国外的网络保险开始发生变化

随着勒索软件、网络钓鱼和拒绝服务攻击的频率和严重程度的增加，网络保险的需求也在增加。根据美国全国保险委员会于2022年10月发布的备忘录，2021记录的直接书面保费约为65亿美元，较上年增长61%。许多企业用户认为，网络保险对公司的风险管理战略至关重要，并且越来越多的组织要求其业务合作伙伴拥有网络方面的保障。

然而，保单成本正在上升，网络保险的门槛在提高。参保人要提供更多网络安全战略和举措的证据，才能符合参保条件。同时，也就意味着CISO在其中扮演着重要角色。

“这是一场需要在高管层进行的对话，包括首席执行官、风险管理人员和CISO。他们都需要全面考虑风险管理战略。”——FTI咨询公司高级管理总监Tracy Wilkison

网络保险的变化

最早期的网络保险可以追溯到20世纪90年代末，当时的条款主要是依据传统的保险单来承保网络事件。到了2015年左右，随着越来越多的保险公司开始提供独立的网络保险政策，情况发生了变化。

2017年NotPetya的大规模攻击事件发生后，某些索赔遭到保险公司的拒绝。理由是，攻击是由民族国家支持的黑客攻击应被视为战争行为，因此符合战争除外条款。

两起诉讼

制药公司Merck & Co因其提交的全风险财产保险损失（14亿美元）被拒绝，起诉了保险公司。2022年初，新泽西州法院裁定默克公司胜诉。

另一起案件中，跨国食品饮料公司Mondelez International2017年遭遇网络攻击，同样在索赔被拒绝后，起诉了其保险公司。该公司于2022年与其保险公司 Zurich American Insurance达成和解。

Forrester Research的高级分析师Alla Valente表示，网络攻击事件的不断增加，因此而造成的损失不断增加，促使企业越来越关注网络保险。在几年前，网络保险还可以相对轻松的成单。但在近几年，尤其是后疫情时代，勒索软件造成业务中断然后形成索赔的事件大幅增加，网络保险的门槛陡增。

此外，网络事件与传统的安全事件不同，后者往往在特定地点，事件可控损失可控，并且有长期精算数据和可预测的参数。而网络事件，其后果和恢复成本都很难预测。

“在每个组织现在所拥有的关系生态系统中，（攻击）就像一种疾病，它从一个地方开始，可以非常迅速地传播。因此，如果一家公司成为网络攻击的受害者，与他们有业务往来的所有相关者都会受到影响。”

日益增长的网络保险需求

保险提供商Hiscox在其《2022年网络准备报告》中调查了8个国家的5181家不同规模和行业的公司，发现64%的公司将网络保险作为独立保单或某种保单的一部分，而两年前这一比例为58%。

特权访问管理软件厂商Delinea在11月发布了一份网络保险报告，该报告基于对300名美国IT决策者的调查，发现上网络保险的公司，80%使用过其保单政策。另外，超过一半的公司不只一次的使用过保单。

另一方面，保险公司不得不要求投保人具备较高水平的安全控制措施，并能证明这些控制措施有效，以应对日益增多的赔付事件。例如，在前几年只需要填写一份基本的问卷，就可以得到一份保单。

但在这两年，网络保险公司要求申请人提供更多信息，如SOC 2合规、多因素认证、事件响应、恢复计划、安全意识培训和具体的安全策略等，保险公司甚至会指定发生网络事件后聘用的律师、取证人、取证范围，否则要么无法签单，要么保险范围和额度十分有限。

为了得到保单，投保企业的网络安全负责人可能会根据保险公司的要求调整其安全策略，并将其纳入他们的工作手册。

即便成功签订了保单，也不意味着一定能够得到赔偿。投保人还要证明其安全团队遵守了所有安全流程，并在获得保单时持续保持了在保单中所描述的安全级别。

以一起保险赔付案为例，美国旅行者财产保险公司于2022年向伊利诺伊州联邦法院提起针对投保人国际控服(International Control Services)的诉讼。前者要求法院允许其撤销其发给国际控服的一份保单，并无需支付勒索软件索赔。因为后者并未正确部署使用多因素验证。

网络保险的门槛提高

勒索软件和各种类型的攻击事件激增，意味着保险公司会支付更多的赔付成本，因此不仅要求投保人本身要具备更多、更严格的网络安全措施，保险公司还提高了保费。

Delinea的调研报告显示，约75%的调查对象在上次更新保单时看到保费的增加。此外，在保险覆盖范围上，约30%的投保人涵盖了勒索软件、赎金谈判和赎金支付，48%的投保人涵盖了数据恢复，约三分之一的投保人包括了响应、监管罚款和第三方损害赔偿。

从长远来看，网络保险值得吗？

当然，保险政策可以帮助组织降低网络风险、尽快恢复业务、弥补部分损失，甚至可以做为一个合作伙伴的优先项，让组织增强争取业务的企业竞争力。

即便如此，有些组织认为，他们很难证明支付保费的合理性，哪怕这可能会使他们失去一些商业机会。特别是一些中小型企业，无法满足保险公司要求的所有安全措施，自然也就谈不上签订保单。还有一些人认为，与其投资保险，不如投资更多的安全项目。

因此，网络保险的选择与投保人的网络安全水平有关。对于那些缺乏识别入侵行为并采取恰当保护措施能力客户来说，想要符合保单要求，安全外包可能是唯一的选项。但即便是那些拥有整个安全体系甚至是纵深防御、主动防御能力的客户而言，额外加一个经济补偿，以减少可能发生的损失也未尝不可。

在新的形势下，安全负责人需要与风险共存，考虑法律影响，紧密与其他高管合作，评估组织的网络安全态势，阐明面临的威胁形势，以量化风险，并就未来的最佳路径提出建议。

网络保险决策，其实质上是某种成本效益分析。

参考阅读