本文讲的是 这项新兴的业务正在激增:网络安全保险,c
如同大多数网络安全服务的出现一样,这种名为“网络安全保险”的新业务也是从美国兴起。由于过去两年发生的一系列针对美国企业的严重黑客攻击事件,已经促使保险公司大幅度提升了一些易受攻击企业的保险费用。除此之外,一些保险公司还提高了保额,目前的封顶额度最高可达1亿美金。然而,大型数据攻击事件造成的经济损失远不止这个数字。2011年索尼PSN网络遭攻击事件,造成损失约十亿美元。而去年底和今年中安全牛报道过的索尼影业和Ashley Medison 两大黑客攻击事件,前者预估损失近2亿美元,后者则面临集体诉讼,索赔总金额也是以亿美元为单位。严重的入侵事件数不胜数,不仅仅是以互联网业务为主的企业,零售和医疗行业也受到了极大冲击。家得宝、塔吉特、安腾、蓝十字……
网络安全保险的覆盖范围包括鉴定调查、信用监控、法律费用及调解费用。根据企业安全环境,具体的覆盖种类可能会区别很大。但总体来看,保险费用正急剧上升。对于曾遭受黑客攻击的医疗保险企业,保险公司大幅增加了其保费,续约价格涨到了以往的三倍。根据达信保险公司(Marsh & McLennan Co.)最新披露的数字,零售商的保费支出在2014年基本稳定,今年上半年却上涨了32%。
零售和医疗行业的免赔额度虽然上升,但即使是最大的保险公司也不会为高风险客户签出超过1亿美金的保单。这使得塔吉特等大企业的风险无法完全被保险抵消——塔吉特称2013年的大规模数据泄露事件造成了2.64亿美金的损失。
美国第二大医疗保险企业安腾在今年年初遭到网络攻击后无法完全补偿损失,安腾总法律顾问托马斯·杰林斯基在美国保险监督官协会八月举行的听证会上提供了证词,称这次事件中共有7900万用户数据泄露。路透社报道此事件时称,系统重建费用“高昂的离谱”。安腾虽设法拿到了1亿美金的保费,但前提条件是将未来发生攻击事件的免赔额定为2500万美金。安腾并未提及过去的免赔额,但该数字很可能比2500万小得多。
保险业的机遇
源源不断的黑客攻击可能会同时给保险公司带来一个好消息和一个坏消息。一方面,保险公司需要支出的保额提升了;另一方面,公众通过黑客事件知晓了购买保险的重要性,保险公司可以大幅提高保费。
随着更多企业意识到上保险的重要性,保险公司将通过行动满足新生的需求。普华永道新近发布的一项调查中提到,网络安全保险市场规模将在未来五年中提升两倍,达到75亿美金。
然而,保险公司很难预测自身承担的风险,有些保险公司已经开始拒绝网络安全保险的投保客户。
如AIG保险集团的网络安全保险政策提供最高7500万美金的保额,但只针对那些善于部署防护、降低风险的全球顶级银行。另一家保险公司爱思集团(Ace Group)近期已开始提供高达1亿美金的保费,前提则是必须深入审查客户的网络安全政策和流程。沃伦·巴菲特的公司Berkshire Hathaway这个月推出第一套网络安全保险政策,该公司高管丹妮尔·利布里奇表示“我们会精挑细选”。
超市”涨价”?
零售巨头塔吉特和家得宝都遭受了大规模的数据泄露攻击,数千万信用卡信息泄露。但这两家公司均拒绝对数据泄露事件是否带来了保费上涨或保险范围减少做出评论。
塔吉特在一份文件中称,只期待保险公司能够偿付2013年事件中造成的2.64亿美金损失中的9000万。家得宝则表示,期待保险公司偿付2014年数据泄露事件2.32亿美金损失中的1000万。
“很多主要保险商都吃了苦头,但他们带着更严酷的条款和更有挑战性的惩罚措施杀了回来。”–赛门铁克数据泄露响应主管鲍勃·谢克尔
使用保险经纪人设计的保险组合,被保企业最高可获得1亿美金的赔偿。尽管如此,一些公司还是警告称赔偿额度并不令人满意。
去年索尼影业遭到攻击之后,其母公司索尼表示,如果再次受到攻击,索尼影业的财务状况将可能恶化,而目前的保险政策“无法承担全部费用和损失”。
索尼公司发言人马克·荒木称,公司期待保险公司赔偿索尼影业攻击事件损失中的“很大一部分”。他拒绝详细指出保险公司是否有提高保费或降低保额。
房主本应给门窗上锁,想要购买网络安全保险的零售公司也正被迫加强其支付系统安全性。
诺德保险公司合伙人本·比森称,保险公司正推进零售商部署标记化、端对端加密等新技术,在客户交易金额大于银行额度上限时进行保护。
无法做到这一点的零售商如今将很难拿到保险。另一方面,更改后的赔偿条款可能会将网络安全大戏带到新的层面上:法庭战争。
法律公司洛温斯坦桑德勒的合伙人琳达·班尼特称,“我们今天在承销过程中看到的限制条款将在未来两三年内带来各种索赔纠纷。”
安全牛评
网络安全保险这一新兴事物的产生,不仅仅意味着多了一个新型险种。保险公司对网络安全投保客户本身网络安全状况的鉴定和改善,又是一项重要的安全咨询和顾问工作。