網(wǎng)絡(luò)攻擊泛在化、復(fù)雜化、常態(tài)化形勢下，網(wǎng)絡(luò)安全保險行業(yè)發(fā)展迎來風(fēng)口，可以預(yù)見未來會有更多的保險機(jī)構(gòu)進(jìn)入到這一新興市場。然而，產(chǎn)品定價難、專業(yè)人才稀缺、服務(wù)標(biāo)準(zhǔn)化難等“絆腳石”問題猶存，網(wǎng)絡(luò)安全保險路在何方？也有專家認(rèn)為網(wǎng)絡(luò)安全保險作為一項正在興起的行業(yè)，許多現(xiàn)有客戶可能就是小白鼠。網(wǎng)絡(luò)安全保險行業(yè)的基本問題說起來容易，解決起來很難。收入（保費）必須超過支出（索賠）約30%（運(yùn)營成本+利潤）。如果索賠額增加，那么保險費也必須保持保險模式的可行性。以保促防、防保結(jié)合的探索才剛剛開始。

　　網(wǎng)絡(luò)犯罪的成本正在急劇上升，而且多年來一直如此。不斷增加的保費來對抗不斷增加的索賠最終是不可持續(xù)的。遲早，保險的成本會讓它變得過于昂貴，無法成為一種有效的企業(yè)風(fēng)險管理模式式。因此，如果保險行業(yè)想要成功，就必須找到另一種平衡其收支的方法。

　　有一個潛在的解決方案。降低成本（索賠）比增加銷售（保費）提高盈虧比率要快得多。這是保險業(yè)目前正在考慮的領(lǐng)域。首先，可以通過增加保單中的排除條款來降低成本，但這降低了保險作為風(fēng)險管理工具的價值，而且它的使用是有限的。其次，如果客戶的安全狀況能夠得到充分改進(jìn)以減少索賠，那么保險成本也可以降低（或至少維持在當(dāng)前水平）。

　　一、當(dāng)前網(wǎng)絡(luò)安全保險面臨的主要問題

　　根據(jù)穆迪公司（Moody 's）的研究（2021年10月19日），“勒索軟件攻擊的擴(kuò)散增加了網(wǎng)絡(luò)保單的損失，2021年保險公司的損失可能會增加。盡管保險公司一直在逐步提高網(wǎng)絡(luò)保險的定價，但為了應(yīng)對勒索軟件的趨勢，費率的上漲在2021年開始加速，保險覆蓋范圍的評級增幅達(dá)到了兩位數(shù)。保險公司也降低了保單限額，增加了免賠額，并收緊了條款和條件，包括次級限額或共同保險，以降低受到勒索軟件的風(fēng)險?！?/p>

　　對于行業(yè)和保險公司來說，勒索軟件是當(dāng)前的最大威脅。但這并不是唯一的威脅。BEC（商業(yè)電子郵件欺騙）也會造成巨大且不可預(yù)測的損失--許多研究人員認(rèn)為，隨著深度造假技術(shù)的改進(jìn)，BEC將在2022年擴(kuò)大規(guī)模。

　　在大多數(shù)保險市場，保險公司擁有數(shù)百年的海上、汽車、家庭和人壽保險損失及其原因的數(shù)據(jù)。這些數(shù)據(jù)作為精算表的基礎(chǔ)，提供了準(zhǔn)確的證據(jù)，可根據(jù)這些證據(jù)為個別案件確定保費。但網(wǎng)絡(luò)行業(yè)卻沒有這樣的精算表；而且它們不太可能被收集到。

　　“我不認(rèn)為保險行業(yè)可以創(chuàng)建網(wǎng)絡(luò)安全精算表，”Cowbell保險主管克里斯·里斯（Chris Reese）評論道?！帮L(fēng)險是不可預(yù)測的。威脅行為者很聰明，他們一直在尋找利用受害者的新方法。是的，我們正在進(jìn)步，我們有了更多的數(shù)據(jù)--但三年前的損失經(jīng)驗與今天無關(guān)。保險業(yè)會像汽車業(yè)一樣得到精算表嗎？我認(rèn)為這不會發(fā)生?！?/p>

　　沒有歷史數(shù)據(jù)可以幫助，網(wǎng)絡(luò)保險行業(yè)無法主動設(shè)定準(zhǔn)確的保費。它被迫做出反應(yīng)--正通過設(shè)置更高的保費和保險條件來應(yīng)對索賠的增加。簡而言之，購買保險越來越昂貴，續(xù)保越來越困難，有時甚至是不可能的。

　　但是，盡管網(wǎng)絡(luò)保險的成本不斷上升，覆蓋范圍不斷縮小，市場卻在迅速擴(kuò)張。2021年5月，美國政府問責(zé)局（US Government Accountability Office）發(fā)布了全球保險經(jīng)紀(jì)公司達(dá)信（Marsh）的數(shù)據(jù)，顯示從所有行業(yè)來看，客戶購買網(wǎng)絡(luò)保險的比例從2016年的26%上升到2020年的47%。

　　主要原因是網(wǎng)絡(luò)犯罪的持續(xù)增長和成功。據(jù)估計，網(wǎng)絡(luò)犯罪已經(jīng)給全球經(jīng)濟(jì)造成了數(shù)萬億美元的損失，預(yù)計未來幾年還將繼續(xù)增長。對于保險行業(yè)來說，要在更大的市場覆蓋不斷增加的索賠，它需要做的不僅僅是不斷提高保費--唯一可行的解決方案是通過改善客戶的網(wǎng)絡(luò)安全來減少索賠。關(guān)鍵問題已不在是是否會這樣做，而在于將如何這樣做。

　　二、網(wǎng)絡(luò)安全保險行業(yè)的可能路線

　　支付卡行業(yè)有一個安全標(biāo)準(zhǔn)（PCIDSS），所有公司都必須遵守這個標(biāo)準(zhǔn)，才能接受銀行卡支付。提高被保險人安全性的一個途徑可能是開發(fā)類似的安全標(biāo)準(zhǔn)并要求符合。

　　這在英國的汽車保險業(yè)是有先例的。司機(jī)投保前，車輛必須先通過交通運(yùn)輸部（MoT）的設(shè)計測試，并取得MoT證書。保險是法律所要求的，所以考試也是法律所要求的，而且保險行業(yè)受益。

　　在美國沒有直接的類似規(guī)定，但一般來說，汽車保險必須包括第三方責(zé)任。

　　目前沒有法律要求企業(yè)提供網(wǎng)絡(luò)保險，但這在未來可能會發(fā)生，這并非不可想象。途徑可能是政府希望通過某種形式的由保險支持的第三方責(zé)任保護(hù)來保護(hù)他們的選民（消費者）。

　　法律要求的保險將受益于一份價值證書，如英國的機(jī)動車檢驗證書。這種證書將有效地讓客戶要求保險公司通過經(jīng)過驗證的高安全性降低保費，而保險公司則提供更低的保費。

　　Qualys的總裁兼首席執(zhí)行官Sumedh Thakar認(rèn)為，這樣的事情可能會自然發(fā)展，但他強(qiáng)調(diào)，現(xiàn)在還為時過早，不知道它將如何發(fā)生，也不知道它可能涉及什么。他告訴《安全周刊》：“對這條路線的興趣似乎主要來自客戶。”“如果我這樣做，那樣做，我的保費不應(yīng)該減少嗎？”在行業(yè)層面上還沒有做很多工作，但我認(rèn)為基本原則是有效的。如果你能證明你在保護(hù)房屋，你就能獲得更便宜的房屋保險?！?/p>

　　PCI類型標(biāo)準(zhǔn)的一個潛在弱點是，它只要求在審計日符合要求--相關(guān)公司可能會在一年中的其他時間不符合要求，因此違反的風(fēng)險會增加。

　　里斯并不認(rèn)為這是一個嚴(yán)重的問題。她告訴《安全周刊》：”一年中不止一天需要PCI?！啊狈系囊笫?65天。如果存在網(wǎng)絡(luò)安全漏洞，并且這是由于或潛在地由于零售商缺乏安全而造成的，那么品牌（對于PCI，支付卡行業(yè)）可以扣留現(xiàn)金?！八恼擖c是，如果證明由于不符合保險標(biāo)準(zhǔn)而發(fā)生的違約足以確保公司持續(xù)遵守，則威脅拒絕索賠。

　　問題仍然是，保險安全標(biāo)準(zhǔn)是否足以減少被保險人的索賠，以允許保險業(yè)將保費保持在當(dāng)前或更低的水平？趨勢科技（Trend Micro）市場戰(zhàn)略和企業(yè)發(fā)展主管埃里克？斯金納（Eric Skinner）表示：”PCI無疑提高了許多公司的網(wǎng)絡(luò)安全門檻。“但這并沒有神奇地解決問題。你可以通過PCI審計，但還是會被入侵。支付卡行業(yè)面臨的問題是，這樣做是否足夠降低違規(guī)的可能性？”

　　只有時間才能告訴我們，保險行業(yè)是否能夠開發(fā)、維護(hù)并要求符合可靠的安全標(biāo)準(zhǔn)。

　　三、要求特定的控制

　　保險行業(yè)的另一種方法是對個人客戶要求不同的控制。這將比單一的全面標(biāo)準(zhǔn)更加靈活，因為它可能在不同的垂直行業(yè)之間根據(jù)對風(fēng)險的感知而有所不同。也可以根據(jù)保險合同的規(guī)定，在續(xù)簽時或每年進(jìn)行修訂。

　　這里可能存在的一個擔(dān)憂是，保險可能會干擾客戶的安全狀況?！斑@是一個合理的擔(dān)憂，”斯金納說，“因為其中一些已經(jīng)發(fā)生了--網(wǎng)絡(luò)保險影響網(wǎng)絡(luò)安全的過程已經(jīng)在某種程度上開始了?！?/p>

　　他指的是無處不在的問卷調(diào)查，在這種情況下要求客戶陳述其安全狀況?！熬拖衲甓群弦?guī)審計一樣，”斯金納繼續(xù)說，“這些調(diào)查問卷是及時的快照--它們提出的問題可能會降低風(fēng)險，也可能不會，因為保險行業(yè)仍在學(xué)習(xí)安全知識?！?/p>

　　“例如，‘你們部署了EDR嗎？’我們從一些保險經(jīng)紀(jì)人那里聽說，如果客戶對此說‘不’，他們被拒絕或不能續(xù)保的風(fēng)險非常高?！眴栴}是安全性不是通過部署控件來增強(qiáng)的，而是通過正確地實現(xiàn)它們、充分地使用它們并確保它們是最新的。這些都不能通過問卷調(diào)查來衡量?！拔也淮_定這些問題目前是否能帶來保險公司所期望的好處。”

　　從邏輯上講，詢問安全姿態(tài)的延伸就是開始堅持落實某些控制措施。這將是一大步。為了有效，它將要求保險公司擁有CISO的能見度，董事會的業(yè)務(wù)理解，以及每一家保險公司的CFO的錢袋。這對保險公司來說太貴了，對客戶來說也太麻煩了。

　　四、實現(xiàn)持續(xù)的監(jiān)控

　　保險行業(yè)根據(jù)第三方安全掃描公司的建議來支付保費，這些公司包括Qualys、BlueVoyant、immuneweb、Outpost24、SecurityScorecard等。這可以提供一種持續(xù)的姿勢監(jiān)測；審計安全保險標(biāo)準(zhǔn)和基于問卷的方法都缺少一些東西。它還承諾減少干擾，因此更容易被客戶接受。保險公司可以簡單地說，我們的掃描顯示你在這些方面很弱：加強(qiáng)這些方面，你就有資格享受較低的保費。

　　缺點是大多數(shù)掃描只能看到客戶基礎(chǔ)設(shè)施的外部視圖。這仍然是有效的，因為這是黑客看到的相同的視圖，加強(qiáng)所有可見的弱點使黑客很難找到入口點。

　　外部監(jiān)視的一個進(jìn)步是對整個基礎(chǔ)設(shè)施的內(nèi)部連續(xù)監(jiān)視。Cowbell公司目前提供這種服務(wù)，該公司使用人工智能引擎掃描網(wǎng)絡(luò)內(nèi)部的姿勢弱點。它返回的信息可以用來加強(qiáng)網(wǎng)絡(luò)安全，但也可以讓保險公司對投保個人客戶所需的保費做出更智能的評估。

　　從某種意義上說，Cowbell是一個保險經(jīng)紀(jì)人的助手。它為經(jīng)紀(jì)人提供必要的信息，以便他們從潛在的保險公司中協(xié)商出可能的最佳保費。

　　五、網(wǎng)絡(luò)安全保險行業(yè)的未來

　　網(wǎng)絡(luò)保險仍在發(fā)展中，這意味著許多現(xiàn)有客戶實際上是小白鼠。目前不斷增加保費和免除責(zé)任以抵消不斷增加索賠的模式是不可持續(xù)的。但保險公司知道這一點，正在積極尋求現(xiàn)實的解決方案。

　　他們最終會成功的。參與這一過程的各方都希望得到同樣的結(jié)果：在降低網(wǎng)絡(luò)犯罪損失的同時提高安全性。

　　Resilience首席執(zhí)行官Vishaal Hariprasad認(rèn)為，解決方案將伴隨著被保險人、網(wǎng)絡(luò)安全和保險公司之間的新關(guān)系而來。他于2016年進(jìn)入保險業(yè)，此前在帕洛阿爾托網(wǎng)絡(luò)公司（Palo Alto Networks）擔(dān)任威脅情報架構(gòu)師。他過去和現(xiàn)在都是美國空軍預(yù)備役的網(wǎng)絡(luò)作戰(zhàn)官，也是（IMA）運(yùn)營總監(jiān)。

　　“在2016年，”他告訴《安全周刊》（SecurityWeek），“你可以買一份100萬美元的網(wǎng)絡(luò)保險，他們會問你，你的IT人員在嗎？你們買防火墻了嗎？”他們從來沒有問過防火墻是否打開了，因為當(dāng)時的保險行業(yè)根本不在乎。“

　　這是必須改變的?！北ｋU公司需要知道，你的防火墻是否打開了？它總是被修補(bǔ)嗎？你是否一直在輸入正確的數(shù)據(jù)？你在監(jiān)視他們嗎？“需要的是保險人和被保險人之間一種新的合作關(guān)系。

　　就其本身而言，保險業(yè)需要與標(biāo)準(zhǔn)機(jī)構(gòu)、控制機(jī)構(gòu)，特別是與信息共享組織保持一致。”保險公司應(yīng)該能夠利用這種水平的信息共享和標(biāo)準(zhǔn)收集，并將它們落實到政策中。并將其應(yīng)用到整體風(fēng)險轉(zhuǎn)移方案中，不僅僅是保險，還包括損失控制和風(fēng)險工程服務(wù)，幫助實現(xiàn)這一目標(biāo)?！?/p>

　　實際上，保險公司需要通過與威脅信息共享機(jī)構(gòu)的關(guān)系，成為其客戶的網(wǎng)絡(luò)安全顧問。由于被保險人和保險公司都尋求同一個目標(biāo)--更好的網(wǎng)絡(luò)安全--這可以以雙方都能接受的方式實現(xiàn)，而不是殷勤地侵入。

　　Hariprasad認(rèn)為，成功的網(wǎng)絡(luò)保險的關(guān)鍵是參與和持續(xù)監(jiān)控：被保險人和保險公司之間的合作參與，充分了解威脅景觀，以及持續(xù)監(jiān)控網(wǎng)絡(luò)控制，以減輕威脅。

　　他說：”很多人仍然抱著舊有的思維方式，認(rèn)為一旦建立了一個項目，就會忘記它，只擔(dān)心一兩年后的更新。我認(rèn)為這就是危險所在。“

　　網(wǎng)絡(luò)保險和網(wǎng)絡(luò)安全必須學(xué)會協(xié)調(diào)工作，而不是相互替代。保險公司必須成為受保人董事會值得信賴的顧問--董事會必須學(xué)會與保險公司合作，以改善其安全衛(wèi)生，改善其網(wǎng)絡(luò)安全，并賺取盡可能低的保費。