務成交額度增長25%,對應各行業的安全事件也呈現10%的增長,一方面體現在蠕蟲病毒和虛擬挖礦兩類事件呈現增長態勢,另一方面體現在2019年安全事件種類更加多樣。雖然中小企業中招勒索軟體出現負增長,但仍以34%和26%的佔比穩居兩年中小企業網路安全事件Top1。
由此可見,縱使中小企業越來越注重網路安全投入和保障體系建設,但網路安全事件依然頻發。面對無法避免和消除的網路安全風險,中小企業可透過購置網路安全保險增強企業的網路安全能力。
中小企業網路安全建設痛點
1. 資料合規要求嚴苛,資料洩露形勢嚴峻
數字經濟作為經濟發展的新動能,成為拉動全球經濟增長的新引擎,世界各主要國家已將發展數字經濟作為重塑核心競爭力的重要舉措,而資料作為數字經濟發展的關鍵因素,被各國納入法律保護範疇,對企業提出更高要求。歐盟《通用資料保護條例》(簡稱 GDPR)自2018年施行以來,在各行各業開出近300罰單,罰金合計超4.7億歐元(資料來源:enforcementtracker網站),如:
· 英國航空公司因洩露50萬客戶的個人及信用卡資訊,罰款約2億歐元;
·
萬豪酒店集團也因洩露超3億使用者的個人資訊,罰款1.24億歐元;
·
谷歌因處理個人使用者資料時未充分履行其義務,罰款5000萬歐元;
·
瑞典某高中因違反資料收集目的限制和最小範圍原則,罰款近2萬歐元。
近日,我國也釋出了《資料安全法(草案)》,填補該領域立法空白,明確了企業資料安全保護責任和義務,並提出相關罰則。
企業在面對合規監管愈發嚴苛的同時,也在經歷著更加嚴峻的資料洩露態勢。據2020年Verison資料洩露調查報告(DBIR)顯示,中小企業與大型企業面臨著近乎相同的安全風險,在調研的407件中小企業網路安全事件中,近55%的安全事件伴隨著資料洩露。越來越嚴格的合規要求和日漸嚴峻的資料洩露風險,給中小企業資訊保安建設帶來更大挑戰。
2. 勒索事件頻發難以防範
在經濟利益的驅動下,勒索病毒成為近年來的主流網路安全威脅之一。綠盟科技安全事件響應年報顯示,2017至2019年勒索病毒類事件數量始終佔據熱門網路安全事件Top3,雖然2019年事件數量較上一年減少近15%,但勒索病毒呈現出家族化和高更新迭代速度的特徵,並伴隨著勒索金額的持續走高,如GandCrab勒索病毒1.0版本出現於2018年1月,僅在16個月內,版本更新至5.3,勒索金額也從早期的499美元提升至998美元。此外,隨著勒索軟體產業鏈的形成,勒索軟體即服務(RaaS)成為熱門黑產盈利模式,黑產從業者無需惡意軟體開發的專業知識,便可發起勒索活動,這樣低門檻、高收益、傳播方式多元化的特性,讓勒索病毒更加難以防範。
由於中小企業IT架構基礎簡單且資訊資產大多為核心資產,在收到勒索攻擊後,會嚴重影響日常業務開展,所以相較於業務中斷帶來的經濟損失,中小企業更加傾向於支付勒索贖金,以達到快速恢復正常業務執行的目的,這使其成為了勒索攻擊的主要目標。
3. 缺乏安全事件應急響應能力
中小企業更加專注於業務發展,選擇在客戶擴充、技術發展和業務運營中投入更多資源,加之企業認為自身體量小不易成為攻擊者的主要目標,普遍存在IT人員兼任安全崗位、沒有網路安全專崗的情況。由於缺乏專職安全團隊,中小企業在應對安全事件時,幾乎沒有事件應急響應能力,導致錯過最佳處置時間,無法根除隱患,加重對業務造成的不利影響。因此對中小企業而言,外購安全服務是快速提升事件響應和安全防護能力的方式之一。
網路安全保險服務
面對監管合規要求提高、安全風險激增、安全人才匱乏等問題,網路安全保險成為中小企業增強網路安全保障能力的關鍵服務。網路安全保險是一種針對網路安全風險的獨立險種。通常普通的商業保險不覆蓋企業網路安全損失,網路安全保險的出現正好填補了保險在網路安全領域的空白。
網路安全保險是一種風險轉移手段,也是一種網路安全防護措施。一方面可以透過理賠方式,將網路安全風險的影響貨幣化,有效幫助企業穩定或緩解財務狀況,降低企業經濟損失;另一方面可以為客戶識別、應對和處置風險提供補充資訊,同時提供後續訴訟的相關知識。
1. 網路安全保險覆蓋場景及產品型別
企業商用網路安全保險的承保範圍主要由兩類構成:第一方損失和第三方責任索賠。綠盟科技與前海財險合作推出的網路安全綜合保險,承保範圍包括但不限於資料洩露、資料破壞、駭客攻擊、網路勒索等安全事件觸發的第一方損失和第三方責任賠償,並對保險責任場景進行了詳細明確的劃分,特別是在資料責任方面,為企業提供切實保障,劃分說明如下圖所示:
同時,在賠償限額和保費方面,綠盟科技基於多年網路安全事件資料,為網路安全保險的建模定價、理賠定損方面提供基礎資料和技術支援,細分承保專案類別和客戶型別,幫助保險以精準且合理的成本切實貼合企業安全需求。
2. 網路安全保險服務模式
在網路安全保險的服務模式下,綠盟科技作為專業的安全服務提供商,成為客戶與保險公司之間資訊傳遞和技術支撐的橋樑,讓客戶在零感知的情況下,輕鬆享受保險服務。
例如,在面向某房地產客戶提供安全服務時,綠盟科技為客戶引入網路安全保險。在投保前期,綠盟科技透過問卷調研、風險評估等技術手段,幫助企業瞭解自身安全現狀,及時查漏補缺;同時,輔助前海財險判斷承保內容,並作為投保人,為該房地產客戶完成投保工作。在保險生效後,綠盟科技針對投保範圍內的40餘個系統進行風險持續監控,在客戶突發網路安全事件時,及時啟動應急響應,並作為事故鑑證方,完成事故調查,輔助前海財險完成理賠工作。
3. 網路安全保險服務解決方案
雖然網路安全保險可以轉移網路安全風險,但保險不是企業網路風險計劃的替代品,不可能覆蓋所有的網路安全風險,同時,隨企業網路安全防禦手段的成熟,網路安全保險的成本也會隨之下降。因此對於中小企業而言,更應採取“網路安全保險+日常安全防禦輔助手段”的思路,構建“高價效比”的企業網路安全建設體系。
綠盟科技網路安全保險服務解決方案,以傳統安全服務為核心,將網路安全保險納入企業風險管理計劃的最後一環,作為中小企業網路安全建設的“增值服務”,綜合提升企業潛在安全風險的識別能力、突發安全事件的應對能力和事後的恢復能力,形成風險閉環管理的運營機制。
在保險前期,企業透過滲透測試、漏洞評估、弱口令等技術服務,全面識別安全風險,為投保做出預判,並透過安全意識測評和培訓等教育服務,降低人員隱患;在保險生效期間,企業透過漏洞通告、威脅情報等情報服務,實時跟蹤企業安全狀態,及時消除潛在安全隱患;在安全事件發生後,企業透過應急響應服務,精準定位事件源頭,及時抑制損失、根除隱患,確保以最快速度恢復業務,同時為保險定損提供技術支援,精準完成理賠工作,確保企業獲得足量的保障賠償。
綠盟科技與網路安全保險
綠盟科技作為一線的安全服務提供商,與前海財險共同基於各行業使用者的風險資料構建預測模型,進行合理的服務和產品配置,這讓一部分使用者在採購安全服務的同時,會考慮透過網路安全保險這一金融手段來消除風險,也讓一部分計劃透過投保來控制企業運營風險的企業初步將網路安全保險納入其整體風險管理和保險組合的範圍。
隨著國家相關法律環境的逐步成熟和健全,安全服務的採購者對於網路安全保險所適用的風險敞口的重視程度也會逐步提升,結合專業安全服務商的風險資料來彌補金融機構的資料短板,確保共建的風險預測模型更加匹配各類細分行業和領域,從而提升網路安全服務商、保險機構以及投保使用者在定價、承保等環節對於網路安全保險這一金融和網路安全跨界產品的信心,確保網路安全保險可以在細分行業和領域得到更快的推廣和認可。
可以展望,在未來基於5G與物聯網(IoT)以及自動駕駛技術等眾多新興技術演進過程中,隨著越來越多的攻擊和損失場景的出現,網路安全保險作為基於風險預測和計算模型的金融安全服務產品,會在傳統風險評估、緩解和保障手段之外,給予多方更多的風險保障和選擇。