本文来自微信公众号“安全419”。
网络安全保险兴起于上世纪90年代末,当美国国际集团(AIG)在1997年推出第一份网络保险单时,保险市场打开了一个新兴险种领域。而国内网络安全保险起步略晚,目前仍处于市场探索期。网络安全保险在国家政策和企业行政领导的推动下,正在成为商业安全战略中不可或缺的部分。
据Delinea的最新研究调查,去年,47%的企业购买了网络安全保险产品,较前年增加了4%。目前,每年数据泄露损失平均为45万美元。面对日益增长的网络安全威胁,任何企业都无法保证“万无一失”。网络安全保险作为企业实现风险转移的有效手段之一,在支付法律咨询服务、调查溯源安全事故、事后响应补救等方面可以发挥重要作用,同时使董事会、企业领导及投资者安心落意。
网络保险需求激增承保要求趋严
随着勒索软件、网络钓鱼和DDoS的频繁出现和日益严重,企业对网络安全保险的需求也在不断加大。不少企业制定了相关策略降低其网络安全风险,预计未来全球网络保险的市场价值可能会翻一番,达到403亿美元。
一方面,这表明更多公司正在采取措施保护其业务。另一方面,也表明保险价格正在持续上涨。保险公司从客户经历的安全事件中学习总结,向潜在客户提供最具吸引力的条款并不断提升其参保要求。就此,一项研究表明,需要半年或半年以上的时间才能获保的企业数量增加。意向参与保险和续保的企业应该充分了解细则和承保范围,以及索赔的具体规定。
纵然保险公司在不断迭代更新其产品,但他们对有意向参与保险和已参与保险的企业的参保要求逐渐严格。
因此,企业在申请网络安全保险时,应该明白获得保单在很大程度上取决于现有的安全基础设施和安全工作。那么,企业应如何提升自身安全水位?
企业申请网络安全保险的前提条件
随着保险服务商愈加了解网络安全的复杂性,企业在申请之前进行网络风险全面评估及治理已成为承保的先决条件。例如,美国的保险公司在确定具体细则时更多参考NIST网络安全框架。因此,企业应该关注几个关键领域,以增加参保机会。
在申请保险之前,企业必须充分了解可能会遇到的网络风险。需进行全面的网络安全风险评估以查明漏洞,并确定网络风险承受能力。
各企业应采取强有力的防范措施(例如恶意软件防御和明确的数据安全策略)来保护其关键资产。身份安全尤其重要,Delinea的研究显示,仅有49%的公司具有身份访问管理(IAM)和特权帐户管理(PAM)的策略。
除此之外,使用MFA(多因素身份验证)可以极大减少系统入侵、敏感数据泄露、身份盗窃、网络钓鱼和其他欺诈活动的风险和可能性,如果企业使用MFA安全方式,当外部攻击来临时,即便攻击者获得了用户名和密码,他们仍然需要另一种或多种其他因素才能成功登录。
风险监测与响应计划
与此同时,企业应对风险和违规的检测能力也同等重要,尤其是涉及电脑终端和云服务器等端点的风险和违规行为。网络安全风险可能因内外部环境变化而发生变化,应开展相应的风险监测和预防活动,及时了解风险变化情况,可采取相应措施将风险的变化控制在合理范围。
保险公司还密切关注企业的响应计划,这对于承保也起着重要作用。保险公司严格评估企业恢复运营的计划,以及他们将如何利用网络事件来汲取经验并进行整改。
网络安全保险正在成为不可或缺的资产,网络风险趋势没有减弱的迹象。但是,购买保险不仅仅是填写申请表,无论选择哪个供应商,企业都需要展示其网络安全态势。不管是履行网络安全保障义务还是购买保险,进行风险评估,适时优化安全策略,都是有备无患之良方。