x

【网络安全】什么是网络安全保险(网络安全责任保险)?

cioctocdo
24 September 2022
SEO Title
What is cybersecurity insurance (cybersecurity liability insurance)?

网络安全保险,也称为网络责任保险或网络保险,是实体可以购买的合同,以帮助减少与在线业务相关的财务风险。作为月度或季度费用的交换,保险单将部分风险转移给保险公司。

网络安全保险是一个新兴行业。今天购买网络安全保险的公司被认为是早期采用者。考虑到相关网络风险的动态和波动性,网络安全政策可能会在一个月到下一个月发生变化。与成熟的保险计划不同,网络安全保险单的承保人只有有限的数据来制定风险模型,以确定保险单的承保范围、费率和保费。

网络保险起源于错误和遗漏(E&O)保险,这是一种单独的保险形式,可防止公司提供的服务出现故障和缺陷。E&O保险类似于销售实体或数字产品的公司的产品责任保单。

虽然一些网络保险单包含针对E&O的特定条款,但大多数提供商将这些条款作为单独和不同的保单出售。E&O保险不包括第三方数据的丢失,如客户信用卡号;需要此类保护的客户可以购买涵盖此类保护的网络保险单。

为什么网络保险很重要?

电子数据的丢失、泄露或被盗会对企业产生负面影响,包括客户和收入的损失。企业可能会对第三方数据被盗造成的损失负责。网络责任保险对于保护企业免受网络事件(包括与恐怖主义相关的事件)的风险至关重要。网络风险覆盖有助于及时补救网络攻击和事件。

2011年,索尼的PlayStation Network遭到黑客入侵,泄露了7700万PlayStatation用户帐户的个人识别信息(PII)。该漏洞阻止了PlayStation控制台的用户访问该服务,中断持续了23天。索尼因违规行为招致1.71亿美元的费用。这部分费用本可以由网络保险单支付,但索尼没有。一宗法庭案件裁定,索尼的保险单仅涵盖有形财产的损害,因此索尼需承担与网络损害相关的全部费用。

网络保险是如何运作的?

网络保险单由许多提供相关商业保险的供应商销售,如E&O保险、商业责任保险和商业财产保险。大多数保单包括第一方保险,适用于直接影响公司的损失,以及第三方保险,根据他人与该公司的业务关系,适用于他人因网络事件或事件而遭受的损失。

网络保险政策有助于弥补网络事件和事件造成的财务损失。此外,网络风险覆盖有助于支付与补救相关的费用,包括支付法律援助、调查人员、危机沟通人员以及客户信贷或退款。

谁需要网络保险?

在线创建、存储和管理电子数据(如客户联系人、客户销售、个人信息和信用卡号码)的企业可以从网络保险中受益。此外,电子商务企业可以从网络保险中受益,因为与网络事件相关的停机时间可能会导致销售和客户损失。同样,任何在网站上存储客户信息的企业都可以从网络保险政策提供的责任范围中受益。

什么是网络保险的承保范围和未承保范围?

在美国,大多数主要保险公司都为客户提供网络安全保险政策选项。根据保险单的价格和类型,客户可能会因信息技术(IT)资产的物理破坏或被盗而产生的额外支出而得到赔偿。此类支出通常包括以下相关费用:

  • 满足勒索软件攻击的勒索要求;
  • 发生安全漏洞时通知客户;
  • 支付因侵犯隐私权而征收的法律费用;
  • 聘请计算机取证专家来恢复泄露的数据;
  • 恢复PII受损客户的身份;
  • 恢复被更改或被盗的数据;和
  • 修复或更换损坏或受损的计算机系统。

传统保险政策通常不包括网络风险,这导致网络安全保险作为一种独立的保险类型的增长。潜在客户包括接受数字支付或存储客户个人识别信息(PII)的任何公司,包括医疗和财务信息。

一些网络保险政策涵盖为受数据泄露影响的客户提供信用监控服务的成本。2017年9月,消费者信用报告机构Equifax遭遇数据泄露,泄露了1.47亿人的个人信息。2019年,Equifax与美国联邦贸易委员会(FTC)达成和解。作为和解的一部分,Equifax同意花费4.25亿美元提供免费的信用报告、现金支付——例如,对于那些已经注册了信用监测服务的人——偿还从身份盗窃中恢复过来所花费的时间或金钱,以及免费的身份恢复服务。假设Equifax的数据泄露情况包含在此类保单中,那么网络保险单本可以支付其4.25亿美元和解成本的一部分。

许多入门级网络安全保险单仅承保第一方损失,但一些保险公司也开始提供承保第三方责任损失的保单。

许多网络安全政策都排除了由人类引起的可预防的安全问题,例如配置管理不善或对数字资产的粗心不当处理。网络安全政策排除的其他问题包括:

  • 先前存在或先前发生的违规或网络事件,例如在购买保单之前发生的事件;
  • 员工或内部人员发起和引起的网络事件;
  • 非故意网络攻击造成的基础设施故障;
  • 未能纠正已知漏洞,例如公司知道存在漏洞,但未能解决该漏洞,然后受到该漏洞的危害;和
  • 改进技术系统的成本,包括系统或应用程序的安全加固。

如何选择网络安全保险单,网络保险的费用是多少?

通常,网络保险定价基于被保险实体的年度收入和行业。为了获得保险资格,个人或实体通常必须提交保险公司的安全审计,或在批准的评估工具(如联邦金融机构审查委员会(FFIEC)提供的评估工具)的协助下提供文件。安全审计的结果或经批准的评估工具的文件将纳入网络保险提供商提供的保险类型以及保费成本。

截至2019年,网络安全市场还很年轻,许多公司选择放弃这类保险,因为其投资回报率(ROI)不确定。在美国,隶属于国土安全部(DHS)的网络安全和基础设施安全局(CISA)正在鼓励企业改善其网络安全,以更实惠的价格获得更多的覆盖率。

由于网络安全保险是一种新的保险,不同的保险公司的保险单会有很大差异。要选择一项政策,公司应仔细审查政策细节,以确保其包含必要的保护和规定。此外,公司应评估政策是否针对已知和新出现的网络事件和威胁状况提供保护。

本文:

标签