所谓网络安全保险,即为客户规避诸如数据丢失、网络中断等互联网风险的保险,这一类型的保险能为客户提供传统财产保险所不具备的服务,包括支付处理安全事件的财务成本。
一些反对者认为,网络安全保险是在变相地鼓励遭遇勒索的受害者简单地支付赎金,然后由保险公司来承担这些要求和损失,而不是通过提高安全性、拥有足够的防护措施来阻止勒索软件的侵入。
向网络犯罪分子支付赎金的做法并不违法,英国国防智库皇家联合服务研究所(Royal United Services Institute,RUSI)的一份研究报告表明,这种做法在一定程度上助长了网络犯罪,尤其当赔付转由保险公司承担后,无意中为网络犯罪分子的勒索行为提供了便利,促进了有针对性的赎金业务的增长。
RUSI还表示,这种业务对网络保险行业来说也是不可持续的,大量的赎金支付已经成为一些保险公司的生存威胁。另有数据显示,2019年,美国的网络安全保险同比增长11%,达到创纪录的22.6亿美元。不仅保费快速增长,勒索软件的攻击也在快速增长,这使保险公司的赔付率由38%上升到 45%。
但也有人对此提出不同看法。随着勒索攻击的复杂性增加,网络犯罪分子将会要求更高的赎金,就惨痛的现实案例来看,拒绝支付赎金可能会导致长时间的业务停顿,以及试图从头开始恢复网络的巨额成本,而支付赎金通常比重建IT基础设施或弥补业务中断造成的损失更加便宜。
根据RUSI的另一份报告,网络安全保险实际上可以在积极破坏勒索软件商业模式方面发挥作用,通过鼓励保单持有人改善他们的安全防御,以尽可能地防止他们成为勒索软件攻击的受害者。该报告建议,保险应要求“最低限度的勒索软件控制”作为任何勒索软件承保范围的一部分。控制措施包括及时修补面向外部的 IT 结构中的关键漏洞、启用远程访问服务的多因素身份验证、通过采用网络分段和实施程序以确保创建定期备份来限制横向移动。
我们也可以看到,不少保险公司已经做出了这样的行动。据《金融时报》最近报道,保险公司已经在提高保费,并对意欲购买网络安全保险的组织所使用的安全策略提出更严格的要求。《华盛顿邮报》报道称,保险公司将要求高度安全,并削减他们愿意提供的保险金额。
所有这些改变都展现出一种趋势——首先是防止勒索软件攻击的发生,或者减轻勒索软件攻击可能造成的损害,如果不幸成为勒索软件攻击的受害者,支付赎金将是绝对的最后手段,而不是而作为最简单的优先选择。这样良性的循环如果形成,也将有效降低网络安全保险行业未来的风险,减少保险公司在客户遭勒索软件攻击后为解密密钥支付巨额赎金的需要。
勒索软件与网络安全保险之间的双向影响,需要保险行业、安全厂商、潜在受害企业和政府都积极作出反应。对于企业组织来讲,到底需要花多少钱才能确保自身网络系统的安全,但绝对的网络安全并不现实,这本身也是一个风险。网络安全厂商梗专注于为某个公司、某个行业或某种业务场景提供安全解决方案,但是保险公司会从另一个角度看待这个问题,他们更注重网络空间整体的安全性。至少在目前,网络安全保险对网络安全建设和实践的积极影响尚未完全释放,仍有很大的空间值得去探索和填补。
京公网安备 11010802033237号
