网络保险将改变安全行业的游戏规则?首席安全官频道

1.png

1.png

前言

网络保险市场近期的爆发已经改善了某些行业领域的现状,首席安全官频道如果网络保险行业能够解决数据相关的问题,那么网络保险所能做的还会有更多。而网络风险公司Axio Global的创始人兼首席运营官David White也表示,零售行业就是目前网络保险所影响到的领域之一。

网络保险的现状

大家都知道2013年曾发生过大量严重的数据泄漏事件,而这些事件也让针对零售商的网络保险价格不断攀升。除非零售商拥有完整的安全保护机制以及终端加密技术,否则网络保险的保费很可能是普通零售商所承担不起的。

David White在接受采访时说到:

“在一年多以前我曾在一次交流会上与一家大型零售商的负责人沟通过,这位负责人当时所面临的问题非常紧迫,因为他所在的公司无法购买与支付卡数据泄漏相关的网络保险。而他们的问题在于他们没有分配经费在部署端到端加密保护机制上,而且在可预见的未来时间里公司也没有这方面的打算。风险经理告诉我说,他们每一年都会去和网络保险市场的公司进行接触,但结果都不尽如人意。而渐渐的,网络保险行业似乎已经成为了促使零售商采用端到端保护的潜在驱动力了。”

其实从某种程度上来说,保险公司正在帮助安全行业建立一些通用的网络安全标准。比如说,想要购买网络保险的公司每年都必须为员工进行网络安全培训,如果公司无法做到这一点,那么他们就不符合保险公司入保的基本要求。我认为,这是网络保险给网络安全行业带来的最重要的影响之一。这种参保门槛的提高,实际上可以理解为企业安全性的提升,因为企业会更加了解自己在安全方面的缺陷,这样就可以采取措施来修复相应的问题,例如对员工进行安全培训或采取策略来降低响应时间。

2.png

2.png

网络保险缺乏精细化数据和技术专家

对于保险行业来说,想要拥有一套标准化的网络安全数据集,起码还需要30到50年左右的时间。因为安全威胁的风险程度一直在攀升,而攻击方式也逐渐多样化。新型的勒索软件正在不断被开发出来,攻击者每天也都在换着新花样来入侵我们的系统。因此,我们必须要设法收集新类型的数据,而这些数据是整个行业在此之前从未收集过的。

我们都知道,保险公司通常都会受到信息披露条款的约束,而且在收集网络信息方面也没有一个公认的中心机构。因此,我们就需要一种方法来对数据进行标准化处理,然后在行业内实现数据共享,最终将这些数据进行重新整合并实现它们的最大价值。

还有更重要的一点就是,网络保险行业内并没有多少资深的技术专家。你可能会认为那些过来跟你谈网络保险的人能够真正理解网络安全的含义,他们声称自己手中掌握了大量的安全数据,声称自己理解导致安全问题出现的原因,但事实并非如此。

实际上,网络保险行业目前正面临这技术人才的匮乏以及精细化数据的缺失这两大问题。大多数设计网络保险条款的人并没有任何的技术背景,这些人之前很可能是专门从事人寿保险工作的,也有可能是卖汽车保险的,而他们如果想要拿出一份合适某家公司的网络保险合同,就必须要在专业技术人员的帮助下才能实现。

除了技术专家之外,风险评估同样是非常棘手的问题

在网络保险行业中,风险变化的速度要比其他类型保险快得多。就像对于汽车保险来说,风险并不会变化得有多快,因为龙卷风可不会专门挑某一辆车去损坏。但是网络犯罪分子可就不一样了,他们会不断使用新的方法来绕过企业的安全控制,当他们发现了某种新的技术之后,这项技术不仅会迅速在网络犯罪领域传播开,而且相关的自动化工具、犯罪软件即服务、以及大规模僵尸网络便会接踵而至。

3.png

3.png

因此,风险评估对于网络保险领域来说同样是一个令人头疼的问题。传统保险行业在评估风险时,主要依赖的是历史数据,但是对于网络安全这个变化如此之快的行业来说,历史数据的有效期其实是非常短的。除了外因之外,网络保险公司还需要在文化以及思想上作出迅速改变以适应信息安全这个领域,因为无论你这家保险公司的历史有多久,经验有多么丰富,而网络安全保险对于你们来说绝对是一个从未遇到过的新事物。

无法投保的风险

当一家公司缺少精细化数据,或者是公司没有严格的规范性要求的话,那么他们几乎是不可能买到网络保险的。

根据我们从信息安全论坛处得到的信息,目前还没有针对例如关键基础设施攻击、国家黑客攻击、操作性失误、名誉损坏、工业间谍活动、知识产权侵害或商业机密泄漏等安全事件的网络保险业务。而根据Ponemon机构的调查结果显示,目前36%的公司之所以没有意愿购买网络保险,主要是因为保险公司所能提供的保险业务覆盖率不够,还有一点就是保费价格实在是太高。而且在如此高额的保费之下,仍然还有很多不可保的风险以及对企业本身的限制。换个角度来看,如果保险公司承保了这些无法估量的安全风险,那么当事件发生之后,他们所要支付的赔偿款很可能就是一个天价了。

总结

目前全球网络保险市场的规模已经超过了32.5亿美元,而且这个规模在2020年有望达到200亿美元。值得一提的是,整个美国的保险市场已经达到了5000亿美元,所以我们应该对网络保险行业抱有更多的期待。更加重要的是,保险公司每推出的一款新型网络安全保险产品都是对网络安全领域极大的贡献。

* 参考来源:networkworld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

2017-05-17 21:45 阅读:99