網(wǎng)絡(luò)攻擊泛在化、復(fù)雜化、常態(tài)化形勢(shì)下，網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)發(fā)展迎來風(fēng)口，可以預(yù)見未來會(huì)有更多的保險(xiǎn)機(jī)構(gòu)進(jìn)入到這一新興市場(chǎng)。然而，產(chǎn)品定價(jià)難、專業(yè)人才稀缺、服務(wù)標(biāo)準(zhǔn)化難等“絆腳石”問題猶存，網(wǎng)絡(luò)安全保險(xiǎn)路在何方？也有專家認(rèn)為網(wǎng)絡(luò)安全保險(xiǎn)作為一項(xiàng)正在興起的行業(yè)，許多現(xiàn)有客戶可能就是小白鼠。網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)的基本問題說起來容易，解決起來很難。收入（保費(fèi)）必須超過支出（索賠）約30%（運(yùn)營(yíng)成本+利潤(rùn)）。如果索賠額增加，那么保險(xiǎn)費(fèi)也必須保持保險(xiǎn)模式的可行性。以保促防、防保結(jié)合的探索才剛剛開始。

　　網(wǎng)絡(luò)犯罪的成本正在急劇上升，而且多年來一直如此。不斷增加的保費(fèi)來對(duì)抗不斷增加的索賠最終是不可持續(xù)的。遲早，保險(xiǎn)的成本會(huì)讓它變得過于昂貴，無法成為一種有效的企業(yè)風(fēng)險(xiǎn)管理模式式。因此，如果保險(xiǎn)行業(yè)想要成功，就必須找到另一種平衡其收支的方法。

　　有一個(gè)潛在的解決方案。降低成本（索賠）比增加銷售（保費(fèi)）提高盈虧比率要快得多。這是保險(xiǎn)業(yè)目前正在考慮的領(lǐng)域。首先，可以通過增加保單中的排除條款來降低成本，但這降低了保險(xiǎn)作為風(fēng)險(xiǎn)管理工具的價(jià)值，而且它的使用是有限的。其次，如果客戶的安全狀況能夠得到充分改進(jìn)以減少索賠，那么保險(xiǎn)成本也可以降低（或至少維持在當(dāng)前水平）。

　　一、當(dāng)前網(wǎng)絡(luò)安全保險(xiǎn)面臨的主要問題

　　根據(jù)穆迪公司（Moody 's）的研究（2021年10月19日），“勒索軟件攻擊的擴(kuò)散增加了網(wǎng)絡(luò)保單的損失，2021年保險(xiǎn)公司的損失可能會(huì)增加。盡管保險(xiǎn)公司一直在逐步提高網(wǎng)絡(luò)保險(xiǎn)的定價(jià)，但為了應(yīng)對(duì)勒索軟件的趨勢(shì)，費(fèi)率的上漲在2021年開始加速，保險(xiǎn)覆蓋范圍的評(píng)級(jí)增幅達(dá)到了兩位數(shù)。保險(xiǎn)公司也降低了保單限額，增加了免賠額，并收緊了條款和條件，包括次級(jí)限額或共同保險(xiǎn)，以降低受到勒索軟件的風(fēng)險(xiǎn)?！?/p>

　　對(duì)于行業(yè)和保險(xiǎn)公司來說，勒索軟件是當(dāng)前的最大威脅。但這并不是唯一的威脅。BEC（商業(yè)電子郵件欺騙）也會(huì)造成巨大且不可預(yù)測(cè)的損失--許多研究人員認(rèn)為，隨著深度造假技術(shù)的改進(jìn)，BEC將在2022年擴(kuò)大規(guī)模。

　　在大多數(shù)保險(xiǎn)市場(chǎng)，保險(xiǎn)公司擁有數(shù)百年的海上、汽車、家庭和人壽保險(xiǎn)損失及其原因的數(shù)據(jù)。這些數(shù)據(jù)作為精算表的基礎(chǔ)，提供了準(zhǔn)確的證據(jù)，可根據(jù)這些證據(jù)為個(gè)別案件確定保費(fèi)。但網(wǎng)絡(luò)行業(yè)卻沒有這樣的精算表；而且它們不太可能被收集到。

　　“我不認(rèn)為保險(xiǎn)行業(yè)可以創(chuàng)建網(wǎng)絡(luò)安全精算表，”Cowbell保險(xiǎn)主管克里斯·里斯（Chris Reese）評(píng)論道?！帮L(fēng)險(xiǎn)是不可預(yù)測(cè)的。威脅行為者很聰明，他們一直在尋找利用受害者的新方法。是的，我們正在進(jìn)步，我們有了更多的數(shù)據(jù)--但三年前的損失經(jīng)驗(yàn)與今天無關(guān)。保險(xiǎn)業(yè)會(huì)像汽車業(yè)一樣得到精算表嗎？我認(rèn)為這不會(huì)發(fā)生?！?/p>

　　沒有歷史數(shù)據(jù)可以幫助，網(wǎng)絡(luò)保險(xiǎn)行業(yè)無法主動(dòng)設(shè)定準(zhǔn)確的保費(fèi)。它被迫做出反應(yīng)--正通過設(shè)置更高的保費(fèi)和保險(xiǎn)條件來應(yīng)對(duì)索賠的增加。簡(jiǎn)而言之，購(gòu)買保險(xiǎn)越來越昂貴，續(xù)保越來越困難，有時(shí)甚至是不可能的。

　　但是，盡管網(wǎng)絡(luò)保險(xiǎn)的成本不斷上升，覆蓋范圍不斷縮小，市場(chǎng)卻在迅速擴(kuò)張。2021年5月，美國(guó)政府問責(zé)局（US Government Accountability Office）發(fā)布了全球保險(xiǎn)經(jīng)紀(jì)公司達(dá)信（Marsh）的數(shù)據(jù)，顯示從所有行業(yè)來看，客戶購(gòu)買網(wǎng)絡(luò)保險(xiǎn)的比例從2016年的26%上升到2020年的47%。

　　主要原因是網(wǎng)絡(luò)犯罪的持續(xù)增長(zhǎng)和成功。據(jù)估計(jì)，網(wǎng)絡(luò)犯罪已經(jīng)給全球經(jīng)濟(jì)造成了數(shù)萬億美元的損失，預(yù)計(jì)未來幾年還將繼續(xù)增長(zhǎng)。對(duì)于保險(xiǎn)行業(yè)來說，要在更大的市場(chǎng)覆蓋不斷增加的索賠，它需要做的不僅僅是不斷提高保費(fèi)--唯一可行的解決方案是通過改善客戶的網(wǎng)絡(luò)安全來減少索賠。關(guān)鍵問題已不在是是否會(huì)這樣做，而在于將如何這樣做。

　　二、網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)的可能路線

　　支付卡行業(yè)有一個(gè)安全標(biāo)準(zhǔn)（PCIDSS），所有公司都必須遵守這個(gè)標(biāo)準(zhǔn)，才能接受銀行卡支付。提高被保險(xiǎn)人安全性的一個(gè)途徑可能是開發(fā)類似的安全標(biāo)準(zhǔn)并要求符合。

　　這在英國(guó)的汽車保險(xiǎn)業(yè)是有先例的。司機(jī)投保前，車輛必須先通過交通運(yùn)輸部（MoT）的設(shè)計(jì)測(cè)試，并取得MoT證書。保險(xiǎn)是法律所要求的，所以考試也是法律所要求的，而且保險(xiǎn)行業(yè)受益。

　　在美國(guó)沒有直接的類似規(guī)定，但一般來說，汽車保險(xiǎn)必須包括第三方責(zé)任。

　　目前沒有法律要求企業(yè)提供網(wǎng)絡(luò)保險(xiǎn)，但這在未來可能會(huì)發(fā)生，這并非不可想象。途徑可能是政府希望通過某種形式的由保險(xiǎn)支持的第三方責(zé)任保護(hù)來保護(hù)他們的選民（消費(fèi)者）。

　　法律要求的保險(xiǎn)將受益于一份價(jià)值證書，如英國(guó)的機(jī)動(dòng)車檢驗(yàn)證書。這種證書將有效地讓客戶要求保險(xiǎn)公司通過經(jīng)過驗(yàn)證的高安全性降低保費(fèi)，而保險(xiǎn)公司則提供更低的保費(fèi)。

　　Qualys的總裁兼首席執(zhí)行官Sumedh Thakar認(rèn)為，這樣的事情可能會(huì)自然發(fā)展，但他強(qiáng)調(diào)，現(xiàn)在還為時(shí)過早，不知道它將如何發(fā)生，也不知道它可能涉及什么。他告訴《安全周刊》：“對(duì)這條路線的興趣似乎主要來自客戶。”“如果我這樣做，那樣做，我的保費(fèi)不應(yīng)該減少嗎？”在行業(yè)層面上還沒有做很多工作，但我認(rèn)為基本原則是有效的。如果你能證明你在保護(hù)房屋，你就能獲得更便宜的房屋保險(xiǎn)?！?/p>

　　PCI類型標(biāo)準(zhǔn)的一個(gè)潛在弱點(diǎn)是，它只要求在審計(jì)日符合要求--相關(guān)公司可能會(huì)在一年中的其他時(shí)間不符合要求，因此違反的風(fēng)險(xiǎn)會(huì)增加。

　　里斯并不認(rèn)為這是一個(gè)嚴(yán)重的問題。她告訴《安全周刊》：”一年中不止一天需要PCI。“”符合的要求是365天。如果存在網(wǎng)絡(luò)安全漏洞，并且這是由于或潛在地由于零售商缺乏安全而造成的，那么品牌（對(duì)于PCI，支付卡行業(yè)）可以扣留現(xiàn)金?！八恼擖c(diǎn)是，如果證明由于不符合保險(xiǎn)標(biāo)準(zhǔn)而發(fā)生的違約足以確保公司持續(xù)遵守，則威脅拒絕索賠。

　　問題仍然是，保險(xiǎn)安全標(biāo)準(zhǔn)是否足以減少被保險(xiǎn)人的索賠，以允許保險(xiǎn)業(yè)將保費(fèi)保持在當(dāng)前或更低的水平？趨勢(shì)科技（Trend Micro）市場(chǎng)戰(zhàn)略和企業(yè)發(fā)展主管埃里克？斯金納（Eric Skinner）表示：”PCI無疑提高了許多公司的網(wǎng)絡(luò)安全門檻?！暗@并沒有神奇地解決問題。你可以通過PCI審計(jì)，但還是會(huì)被入侵。支付卡行業(yè)面臨的問題是，這樣做是否足夠降低違規(guī)的可能性？”

　　只有時(shí)間才能告訴我們，保險(xiǎn)行業(yè)是否能夠開發(fā)、維護(hù)并要求符合可靠的安全標(biāo)準(zhǔn)。

　　三、要求特定的控制

　　保險(xiǎn)行業(yè)的另一種方法是對(duì)個(gè)人客戶要求不同的控制。這將比單一的全面標(biāo)準(zhǔn)更加靈活，因?yàn)樗赡茉诓煌拇怪毙袠I(yè)之間根據(jù)對(duì)風(fēng)險(xiǎn)的感知而有所不同。也可以根據(jù)保險(xiǎn)合同的規(guī)定，在續(xù)簽時(shí)或每年進(jìn)行修訂。

　　這里可能存在的一個(gè)擔(dān)憂是，保險(xiǎn)可能會(huì)干擾客戶的安全狀況?！斑@是一個(gè)合理的擔(dān)憂，”斯金納說，“因?yàn)槠渲幸恍┮呀?jīng)發(fā)生了--網(wǎng)絡(luò)保險(xiǎn)影響網(wǎng)絡(luò)安全的過程已經(jīng)在某種程度上開始了?！?/p>

　　他指的是無處不在的問卷調(diào)查，在這種情況下要求客戶陳述其安全狀況?！熬拖衲甓群弦?guī)審計(jì)一樣，”斯金納繼續(xù)說，“這些調(diào)查問卷是及時(shí)的快照--它們提出的問題可能會(huì)降低風(fēng)險(xiǎn)，也可能不會(huì)，因?yàn)楸ｋU(xiǎn)行業(yè)仍在學(xué)習(xí)安全知識(shí)。”

　　“例如，‘你們部署了EDR嗎？’我們從一些保險(xiǎn)經(jīng)紀(jì)人那里聽說，如果客戶對(duì)此說‘不’，他們被拒絕或不能續(xù)保的風(fēng)險(xiǎn)非常高?！眴栴}是安全性不是通過部署控件來增強(qiáng)的，而是通過正確地實(shí)現(xiàn)它們、充分地使用它們并確保它們是最新的。這些都不能通過問卷調(diào)查來衡量?！拔也淮_定這些問題目前是否能帶來保險(xiǎn)公司所期望的好處?！?/p>

　　從邏輯上講，詢問安全姿態(tài)的延伸就是開始堅(jiān)持落實(shí)某些控制措施。這將是一大步。為了有效，它將要求保險(xiǎn)公司擁有CISO的能見度，董事會(huì)的業(yè)務(wù)理解，以及每一家保險(xiǎn)公司的CFO的錢袋。這對(duì)保險(xiǎn)公司來說太貴了，對(duì)客戶來說也太麻煩了。

　　四、實(shí)現(xiàn)持續(xù)的監(jiān)控

　　保險(xiǎn)行業(yè)根據(jù)第三方安全掃描公司的建議來支付保費(fèi)，這些公司包括Qualys、BlueVoyant、immuneweb、Outpost24、SecurityScorecard等。這可以提供一種持續(xù)的姿勢(shì)監(jiān)測(cè)；審計(jì)安全保險(xiǎn)標(biāo)準(zhǔn)和基于問卷的方法都缺少一些東西。它還承諾減少干擾，因此更容易被客戶接受。保險(xiǎn)公司可以簡(jiǎn)單地說，我們的掃描顯示你在這些方面很弱：加強(qiáng)這些方面，你就有資格享受較低的保費(fèi)。

　　缺點(diǎn)是大多數(shù)掃描只能看到客戶基礎(chǔ)設(shè)施的外部視圖。這仍然是有效的，因?yàn)檫@是黑客看到的相同的視圖，加強(qiáng)所有可見的弱點(diǎn)使黑客很難找到入口點(diǎn)。

　　外部監(jiān)視的一個(gè)進(jìn)步是對(duì)整個(gè)基礎(chǔ)設(shè)施的內(nèi)部連續(xù)監(jiān)視。Cowbell公司目前提供這種服務(wù)，該公司使用人工智能引擎掃描網(wǎng)絡(luò)內(nèi)部的姿勢(shì)弱點(diǎn)。它返回的信息可以用來加強(qiáng)網(wǎng)絡(luò)安全，但也可以讓保險(xiǎn)公司對(duì)投保個(gè)人客戶所需的保費(fèi)做出更智能的評(píng)估。

　　從某種意義上說，Cowbell是一個(gè)保險(xiǎn)經(jīng)紀(jì)人的助手。它為經(jīng)紀(jì)人提供必要的信息，以便他們從潛在的保險(xiǎn)公司中協(xié)商出可能的最佳保費(fèi)。

　　五、網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)的未來

　　網(wǎng)絡(luò)保險(xiǎn)仍在發(fā)展中，這意味著許多現(xiàn)有客戶實(shí)際上是小白鼠。目前不斷增加保費(fèi)和免除責(zé)任以抵消不斷增加索賠的模式是不可持續(xù)的。但保險(xiǎn)公司知道這一點(diǎn)，正在積極尋求現(xiàn)實(shí)的解決方案。

　　他們最終會(huì)成功的。參與這一過程的各方都希望得到同樣的結(jié)果：在降低網(wǎng)絡(luò)犯罪損失的同時(shí)提高安全性。

　　Resilience首席執(zhí)行官Vishaal Hariprasad認(rèn)為，解決方案將伴隨著被保險(xiǎn)人、網(wǎng)絡(luò)安全和保險(xiǎn)公司之間的新關(guān)系而來。他于2016年進(jìn)入保險(xiǎn)業(yè)，此前在帕洛阿爾托網(wǎng)絡(luò)公司（Palo Alto Networks）擔(dān)任威脅情報(bào)架構(gòu)師。他過去和現(xiàn)在都是美國(guó)空軍預(yù)備役的網(wǎng)絡(luò)作戰(zhàn)官，也是（IMA）運(yùn)營(yíng)總監(jiān)。

　　“在2016年，”他告訴《安全周刊》（SecurityWeek），“你可以買一份100萬美元的網(wǎng)絡(luò)保險(xiǎn)，他們會(huì)問你，你的IT人員在嗎？你們買防火墻了嗎？”他們從來沒有問過防火墻是否打開了，因?yàn)楫?dāng)時(shí)的保險(xiǎn)行業(yè)根本不在乎。“

　　這是必須改變的。”保險(xiǎn)公司需要知道，你的防火墻是否打開了？它總是被修補(bǔ)嗎？你是否一直在輸入正確的數(shù)據(jù)？你在監(jiān)視他們嗎？“需要的是保險(xiǎn)人和被保險(xiǎn)人之間一種新的合作關(guān)系。

　　就其本身而言，保險(xiǎn)業(yè)需要與標(biāo)準(zhǔn)機(jī)構(gòu)、控制機(jī)構(gòu)，特別是與信息共享組織保持一致?！北ｋU(xiǎn)公司應(yīng)該能夠利用這種水平的信息共享和標(biāo)準(zhǔn)收集，并將它們落實(shí)到政策中。并將其應(yīng)用到整體風(fēng)險(xiǎn)轉(zhuǎn)移方案中，不僅僅是保險(xiǎn)，還包括損失控制和風(fēng)險(xiǎn)工程服務(wù)，幫助實(shí)現(xiàn)這一目標(biāo)?！?/p>

　　實(shí)際上，保險(xiǎn)公司需要通過與威脅信息共享機(jī)構(gòu)的關(guān)系，成為其客戶的網(wǎng)絡(luò)安全顧問。由于被保險(xiǎn)人和保險(xiǎn)公司都尋求同一個(gè)目標(biāo)--更好的網(wǎng)絡(luò)安全--這可以以雙方都能接受的方式實(shí)現(xiàn)，而不是殷勤地侵入。

　　Hariprasad認(rèn)為，成功的網(wǎng)絡(luò)保險(xiǎn)的關(guān)鍵是參與和持續(xù)監(jiān)控：被保險(xiǎn)人和保險(xiǎn)公司之間的合作參與，充分了解威脅景觀，以及持續(xù)監(jiān)控網(wǎng)絡(luò)控制，以減輕威脅。

　　他說：”很多人仍然抱著舊有的思維方式，認(rèn)為一旦建立了一個(gè)項(xiàng)目，就會(huì)忘記它，只擔(dān)心一兩年后的更新。我認(rèn)為這就是危險(xiǎn)所在?！?/p>

　　網(wǎng)絡(luò)保險(xiǎn)和網(wǎng)絡(luò)安全必須學(xué)會(huì)協(xié)調(diào)工作，而不是相互替代。保險(xiǎn)公司必須成為受保人董事會(huì)值得信賴的顧問--董事會(huì)必須學(xué)會(huì)與保險(xiǎn)公司合作，以改善其安全衛(wèi)生，改善其網(wǎng)絡(luò)安全，并賺取盡可能低的保費(fèi)。