不斷變化的威脅形勢、監(jiān)管要求、技術(shù)環(huán)境會對公司的風險概況產(chǎn)生巨大影響，靜態(tài)的安全評級得分無法反映這些變化。

　　安全評級服務(wù)已成為公司評估自身以及合作伙伴網(wǎng)絡(luò)安全狀況的一種流行方式。它們不僅對于建立數(shù)據(jù)能力基線很有幫助，還經(jīng)常在其他場合被用到。例如，它們在董事會中充當描述公司網(wǎng)絡(luò)風險狀況的“吸睛點”，被供應(yīng)鏈伙伴用來管理第三方風險，甚至更可怕的是，被保險公司用來為網(wǎng)絡(luò)保險單生成風險概況。

　　不幸的是，公司按照這種方式使用這些評級，就像僅僅看著室外溫度就說“今天會是個好天氣”一樣——這是一種不完整的評估，通常會犯下嚴重的錯誤。說到底，你公司的“A-”或“B-”評級到底意味著什么？它是否真正反映了公司的安全性？通常情況下答案是否定的。所以說，使用這些評分的網(wǎng)絡(luò)保險公司依賴的其實是對目標公司風險的不準確評估。

　　接下來我們深入研究這個問題，以下是網(wǎng)絡(luò)保險公司應(yīng)當重新考慮是否使用安全評級的三個原因。

　　1. 評級是對某個時間點的評價

　　安全等級評估在特定的時間點進行——這就意味著無法洞察未來可能發(fā)生的事情，甚至可能都無法準確反映那個時間點。舉一個簡單的例子，也許在進行安全等級評估時，這家公司的供應(yīng)鏈公司中已在不知情的情況下被攻破。

　　2. 評級沒有考慮到不斷變化的威脅形勢

　　聯(lián)邦調(diào)查局報告說，2020年由于新冠疫情，勒索軟件攻擊比前一年猛增400%，贖金金額從數(shù)千美元上升到數(shù)百萬美元。沒有人能夠預(yù)料到這種局面。威脅環(huán)境中類似這樣的微小變化就徹底顛覆了所有公司的風險計算公式。這是風險暴露重要組成部分，任何公司都必須加以考慮，但安全評級卻沒有做到。

　　3. 評級不是一種正確的基準值

　　網(wǎng)絡(luò)安全威脅是動態(tài)變化的，并且應(yīng)對風險的策略也因行業(yè)而異，這使得保險公司很難計算特定的公司風險概況。例如，汽車保險業(yè)可以利用數(shù)億司機數(shù)十年的數(shù)據(jù)來為每個人建立風險檔案。他們清楚，假設(shè)客戶年齡在16-19歲之間，發(fā)生特定數(shù)量事故的概率是有據(jù)可查的，保費也反映了這一點。但在網(wǎng)絡(luò)保險行業(yè)中沒有類似的基準，所以安全評級成為了一個誘人的替代品，因為它們易于使用，并且安全分數(shù)“一目了然”。

　　那么，網(wǎng)絡(luò)保險公司如何做才能更準確地計算風險呢？既然沒有靈丹妙藥，保險公司就需要在這一點上花費更多的時間和金錢來開發(fā)出更準確的風險概況，只有這樣才能提供既對他們有利、也對客戶有用的保單。

　　這個過程同時需要人工和自動化的風險評估。風險的計算必須針對特定的公司、其行業(yè)和合作伙伴、當前的網(wǎng)絡(luò)威脅情況，以及威脅者可能利用的其他外部因素（如全球疫情爆發(fā)）來定制。只有這樣，網(wǎng)絡(luò)保險公司才能很好地進行風險評估，將網(wǎng)絡(luò)保險打造成為一個值得信賴的成功行業(yè)。