网络洞察 2023 | 网络保险 - 新鲜讯息

网络保险——网络保险在 2020 年成为主流。在 2021 年，它发现其金额因勒索软件而出现错误，因此不得不大幅提高保费。2022 年，俄罗斯入侵乌克兰，可能引发更严重、代价更高的全球民族国家网络攻击——伦敦劳埃德银行宣布了一项更强有力、更明确的战争排除条款。

更高的保费和更广泛的除外责任是保险业平衡账面的主要方法——而且它已经不得不同时使用这两种方法。2023 年及以后的问题是网络保险行业能否在不破坏其市场的情况下获利。但有一点是可以肯定的：像保险这样的主流、资金充裕的行业，不会轻易放弃一个可以盈利的市场。

它还有第三个工具，尚未完全释放：掩护的先决条件。

劳合社的战争排除条款和其他困难

劳合社的免责条款可追溯到 2017 年的 NotPetya 事件。在某些情况下，保险公司拒绝支付相关索赔。塔夫茨弗莱彻大学网络安全政策副教授约瑟芬沃尔夫 (Josephine Wolff) 撰写了一部网络保险史，题为《网络保险政策：重新思考勒索软件、计算机欺诈、数据泄露和网络攻击时代的风险》。

“Merck 和 Mondelez 起诉他们的保险公司拒绝与袭击相关的索赔，理由是它被排除在由国家政府实施的敌对或好战行为的承保范围之外，”她解释道。然而，2021 年底的一项初步裁决于 2022 年 1 月启封，表明如果保险公司想将国家支持的攻击排除在承保范围之外，他们必须写明排除条款，而不是依赖样板战争排除条款。默克公司就其 14 亿美元的索赔获得简易判决。

俄罗斯/乌克兰的动能战争导致人们对民族国家激发的针对欧洲、美国、北约和其他西方国家的网络攻击的期望大大增加。劳埃德银行迅速作出回应，扩大了但以网络保险为中心的战争排除条款，该条款排除了将于 2023 年 3 月生效的国家支持的网络攻击。

但是“谁来决定攻击是否由国家支持？” 沃尔夫问。“攻击是由国家资助的，这意味着什么：它是由政府雇员实施的？还是政府出钱？或者甚至只是政府默许？国家支持的网络攻击并不少见——对它们的排除与处理相当明确和罕见事件的战争排除有很大不同。”

她不是唯一有这种担忧的人。“这里的问题在于归因的浑水”，Next DLP 的网络安全策略师 Chris Denbigh-White 解释说。“这次袭击是‘国家实施的’吗？” 它是“国家资助的”吗？是“国家启发”吗？或者它只是一个犯罪组织，为了经济利益而搭载现有的冲突？”

“展望未来，”Wolff 继续说道，“我认为保险公司及其保单持有人将发现自己陷入了很多关于归因的争论，以及如何定义网络攻击是由国家发起的、灾难性的或不可保的。” 有两件事是肯定的：安全捍卫者将对网络保险的成本/回报价值产生更多疑问，而保险公司将寻求新的方法来确保他们的市场不会消失。

保险公司有一个主要优势：几个世纪以来，保险一直是商业的主要组成部分，而且商业领袖似乎并不倾向于将其排除在保险之外。Delinea 的首席安全科学家兼顾问 CISO Joseph Carson 指出，他所在公司的调查显示，33% 的 IT 决策者应董事会和执行管理层的要求申请了网络保险。

他还指出，80% 的人随后求助于该保险，其中超过一半的人不止一次求助。“由于引入了更多的网络保险政策，最终许多企业需要使用它们，”他评论道，“网络保险的成本继续以惊人的速度上升。我希望看到这种情况在 2023 年继续下去。”

被保险人对投资回报下降的担忧并不是保险公司的唯一担忧——无论我们是否处于明确的衰退之中，世界肯定正在遭受经济衰退。这已经影响了安全预算。“公司在大流行期间花费了大量资金，现在经济已经降温，支出将回到 2019/2020 年的水平，”ThreatConnect 总经理 Jerry Caponera 解释道。

“一个很可能的结果，”他继续说，“是更多的公司将跌破网络安全贫困线 (CPL)。目前[在撰写本文时]通货膨胀率超过 8%——比中央银行 2% 的目标利率高出 4 倍——没有计划增加成本的公司将发现自己用于网络的资金减少，从而进一步下降低于 CPL，并发现自己面临着将下一笔投资花在哪里的艰难决定。”

公司将越来越需要在网络安全缓解措施或网络保险之间做出选择——而这些选择本身都不会使保险业受益。

保险公司的回应

2023 年是网络保险的分水岭。它不会放弃有望成为一个巨大市场的市场——但显然它不能继续其权宜之计，即简单地增加保费和除外责任以无限期地平衡收支。

一种选择是在其提供的封面中变得更加细化。它可以只提供特定领域的覆盖范围，而不是包含一长串排除项的单一网络安全政策。这将允许更严格地定义覆盖范围，如果有任何排除，则更少。此外，Deepwatch 安全战略副总裁克里斯·格雷 (Chris Gray) 表示，它将“允许对服务进行基本风险管理，同时提供对更高档/有影响力的攻击收取更高保费的能力。”

这种做法在其他行业并非没有先例。食品责任保险计划 (FLIP) 为年收入总额低于 500,000 美元的小型食品企业提供保险。远期合同保险保护 (FCIP) 计划是一种补充保险，为无法交付合同数量的农民提供赔偿。

“政府以制裁保险计划的形式进行干预——如 TRIP、FLIP、FCIP 等——可能会发展，并对覆盖范围及其对国家安全的影响进行重要讨论，”格雷建议道。

然而，未来几年最有可能发生的情况之一是网络安全要求的增加；也就是说，除非被保险人符合特定的安全状况，否则保险公司将拒绝承保。这是最后的选择——当您无法再增加保费和除外责任时，您必须减少索赔。而这最好通过帮助行业预防网络事件来实现。

这可能还不够。Next DLP 的网络安全策略师 Chris Denbigh-White 认为，“'确保消除网络风险'的概念将变得（并且可以说一直如此）有些不切实际。保险费、先决条件和保单除外责任无疑将在 2023 年继续增加，这将产生缩小实际承保范围并增加总体成本的效果。”

尽管如此，“先决条件”的扩展将是网络保险发展中的一个重大——而且可能是不可避免的——演变。网络保险最初只是一个相对简单的填补空白的工具。业界认识到标准商业保险并未明确涵盖网络风险，而网络保险的发展填补了这一空白。一开始，除了一些非特定的基础知识（例如安装 MFA）之外，无意向被保险人强加网络安全条件。

但现在，NetSPI 研究副总裁 Scott Sutherland 评论道，“保险公司的安全测试标准将会发展。” 以前有人做过，PCIDSS 就是典型的例子。Sutherland 解释说，支付卡行业“观察到与安全控制不足相关的个人/企业风险，主要利益相关者联合起来制定政策、标准和测试程序，以帮助各自行业以可管理的方式降低风险。”

他继续说道，“我对 2023 年的猜测和希望是，主要的网络保险公司开始讨论制定统一的网络保险资格标准。希望这将使更多合格的安全测试人员进入该市场，这有助于降低评估价格并减少网络保险公司承担的猜测/风险。毫无疑问，网络保险公司的数量要多于银行卡品牌，但我认为围绕这一问题和潜在解决方案展开认真讨论将符合主要参与者的最大利益。”

AllegisCyber 的创始人兼医学博士鲍勃·阿克曼 (Bob Ackerman) 同意萨瑟兰 (Sutherland) 对网络保险未来发展方向的看法，但对目前的进展持谴责态度。“不幸的是，保险公司一直在努力利用这个机会，编写的保单包含许多除外责任、高免赔额和低承保上限，并在此过程中显示出巨大的损失。市场机会将要求保险公司积极主动地定义绩效阈值，以便“可保”。

他认为 PCIDSS 风格的模型可能是解决方案。“通过制定标准和衡量相关绩效，保险公司可以帮助定义‘网络安全’并在此过程中建立有利可图的业务簿。”

GuidePoint Security 的 DFIR 和威胁情报副总裁马克·兰斯 (Mark Lance) 甚至提出了它可能的样子。“我们将继续看到从传统问卷调查到实际验证的扩展，这不仅包括标准安全解决方案（EDR、PAM、MFA）的基线、它们的相关配置和当前配置 (ASM)，还包括标准策略的存在（IR 计划、剧本）和执行能力（用户意识培训证明和桌面验证）。”

Secureworks 情报总监 Mike McLellan 补充说：“对希望获得网络保险的组织的要求将变得越来越严格，而不能或不愿遵守的组织将发现承保范围被拒绝。”

PCIDSS 风格的网络保险标准是否可行是一个单独的问题。尽管 PCIDSS 是一项备受推崇的安全标准，但它并没有消除盗窃支付卡详细信息的犯罪行为。GDPR 并未消除对 PII 的盗窃。简而言之，网络安全工具无法消除成功的网络攻击。

但即使要达到定义网络保险标准的阶段，保险业要么必须与现有安全供应商合作，要么自己成为一家网络安全公司。前者令人担忧——取决于关系的密切程度以及供应商寻求满足保险业而不是自己客户的程度——而后者注定要失败。二十多年来，更成熟的安全供应商一直致力于消除网络威胁，但收效甚微。

无论是否出现完整的网络保险安全标准，到 2023 年，保险公司和安全供应商之间的合作（如果不是协作的话）将会增加。公司的安全控制现在比以往任何时候都多。因此，我希望看到更多投资用于量化网络风险。这将推动安全公司之间更好的协作和数据共享，”Corvus Insurance 的 CISO Jason Rebholz 解释说。“网络保险公司将倾向于与技术公司建立合作伙伴关系，将安全数据与保险和风险建模见解融合在一起。最终结果是更准确的风险量化，这反过来将有助于确保保单持有人的安全。”

网络安全没有灵丹妙药。违规行为将继续发生，并且成本和严重程度将继续上升——保险业将继续通过增加保费、除外责任和保险拒绝来平衡其账目。正如 NetSPI 的首席信息安全官 Norman Kromberg 所言，“网络保险将成为安全和 IT 控制投资的主要驱动力”，对保险公司提高安全要求的最好期望是。

BlueVoyant 网络保险和法律业务发展主管 Jennifer Mulvihill 发表了一个有趣的评论：“承保流程和承保申请的完成是从网络角度进行自我评估和考虑资产保护的绝佳方式。从这些练习中收集到的信息不仅对 CISO，而且对董事会和 CFO 都是有价值的信息，并增加了金融投资和监管合规性。” 保险公司可以对申请保险的权利收费，但如果潜在客户必须付费，则该客户可以简单地为相同的服务向网络安全顾问付费，而完全忽略保险。

概括

保险业不太可能通过提高保费和通过增加除外责任减少支出来平衡其账目，也不太可能通过必要的网络安全标准来消除索赔。威胁种类繁多且极端。

“获得或维护政策是一项大规模的挑战，”DoControl 产品总监 Corey O'Connor 评论道。“您的业务发展得越大，满足这些要求的难度就越大。去年，越来越多的组织被提供商放弃，进入 2023 年，组织可能会出现无法获得覆盖的趋势。”

政府可能会被拖入等式。“我认为政府将面临压力，要求他们澄清在什么情况下他们会为灾难性网络攻击的承保范围提供某种支持，保险公司将面临压力，要求他们不要排除太多类型的攻击，投保人也将面临压力，要求他们在如果他们的要求被拒绝，请上法庭，”Josephine Wolff 建议。“保费上涨似乎并没有阻止企业购买网络保险，所以我不知道这些新型除外责任是否会阻止，但我想知道它们在面对重大网络攻击时的表现如何。”

“网络保险会成为昂贵的‘盒子里的勾选’还是会带来真正的价值？” Denbigh-White 问道。“它甚至会在 2023 年仍然是保险公司提供的可行产品吗？虽然携带网络保险正迅速成为许多组织的‘安全先决条件’，但随着我们进入 2023 年，它在成本和保险范围方面的收益仍不确定。”

但是“第一条规则”，Osirium 的产品专家 Mark Warren 警告说。“保险永远赢！” 保险将变得更贵、更难获得，而且赔付的可能性更小。“因此，更多组织可能决定根本不购买保险，而是专注于将资源投入保护。如果发生这种情况，我们可以期待看到保险公司与大型咨询公司合作提供联合服务。”

他担心购买网络保险可能只会成为开展业务的成本。“如果保险公司永远不会赔付，这可能毫无意义……但购买网络保险可能只会成为开展业务的必要成本——必须勾选一个方框，以向股东证明正在采取所有措施来保护业务和确保弹性和连续性。”