常莽

隨著越來越多的企業(yè)接受網(wǎng)絡(luò)風險的必然性，網(wǎng)絡(luò)保險正迅速成為企業(yè)開展業(yè)務(wù)不可避免的一部分。人們越來越意識到需要為諸如勒索軟件引起的破壞性安全事件的影響做好準備，就像公司投資于潛在的物理威脅（例如火災或刑事?lián)p失）一樣。

但網(wǎng)絡(luò)保險是一個新興領(lǐng)域，事實證明很難掌握，即使是更有經(jīng)驗的保險業(yè)中堅力量也難以完成這項任務(wù)。在許多情況下，隨著供應商對數(shù)百萬美元的違規(guī)行為變得更加謹慎，保費也迅速增加。

因此，對于許多小公司來說，網(wǎng)絡(luò)保險已經(jīng)變得高不可攀，研究表明，負擔不起成本的企業(yè)數(shù)量將增加一倍。

那么，是什么讓網(wǎng)絡(luò)保險比其他形式的保險更加困難，企業(yè)如何才能承受越來越高的保費和準入要求？

網(wǎng)絡(luò)與其他保險領(lǐng)域不同

從表面上看，網(wǎng)絡(luò)保險的功能應該與任何其他形式的保護大致相同。根據(jù)各種已知因素評估風險，并根據(jù)事故發(fā)生的可能性及其潛在的嚴重性影響計算承保水平和保費。

問題在于網(wǎng)絡(luò)環(huán)境的復雜性和涉及的變量數(shù)量。以火災保險為例，說明一個變量非常容易理解的領(lǐng)域———畢竟人們在理解火災方面已經(jīng)有幾千年的實踐了。保險公司相對容易根據(jù)建筑材料、滅火器等預防措施以及地形和氣候影響等其他影響因素來評估消防安全。在有變化的地方，它們是非常明顯的。例如，如果在澳大利亞的一個森林地區(qū)長大，那里的火災風險就會增加。

相比之下，網(wǎng)絡(luò)要復雜得多，幾乎無限數(shù)量的變量在起作用。單個IT環(huán)境已經(jīng)足夠復雜，但可以像物理結(jié)構(gòu)一樣有效地分析和評估。真正的問題是網(wǎng)絡(luò)環(huán)境不斷變化的混亂局面。2021年，國家漏洞數(shù)據(jù)庫報告并記錄了18 439個新漏洞，平均每天有50多個新發(fā)現(xiàn)。

每個新的軟件產(chǎn)品發(fā)布或更新都代表了未知數(shù)量的新漏洞和威脅被發(fā)現(xiàn)或暴露，以及舊系統(tǒng)發(fā)現(xiàn)問題的可能性。與此同時，攻擊者變得更有組織、更有能力利用漏洞。新的攻擊技術(shù)和工具也在不斷涌現(xiàn)。

因此，網(wǎng)絡(luò)環(huán)境比以前的任何業(yè)務(wù)風險都更難理解和跟蹤。雖然取得了進展，但保險業(yè)尚未平衡網(wǎng)絡(luò)領(lǐng)域。提供商仍然不確定他們的客戶可接受的風險水平是什么樣，使他們很容易通過保險支付巨額費用。更高的保費和更嚴格的要求是提供者旨在保護自己免受這種風險的結(jié)果之一。

兩層現(xiàn)實的危險

除了保費本身的成本外，更復雜的保單越來越趨向于對申請人提出復雜的要求，并包含更多將使承保無效的條款。例如，公司可能需要滿足非常嚴格的安全解決方案和預防措施的規(guī)定列表才能獲得覆蓋范圍。

這種趨勢有可能為網(wǎng)絡(luò)保險創(chuàng)造不平等的2層系統(tǒng)。當其他一切都失敗時，保險應始終被視為最后一道防線，但較小的公司將被剝奪這個安全網(wǎng)，因此更容易受到攻擊。

如果保費繼續(xù)增加，只有預算龐大的大型企業(yè)才能負擔得起。這提供了有效的最后一道防線，同時這些大公司已經(jīng)能夠負擔得起更多的安全解決方案和人員。

結(jié)果，無法預算增加保費的小公司將更容易受到網(wǎng)絡(luò)威脅。犯罪團伙將非常清楚，這些企業(yè)不僅更容易成為目標，而且更有可能陷入勒索軟件或數(shù)據(jù)泄露和勒索等破壞性攻擊，因為它們?nèi)狈椭謴偷谋ｋU資金。

小公司如何增加獲得網(wǎng)絡(luò)保險的機會

網(wǎng)絡(luò)保險市場可能需要一些時間才能自行解決，因為提供商需要確定如何才能最好地跟上快速變化的安全形勢并保護自己的利潤免受嚴重事件的影響。

與此同時，想要從額外的保險保障中受益的企業(yè)將需要專注于在不花費所有預算的情況下滿足更高和更嚴格的保費。預防性思維在這方面將大有幫助，同時考慮到系統(tǒng)中可能已經(jīng)存在的威脅。

努力應集中在盡可能減少每項投資的風險敞口。勒索軟件是目前最引人注目的威脅之一，也是保險業(yè)最為緊張的問題之一。AXA去年作為第一家在其保單中退出勒索軟件支付的主要供應商引起了轟動，但即使不考慮需求本身，勒索軟件也可能是一個極其昂貴的前景。

已經(jīng)認真對待這種風險并投資于檢測和緩解勒索軟件的公司將有更好的機會安撫不確定的供應商。其關(guān)鍵因素包括及早識別攻擊的能力，并通過分段等過程最大限度地減少損害。

同樣，數(shù)據(jù)泄露是一個嚴重的問題，將成為許多政策的焦點。除了數(shù)據(jù)丟失的影響之外，攻擊者越來越多地通過類似于勒索軟件的勒索要求將受害者加倍。公司需要證明他們能夠可靠地檢測和防止外泄企圖。

自動化是在預算內(nèi)實現(xiàn)這些功能的最重要資產(chǎn)之一。自動化訪問權(quán)限、檢測和響應等關(guān)鍵流程將釋放資源和人力，從而可以重新投入到其他有價值的活動中。如果做得好，自動化可以幫助小公司在檢測和響應威脅的能力方面遠遠超過他們的體量。

雖然兩層方案可能是不可避免的方案，但較小的公司可以跟上正確的戰(zhàn)略。專注于最大的風險，以及簡化和自動化流程，將使他們更有可能滿足嚴格的政策，并能夠為更高的保費進行預算。當然，符合政策要求的相同行動也將增加公司需要依靠保險使網(wǎng)絡(luò)安全的機會。