中小企业如何给安全“加防”?网络安全保险了解一下
2020-07-17
网络安全保险作为金融市场和信息安全行业的新宠,近年来获得了业界的关注。基于bbin宝盈集团科技近两年的服务数据显示:中小企业的安全服务成交额度增长25%,对应各行业的安全事件也呈现10%的增长,一方面体现在蠕虫病毒和虚拟挖矿两类事件呈现增长态势,另一方面体现在2019年安全事件种类更加多样。虽然中小企业中招勒索软件出现负增长,但仍以34%和26%的占比稳居两年中小企业网络安全事件Top1。
由此可见,纵使中小企业越来越注重网络安全投入和保障体系建设,但网络安全事件依然频发。面对无法避免和消除的网络安全风险,中小企业可通过购置网络安全保险增强企业的网络安全能力。
(一)中小企业网络安全建设痛点
l 数据合规要求严苛,数据泄露形势严峻
数字经济作为经济发展的新动能,成为拉动全球经济增长的新引擎,世界各主要国家已将发展数字经济作为重塑核心竞争力的重要举措,而数据作为数字经济发展的关键因素,被各国纳入法律保护范畴,对企业提出更高要求。欧盟《通用数据保护条例》(简称 GDPR)自2018年施行以来,在各行各业开出近300罚单,罚金合计超4.7亿欧元(数据来源:enforcementtracker官网),如:
英国航空公司因泄露50万客户的个人及信用卡信息,罚款约2亿欧元;
万豪酒店集团也因泄露超3亿用户的个人信息,罚款1.24亿欧元;
谷歌因处理个人用户数据时未充分履行其义务,罚款5000万欧元;
瑞典某高中因违反数据收集目的限制和最小范围原则,罚款近2万欧元。
近日,我国也发布了《数据安全法(草案)》,填补该领域立法空白,明确了企业数据安全保护责任和义务,并提出相关罚则。
企业在面对合规监管愈发严苛的同时,也在经历着更加严峻的数据泄露态势。据2020年Verison数据泄露调查报告(DBIR)显示,中小企业与大型企业面临着近乎相同的安全风险,在调研的407件中小企业网络安全事件中,近55%的安全事件伴随着数据泄露。越来越严格的合规要求和日渐严峻的数据泄露风险,给中小企业信息安全建设带来更大挑战。
l 勒索事件频发难以防范
在经济利益的驱动下,勒索病毒成为近年来的主流网络安全威胁之一。bbin宝盈集团科技安全事件响应年报显示,2017至2019年勒索病毒类事件数量始终占据热门网络安全事件Top3,虽然2019年事件数量较上一年减少近15%,但勒索病毒呈现出家族化和高更新迭代速度的特征,并伴随着勒索金额的持续走高,如GandCrab勒索病毒1.0版本出现于2018年1月,仅在16个月内,版本更新至5.3,勒索金额也从早期的499美元提升至998美元。此外,随着勒索软件产业链的形成,勒索软件即服务(RaaS)成为热门黑产盈利模式,黑产从业者无需恶意软件开发的专业知识,便可发起勒索活动,这样低门槛、高收益、传播方式多元化的特性,让勒索病毒更加难以防范。
由于中小企业IT架构基础简单且信息资产大多为核心资产,在收到勒索攻击后,会严重影响日常业务开展,所以相较于业务中断带来的经济损失,中小企业更加倾向于支付勒索赎金,以达到快速恢复正常业务运行的目的,这使其成为了勒索攻击的主要目标。
l 缺乏安全事件应急响应能力
中小企业更加专注于业务发展,选择在客户拓展、技术发展和业务运营中投入更多资源,加之企业认为自身体量小不易成为攻击者的主要目标,普遍存在IT人员兼任安全岗位、没有网络安全专岗的情况。由于缺乏专职安全团队,中小企业在应对安全事件时,几乎没有事件应急响应能力,导致错过最佳处置时间,无法根除隐患,加重对业务造成的不利影响。因此对中小企业而言,外购安全服务是快速提升事件响应和安全防护能力的方式之一。
(二)网络安全保险服务
面对监管合规要求提高、安全风险激增、安全人才匮乏等问题,网络安全保险成为中小企业增强网络安全保障能力的关键服务。网络安全保险是一种针对网络安全风险的独立险种。通常普通的商业保险不覆盖企业网络安全损失,网络安全保险的出现正好填补了保险在网络安全领域的空白。
网络安全保险是一种风险转移手段,也是一种网络安全防护措施。一方面可以通过理赔方式,将网络安全风险的影响货币化,有效帮助企业稳定或缓解财务状况,降低企业经济损失;另一方面可以为客户识别、应对和处置风险提供补充信息,同时提供后续诉讼的相关知识。
1. 网络安全保险覆盖场景及产品类型
企业商用网络安全保险的承保范围主要由两类构成:第一方损失和第三方责任索赔。bbin宝盈集团科技与前海财险合作推出的网络安全综合保险,承保范围包括但不限于数据泄露、数据破坏、黑客攻击、网络勒索等安全事件触发的第一方损失和第三方责任赔偿,并对保险责任场景进行了详细明确的划分,特别是在数据责任方面,为企业提供切实保障,划分说明如下图所示:
同时,在赔偿限额和保费方面,bbin宝盈集团科技基于多年网络安全事件数据,为网络安全保险的建模定价、理赔定损方面提供基础数据和技术支持,细分承保项目类别和客户类型,帮助保险以精准且合理的成本切实贴合企业安全需求。
2. 网络安全保险服务模式
在网络安全保险的服务模式下,bbin宝盈集团科技作为专业的安全服务提供商,成为客户与保险公司之间信息传递和技术支撑的桥梁,让客户在零感知的情况下,轻松享受保险服务。
例如,在面向某房地产客户提供安全服务时,bbin宝盈集团科技为客户引入网络安全保险。在投保前期,bbin宝盈集团科技通过问卷调研、风险评估等技术手段,帮助企业了解自身安全现状,及时查漏补缺;同时,辅助前海财险判断承保内容,并作为投保人,为该房地产客户完成投保工作。在保险生效后,bbin宝盈集团科技针对投保范围内的40余个系统进行风险持续监控,在客户突发网络安全事件时,及时启动应急响应,并作为事故鉴证方,完成事故调查,辅助前海财险完成理赔工作。
3. 网络安全保险服务解决方案
虽然网络安全保险可以转移网络安全风险,但保险不是企业网络风险计划的替代品,不可能覆盖所有的网络安全风险,同时,随企业网络安全防御手段的成熟,网络安全保险的成本也会随之下降。因此对于中小企业而言,更应采取“网络安全保险+日常安全防御辅助手段”的思路,构建“高性价比”的企业网络安全建设体系。
bbin宝盈集团科技网络安全保险服务解决方案,以传统安全服务为核心,将网络安全保险纳入企业风险管理计划的最后一环,作为中小企业网络安全建设的“增值服务”,综合提升企业潜在安全风险的识别能力、突发安全事件的应对能力和事后的恢复能力,形成风险闭环管理的运营机制。
在保险前期,企业通过渗透测试、漏洞评估、弱口令等技术服务,全面识别安全风险,为投保做出预判,并通过安全意识测评和培训等教育服务,降低人员隐患;在保险生效期间,企业通过漏洞通告、威胁情报等情报服务,实时跟踪企业安全状态,及时消除潜在安全隐患;在安全事件发生后,企业通过应急响应服务,精准定位事件源头,及时抑制损失、根除隐患,确保以最快速度恢复业务,同时为保险定损提供技术支持,精准完成理赔工作,确保企业获得足量的保障赔偿。
(三)bbin宝盈集团科技与网络安全保险
bbin宝盈集团科技作为一线的安全服务提供商,与前海财险共同基于各行业用户的风险数据构建预测模型,进行合理的服务和产品配置,这让一部分用户在采购安全服务的同时,会考虑通过网络安全保险这一金融手段来消除风险,也让一部分计划通过投保来控制企业运营风险的企业初步将网络安全保险纳入其整体风险管理和保险组合的范围。
随着国家相关法律环境的逐步成熟和健全,安全服务的采购者对于网络安全保险所适用的风险敞口的重视程度也会逐步提升,结合专业安全服务商的风险数据来弥补金融机构的数据短板,确保共建的风险预测模型更加匹配各类细分行业和领域,从而提升网络安全服务商、保险机构以及投保用户在定价、承保等环节对于网络安全保险这一金融和网络安全跨界产品的信心,确保网络安全保险可以在细分行业和领域得到更快的推广和认可。
可以展望,在未来基于5G与物联网(IoT)以及自动驾驶技术等众多新兴技术演进过程中,随着越来越多的攻击和损失场景的出现,网络安全保险作为基于风险预测和计算模型的金融安全服务产品,会在传统风险评估、缓解和保障手段之外,给予多方更多的风险保障和选择。