本文来自微信公众号“数世咨询”,作者/nana。
大多数网络安全专业人员都清楚,网络安全事件每年都在增长。所以,网络安全保险业务同样增长强劲也就不足为奇了。市场分析机构Markets and Markets和Polaris Market Research的数据显示,从2021年到2022年,全球网络保险市场从101亿美元增长到了119亿美元,且预计到2027年将会增长至290亿美元之多。
预计的增长形势显然不便宜,所以很多公司,尤其是小公司,仍然没有购买网络安全保险,且可能在遭遇网络安全事件的切肤之痛之前都不会考虑购买。但如果不出意外的话,他们最终还是会坐到桌前,跟有资质的保险公司商谈网络安全保单的价格。毕竟,遭遇网络安全事件基本上是大概率事件了。
当然,正如统计数据所清楚表明的,北美这一最大单一市场里的许多公司已然迈出了购买网络保险这一步。当今这种情形下,缺乏网络保护真的很令人头疼,购买费用高也得认了。保险经纪商Marsh表示,2022年第四季度,美国的网络保险价格同比上涨了28%。尽管增长如此迅猛,但相比去年早些时候还是有所下降,这主要是因为更多公司实施了行之有效的网络安全控制措施。
即便如此,大多数网络保险分析师认为,随着企业界继续越来越依赖信息技术和数字设备,随着勒索软件和网络入侵不断升级,网络保险的价格将继续上涨。
这就引出了网络安全保险是否物有所值的问题。
答案是:网络安全保险物有所值,至少目前是这样。
尽管价格飙升,但很难说网络安全保险就比不上压根儿不买网络保险,因为该险种通常能大大降低常见网络安全事件的成本。而且,对于小企业而言,网络保险还能防止企业在发生网络安全事件时走向倒闭。(有调查表明,遭遇网络安全事件的小公司超过一半都在六个月内倒闭了。)
此外,某些情况下,公司可以采取一些超出保险公司当前预期的预防措施来稍微削减点成本。例如,他们可以在IT系统中实现所谓的最小权限策略,仅授予部分权限在有限时间内进行特定活动,而不是授出广泛的长期访问权限,从而缓解内部人威胁。公司还可以转嫁第三方保险,第三方保险可以在客户、供应商或合作伙伴起诉公司放任数据泄露发生时保护公司。
至少,在数字优先的世界里,一些网络保险还是非常必要的。我们的生活和企业界的方方面面都在数字化,令网络保险从奢侈品变成了必需品。Blackberry的一项调查显示,网络安全事件威胁十分普遍,60%的企业表示,如果供应商没有购买网络保险,他们会重新考虑要不要建立合作关系。
网络安全事件很容易造成巨大的收入损失。IT系统宕机可导致工作中断,潜在客户很可能就去探索其他选择了。损失知识产权和损害公司品牌声誉的事也有可能发生。此外,如果愤怒的客户提起诉讼,往往还会造成法律影响。有时候甚至政府实体都会参与其中。
网络保险的起源可追溯至起码25年前。那个时候,一些科技公司购买了错误与遗漏(E&O)保险,该保险承保提供服务过程中的专业错误所引发的索赔。随着时间的推移,承保范围逐渐扩大,涵盖了计算机系统未授权访问和数据破坏等。
再后来,保单里又增加了其他的承保项目,例如机密信息泄露。零售商和医院这种手握大量客户数据却不需要错漏险的机构对此类保险尤为感兴趣。这些公司需要一份只承保数据泄露的独立保单。今天的网络安全保单便脱胎于此。
现在网络保险的成本部分基于网络攻击的频率、严重程度和所造成的损失,而所有这些都在上升。保险公司开始挑投保人和投保内容了。近些年来,对于学术机构和医疗保健行业等高风险组织和行业,很多保险公司调低了保险限额并/或提高了保费。
保险公司还收紧了保单条款和条件,希望日渐主要与能展现较强网络安全成熟度的实体合作。当下他们可能希望看到的是特定安全软件已就位,且有专职网络安全团队和/或与网络安全管理公司建立了紧密合作关系。
在寻求网络保险之前,企业需要正式确立自己的安全措施。其中,保险商希望企业定期测试异地和本地备份,且制定有网络事件响应计划。
可以预见,在满足这些要求方面,资源较少的小公司比大公司面临更多的困难。《华尔街日报》最近针对网络安全专业人士进行的一项调查指出,只有52%的小企业拥有网络安全保险,而大企业这一比例为75%。劳动力短缺、供应紧张和通货膨胀,甚至新冠肺炎疫情的持续影响,都给小企业带来了更大伤害。
小企业投保时,保险公司可能会在已设置何种防护措施方面给予他们更多回旋余地,但通常仍要求员工和第三方采用多因素身份验证。向销售保险的科技公司(所谓的“保险科技公司”,重度依赖人工智能)购买保险对小企业而言可能更好一些。但此类保险科技公司的客户仍面临着不断改善自身网络安全状况才能继续投保的压力。
尽管很多保险公司认为他们不能不投保网络风险,但近期可能会出现更多阻碍。美国政府问责局(GAO)最近的一份报告表明,目前尚不确定网络保险是否能达到普惠的程度。GAO还补充道:“一些保险公司已经开始限制为某些关键基础设施行业提供的保险范围了。”
随着保险费率不断攀升,保险范围越收越窄,网络保险可能变得越来越难以获得。希望事情不会变得如此糟糕,也希望如果真的到了这步田地,政府会介入帮助,提供网络保险补贴什么的。