各种类型的网络攻击对所有组织来说都是一个越来越大的问题,因此许多组织正转向网络保险,作为防范事件影响的一种手段。但是什么是网络保险,它是如何工作的,以及在决定网络保险政策时,您的业务需要考虑哪些事项?
网络保险(也称为网络责任保险)是一种保险政策,有助于保护组织免受网络攻击和黑客威胁的影响。拥有网络保险有助于将网络事故及其后果期间的业务中断降至最低,以及可能支付处理攻击和从攻击中恢复的某些要素的财务成本。
另外:勒索软件攻击后遵循的标准程序,一个组织目前可能面临的最具破坏性和破坏性的事件之一。
一些网络保险公司也承担了实际屈服和支付赎金的成本,尽管这是执法部门和信息安全行业不建议的,因为这只会鼓励网络犯罪分子实施更多的攻击。
“保险公司会考虑潜在的事件应对和法医费用,在很多情况下,这会更大,因为组织没有做好准备,所以他们实际上宁愿付钱。这很令人沮丧,“特雷莎•佩顿(Theresa Payton)说,她曾是小布什政府的白宫首席信息官,也是网络安全公司Fortalice Solutions的创始人兼首席执行官。
商务邮件泄露(BEC)网络钓鱼欺诈是另一种网络攻击形式,它会给企业带来巨大的损失,有时甚至是六位数。在这些攻击中,犯罪分子冒充首席执行官、供应商或其他受信任的联系人,欺骗他人转移支付。
asDDoS攻击
NCSC还指出,如果您的组织
对于那些不属于网络保险范围的组织来说,有些事情可能很重要,了解哪些内容不属于网络保险范围是非常重要的,因此保护这些资产可以得到适当的管理。
“与真正的风险数额相比,网络保险仍然是有限的。因此,不要认为所有形式的网络风险都在保险范围内,”卡内基国际和平基金会技术与国际事务项目网络政策倡议研究员乔恩·贝特曼说。
知识产权损失造成的经济损失不在网络保险范围内,网络保险也不在保险范围内网络攻击后可能产生的声誉成本。
例如,网络保险可以支付与处理网络攻击直接后果相关的成本,但从长远来看,由于公众认为网络安全性差,公司可能会失去业务。一份网络保险单不包括因网络攻击而造成的坏名声而失去客户的成本。
2017年夏天,两起重大网络攻击事件接连在世界各地迅速蔓延https://www.zdnet.com/article/wannacry-ransomware-crisis-one-year-on-are-we-ready-for-the-next-global-cyber-attack/“>Wannacry勒索软件攻击在5月摧毁网络,仅仅几周后,诺佩提亚的攻击就更具破坏性了。NotPetya使世界各地的主要组织下线,估计损失了数十亿美元的收入和修复成本,在许多情况下,组织必须从头开始重建他们的网络。
这听起来像是那种会导致保险公司支付网络保险索赔的事件,因为一个组织被一个不是他们的错的事件打断了-尤其是诺佩提亚如此多产,目标不分青红皂白。
然而,一些保险公司辩称他们不必支付,因为NotPetya,a与俄罗斯军方有关的恶意软件攻击,被归类为“战争行为”,使索赔无效。其他保险供应商https://www.zdnet.com/article/notpetya-malware-attack-chaos-but-not-cyber-war/“>支付了因NotPetya造成的损失索赔。
请参见:勒索软件受害者不会向警方报告袭击事件。这造成了一个大问题
这很可能会继续是一个问题,尤其是随着网络和物理领域变得越来越难以区分,保险公司和他们的客户可能无法就应该和不应该承保的项目达成一致意见。“这是一个重大挑战市场是如何处理最极端形式的风险-重大国家赞助的攻击,大规模客户的重大灾难性事件。网络物理事件始于网络空间,但仍会影响社会。它们很难建模和定价。如果发生重大事件,它将压倒网络保险市场的能力,”贝特曼说。
网络保险不是解决网络安全问题的银弹,远远不是。事实上,为了得到一个很好的覆盖交易,您的企业可能需要证明它在第一时间与网络安全负责。保险公司不愿意接受一个看起来几乎肯定会成为数据泄露受害者的客户。
保险公司在申请保单时会想知道贵公司拥有什么样的网络安全,而且随着时间的推移,您会被要求保留有关网络安全的准确细节,因为在许多情况下,保险单每12个月重新评估一次,因此即使在购买了网络保险之后,机构仍需要确保维持适当的网络安全程序,否则就有可能失去保险。
了解哪些系统和数据对您的组织至关重要,以及了解您所拥有的保障水平是否足够也很重要。这意味着,决定网络保险单是一个超出范围的问题,也是更广泛的管理层的问题。
“与火灾或盗窃等事件不同,网络事件通常不局限于一个地点。了解您的组织如何运作以及不同部分之间的相互依赖关系对于确定可能具有全球影响的事件程度至关重要,“NCSC说。
一个组织不能因为现在有了网络保险政策就决定不再投资网络安全。
随着网络攻击的频率不断增加,网络犯罪分子越来越厚颜无耻,网络保险的运作方式也将不断演变。如前所述,网络保险提供商不太可能希望向不太关注其网络安全的组织提供保单。
支付保险索赔是一种纯粹的反应性活动,对保险提供商来说成本高昂。这就是为什么有些人开始对网络安全采取更积极主动的态度,不仅在出现问题时提供赔付,而且积极帮助客户采取更好的网络安全方式。
“整个保险业正在从最后贷款人和赔付人的地位转变,更像一个风险顾问和合作伙伴为您的业务运营。保险公司现在把黑匣子放在你的车里来追踪驾驶行为——他们希望定价更准确,最好能改变你的行为,”维斯说,“同样的情况也发生在网络保险领域。他们想确保你作为一个公司适应风险。这是审计、保护和防止损失的混合体,”他补充道。
通过注册,您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>使用条款,并确认隐私政策
您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。
您同意接收CBS系列公司的更新、提醒和促销活动,包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅。
zigbee inside the mars persistence mission and your smart home
