网络保险可帮助组织减少与网络攻击(例如数据泄露、勒索软件和拒绝服务 (DoS) 攻击)相关的财务损失和责任。网络保险公司在签订合同之前评估组织的安全状况。通常,组织的安全态势越强,覆盖范围和政策条款就越好。前段时间,我们在《保险:煤矿里的金丝雀》也引述了有关网络保险的一些观点,那么我们今天再结合国外有关网络保险的一些素材,看看网络保险的内容与价值。
为什么公司需要网络保险?
今天发生的网络攻击比以往任何时候都多。妥协的风险处于历史最高水平。为了抵御网络入侵,对于每个公司(无论规模大小或行业)而言,不断增强其安全前景至关重要。
但有时,即使是先进的保护措施也无法抵御高度复杂的网络攻击。可以肯定地说,您无法构建不受恶意攻击影响的基础设施。
为了管理这种风险,组织转向经典的对冲机制:保险。无论是监管要求还是首席风险官 (CRO) 对风险的敏锐理解,网络保险都有助于将风险降低到组织可承受的水平。
网络保险承保的风险因保单而异。网络攻击可能会导致重大财务损失,包括调查和恢复成本、法律费用以及受影响客户的潜在赔偿。网络保险公司可以帮助支付这些费用,并提供额外的支持以从漏洞中恢复。
此外,网络事件可能会损害公司的声誉并导致客户失去信任。网络保险范围还可能包括公共关系和营销活动的费用,以帮助修复公司形象并恢复客户信心。
网络保险涵盖什么?
网络保险单的成本和承保范围可能会根据合同谈判和公司的网络安全状况等因素而有所不同。话虽如此,典型的责任保单可能涵盖:
-
确定违规性质、原因和程度的调查和取证分析成本
-
为受影响的客户提供通知和信用监控服务
-
与恢复暴露的数据和受损系统相关的成本
-
停机、财产损坏或数据丢失造成的业务中断损失
-
与攻击相关的法律和监管成本(例如,如果公司被起诉,保险公司可能会聘请律师事务所)
-
公共关系和危机管理费用,以避免任何不当行为诉讼并帮助重建品牌形象
-
供应链成本:与任何第三方集成相关的成本(例如,如果公司系统中的漏洞传播到其合作伙伴的基础设施中,公司可能需要对第三方损害承担责任)
现实生活中的网络责任保险
一家能源行业的大公司成为 Ryuk 勒索软件攻击的受害者。Ryuk 绕过了网络安全并加密了核心系统和数据,使其无法使用。恶意行为者索要大量赎金来换取解密密钥。
幸运的是,该公司有数据泄露保险。该保险公司组建了一个网络专家小组,其中包括损失理赔员、法务会计师和一家专门从事勒索软件攻击的公司。该小组成功地将 Ryuk 勒索软件从该公司的网络中彻底删除。保险业务还支付恢复费用,其中包括员工加班费和数据重建费用。
选择保险单时要考虑的重要事项
网络保险行业的公司提供广泛的网络保险政策。在为您的企业选择一种方案时,请考虑以下因素:
满足最低安全标准
在申请网络保险之前,请花一些时间评估您的基础设施并确定可以改进安全性的领域。请记住,保险供应商将在对您的基础设施进行安全审核后提供保险。如果您未通过审核,您可能没有资格获得承保。
通过提高安全标准,您可能有资格获得更多保险优惠,从而使您能够货比三家,找到适合您需求的保单。由于这仍然是一个新兴市场,定价、条款和条件存在很大差异,因此请务必申请、接收和比较竞争报价。
在建立最低安全标准时,保险公司正在寻找多重身份验证、特权访问管理和Active Directory 安全等解决方案。确切的要求列表有所不同,但总的来说,保险公司正在寻找成熟的身份和访问管理系统,以及强大的备份和灾难恢复功能。寻求最佳网络保险条款的组织应考虑投资这些技术以满足安全基线。
覆盖范围
保险政策可能会根据攻击类型和公司的风险状况而有所不同。例如,数据泄露政策通常涵盖通知费用、信用监控和取证调查。社会工程政策涵盖因社会工程攻击(例如网络钓鱼攻击或诱饵)造成的损失。错误和遗漏保险承保因疏忽或工作不足而造成的责任索赔。
根据您的合规性和商业责任要求,您可以选择一项或多项保险单的组合。
保费
作为企业主,您在评估保单时还可以考虑保费成本。请务必阅读细则并了解您可能需要承担的任何免赔额或共付额。
声誉
选择一家可靠的保险提供商,该提供商具有及时、公平支付赔偿索赔的良好记录。其他客户对他们有何评价?他们容易合作吗?他们对客户投诉的回应如何?他们提供保险背书吗?
局限性
该保单是否有任何已知的排除或限制?获得福利必须满足哪些条件或要求(如果有)?
网络保险如何保护您的公司?
以下是网络保险单可以保护您的企业的一些方式:
-
数据:数据可以说是公司最有价值的资产。当您购买数据泄露保单时,保险公司会确保您遵循保护数据的最佳实践。如果确实发生违规,保险公司将聘请专家恢复数据并承担任何相关费用
-
业务连续性:网络攻击可能会中断日常业务,导致收入和利润损失。一些保单为这种损失提供承保,还有助于创建和更新灾难恢复和业务连续性计划。
-
系统和设备:网络保险提供商还协助恢复受损的系统和设备
-
定期风险评估:一些网络保险公司还对公司基础设施进行定期风险评估,以帮助识别任何漏洞并改善其安全状况
-
减轻财务损失:数据泄露的平均成本为 435 万美元。通过制定正确的政策,您可以减轻其中很大一部分损失。
数据泄露保险如何运作?
以下是典型的数据泄露保险的运作方式:
-
组织申请数据泄露政策
-
保险供应商对组织的基础设施进行安全评估
-
如果审核成功,供应商和组织将开始合同谈判。如果失败,供应商通常会向组织建议安全改进
-
合同签订,组织开始按月或按年付款
-
如果发生事件,组织通知供应商
-
供应商发起调查以确定违规原因以及公司的承保范围
-
供应商帮助组织纠正这种情况
-
如果适用,供应商会向组织提供经济补偿。这可能包括与数据丢失、业务中断、法律服务和监管罚款相关的成本
结论
网络保险使企业能够有效地从网络事件中恢复过来。良好的保险政策可以帮助减轻财务损失、减少停机时间、恢复加密系统并修复受损的品牌形象。
原文始发于微信公众号(河南等级保护测评):网络安全知识:什么是网络保险?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论