安全专家表示,安全事件频频登上报端引发了网络保险业的蓬勃发展,但这一市场目前十分复杂。
首席信息官(CIO)和首席信息安全官(CISO)面对的最悲苦的事,恐怕就是在重大网络安全事件后进行损害评估了。责难成山,却少有人能公平看待。而到向网络保险索赔的时候,概念混淆的存在,还会使这个责任推卸游戏变得更加复杂。
典型的企业网络保险争论通常是这样的:CEO或董事长把CISO叫到办公室,告诉他保险公司只愿意支付38%的索赔,因为“你没对受影响的应用实现加密”。
CISO说:“首先,我不知道我们有网络保险。其次,受影响的应用是在我们的ATM机上运行的,如果我们对其进行加密,您早就因为客户无法访问而解雇我了。我希望您在实施这些策略之前先告诉我一声。”
CISO不知道自己公司投了保险以避免网络攻击损失这事儿,听起来就像HBO剧集《硅谷》里的一个情节,而不是真实的商业案例。但随着安全事件不断发生,这种断层也时常涌现。PivotPoint风险分析公司CEO朱利安·威特说:“保险购买不透明,你觉得在你处理金融风险转移时应携手共进的两件事情,其实相互间根本毫无沟通。”
忽视和困惑导致了覆盖面缺口
因此,公司企业经常不确定自己的保险策略覆盖到了哪些部分而哪些又根本没有保障,时常保了那些错误的东西,导致索赔因各种原因遭拒,比如没有足够的网络安全测试规程和审计、过时的补丁、网络事件响应计划部署不到位、缺乏备份和恢复过程等等。
同时,保险商的聚合风险模型也更像是普适策略,而未必适合企业客户的特殊需求。普华永道所言全球网络保险市场到2018年将有50亿美元保费,2020年至少75亿的断言,也因此承受着巨大挑战。
为更好地理解网络保险业,威特委托IT部门和保险商进行了研究。网络保险研究公司Advisen调查了195家保险公司和代理商,系统与网络安全协会 SANS Institute 对203位信息安全和IT专业人士进行了问卷调查,其分析师芭芭拉·菲尔金丝撰写了报告《桥接保险/信息安全缺口:2016 SANS 网络保险调查》。
菲尔金丝发现,为有效购入符合自身需求的网络保险策略,企业必须弥合的关键缺口有4个:
术语缺口。信息安全和保险业人士承认,他们对于“风险”基本概念的定义并未达成共识。信息安全人士从威胁和漏洞的角度理解,并觉得可通过构筑防御措施、策略和项目来清除威胁。保险提供商则从降低企业从网络安全事件中遭受的经济损失入手。
评估缺口。评估框架为最低级别的网络卫生制定标准实践、指标和成本,并被用来与其他企业的防御和规程进行比较衡量。但保险商更喜欢定量模型而非定性模型,却只有25%的信息安全受访者有具体的定量模型。
沟通缺口。以上缺口促生了信息安全人士和保险商之间的沟通鸿沟,信息安全专业人士和风险经理之间,保险业内部的承保商和经纪人之间,同样存在沟通天堑。
投资缺口。承保标准制定中透明性的缺乏,导致了寻求网络保险的买家在投资上的偏差。信息安全人士可能会投资到错误的事情上,以为这些东西都是可保的;或者他们购买的保险不符合遭遇到的损失,而索赔被拒。更为复杂的情况是,可能会有需要法律顾问来解释的保单条款和例外情况。举个例子,2014年,美国最大中餐连锁店 P.F. Chang 从其保险商那里索回了170万美元的安全事件后续处理开支和集体诉讼的辩护费。但该公司就未能拿回花在信用卡处理器上的190万支付卡行业数据安全标准(PCI DSS)评估费。
CISO必须参与网络保险采购
肖恩·维奥拉称,SANS发现的缺口与其在评估和购买网络保险策略上的经验相一致。作为护理设施供应商 Creative Solutions in Healthcare 的CIO和CISO,维奥拉发现,很多策略都与他那基于美国国家标准技术研究院(NIST)网络框架的安全模型不相匹配。他认为,有工具或评估矩阵可供CISO们将自身安全态势和选择要买的保险策略关联起来。另一个挑战则在于,公开处理的网络保险索赔案例实在太少,让公司企业恍如在黑暗中前行。
虽然网络保险是大家都想搞明白的问题,却没人愿意谈论它,因为谈论网络风险让人们觉得不舒服。维奥拉称:“这是个年轻的产业,人们对它还有很多困惑。保险商们没有认识到这一点。”他已采取行动,培训其高管层了解网络风险和网络保险知识。
那么,CISO/CIO到底该做什么?Advisen共同创始人兼首席策略管大卫·布拉德福德分享了他的想法:CISO应在较早阶段就参与进来,与风险经理共同搞清企业到底有哪些风险暴露面,好让风险经理在购买网络保险策略时可向保险经纪人解释清楚,而保险经纪人又反过来能向保险商解释并匹配选出正确的策略。
====================================分割线================================
本文转自d1net(转载)