第三方错误:网络安全保险公司的保险范围不包含因发生在任何第三方系统上的网络攻击而造成的主营业务损害。此类第三方软件或服务包括企业的虚拟主机、电子邮件、云服务、客户服务管理或任何其他重要的线上业务关系。
在“等待期”发生的损失:保险行业通常会设置一段被称为“等待期”的免赔时间。只有在等待期结束后发生的损失才会得到保险理赔。
宕机期间的损失:目前主流的保险均不覆盖业务中断事件期间产生的损失。
声誉损害:这是企业在遭受网络攻击或数据泄露时所面临的最重大的风险之一。事实上,三分之一的顾客会在一次糟糕的体验后就离开他们喜爱的品牌。由于这种损失难以量化,因此网络安全保险公司的保单不覆盖此类损失。
人身伤害或财产损失:随着全球迈向物联网(万物互联),物体之间的连接越来越多,因此网络攻击可能会导致人身伤害或财产损失。如果企业遇到此类情况,网络安全保险很可能无法提供满足企业需求的理赔金额。
新硬件:网络安全保险的保障范围一般不包含任何财产损失,比如硬件更换和其他因网络攻击而造成的设备损失。
软件升级:网络安全保险的保障范围通常不包含最新版本的软件。
设备丢失:大多数网络安全保险的保障范围不包含任何因公司笔记本或平板电脑等便携式设备丢失而引发的网络犯罪。少数保险只覆盖加密设备,所以企业使用的所有设备必须安装适当的安全补丁。
发卡机构的罚款和处罚:数据泄露所引发的一个重大问题是万事达卡(MasterCard)、Visa等发卡机构会对公司进行处罚,或根据《通用数据保护条例》(GDPR)和类似法规对公司主管进行处罚。罚款金额可能会相当大,最高可达6位数,一些保险公司的保险范围不包含此类罚金。
特定攻击:如果攻击的动机是恐怖主义或者是民族国家主体出于政治目的而发起的攻击,保险公司就会拒绝理赔。而研究表明,该领域逃避检测的攻击规模和数量正在不断增加(微软2021年)。
网络安全保险:
买还是不买?这是一个问题
一家企业的韧性与其网络韧性密切相关,因此整个企业都必须在技术、流程、文化和技能方面对网络安全予以持续的重视。作为其中的一部分,网络安全保险能够起到保护作用,使企业在日益严格的条款下推进安全设计,并在满足所有这些条件的情况下帮助企业恢复。但不同网络安全保险的保障范围和条件有很大的差异,因此在做出最终决定之前,企业必须充分了解自身的需求和需要满足的条件。
对于投资规模或数字资产规模较小的初创企业与中小企业而言,购买网络安全保险可能并不划算,专注于安全防御可以为他们带来更好的投资回报,例如零信任实践以及员工培训和安全意识。而对于为客户管理大量敏感财务信息或个人识别信息的大型企业而言,购买知名的网络安全保险十分划算,但只能将其作为整体网络安全战略的一部分。
保险既无法防止也无法单独解决安全方面的问题,但它们可以构成主动防御计划的最后一环,这类计划关注风险的早期识别,也能在遭受无法避免的某种形式的攻击时提供应急恢复。
2012-2020 版权所有©信亦宏达网络存储技术(北京)有限公司 京ICP备09114115号-1
