保险：煤矿里的金丝雀

本书的作者之一Richard Seiersen曾是首席信息安全官(CISO)，现在担任网络保险公司Resilience的首席风险官(CRO)。这两种观点为网络安全风险提供了有用的视角。保险的核心是“言出必行”信守承诺的业务。当保险公司做出错误的赌注时，他们就会受到惩罚。然而，为了保持竞争力，他们不能随心所欲地收费。他们有强烈的动机去收集大量数据，进行数学计算，并找出在他们所涵盖的风险中最好的选择。这并不意味着他们总是对的。毕竟这是一个赌注。但他们已经做好了功课，他们的分析通常比大多数公司所能收集到的要好。

理查德会指出，当保险公司提高保费、收紧承保要求或完全停止销售某种保险时，就会暴露出他们对风险的担忧。它们就像是风险煤矿中的金丝雀。网络保险领域发生的事情是CISO应该关注的领先指标。

根据全国保险专员协会(NAIC)的数据，从2017年到2021年，收取的保费总额增加了45%，同期为索赔支付的保费比例增加了一倍多。这意味着同期支付的网络保险索赔总额增加了两倍多。请注意，索赔仅涵盖部分损失。它们不包括保留（零售消费者保险称为免赔额）、任何超出保险公司承保限额的内容以及战争行为等除外情况。

如果索赔彼此完全独立，那么每年都会有一些预期的变化，就像掷100个骰子得到的总和与掷另外100个骰子得到的答案略有不同。保险公司在如何管理支付索赔的准备金方面对此进行了规划。然而，NAIC观察到的变化量远远超出了随机侥幸所能解释的范围。有一些共同的潜在趋势促使所有索赔变得更加频繁和昂贵。这就是劳合社负责人之前提到的“系统性风险”。除了索赔规模更大、更频繁之外，还存在许多索赔可能同时发生的风险，这使得保险公司很难或不可能承保这些索赔。此外，一场关键的法律纠纷给保险公司带来了新的系统性风险，迫使他们重写保单，或者在某些情况下退出网络保险。2022年1月，由制药巨头默克公司引发的，最大的网络保险提供商Chubb在是否应赔偿14亿美元损失的诉讼中败诉。默克受到名为“NotPetya”的恶意代码的攻击，该代码对数千台默克计算机上的数据进行了加密。

由于袭击的来源是与俄罗斯情报机构有联系的六名俄罗斯人，丘布认为这是一种战争行为，通常不包括在财产保险中。但法院裁定该政策仅排除实体战争，不排除网络战争。其他保险公司注意到了这一点，并通过制定更严格的承保要求做出回应。2022年8月，伦敦劳合社建议所有通过其平台销售的网络保险公司停止销售政府机构赞助的网络攻击保险。

攻击默克的NotPetya恶意软件基于一些以前称为Petya的代码。虽然Petya被用于勒索软件，但对默克的攻击并不要求赎金。该代码据报道称是俄罗斯为攻击乌克兰系统而创建的，其目的只是为了破坏。虽然对受影响的人来说既具有破坏性又造成经济损失，但情况可能会更糟。

SolarWinds公司的另一次黑客攻击显示了一种恶意软件的传播范围。SolarWinds开发系统性能监控软件。Orion网络管理系统是其软件包之一，被30,000多家公共和私人机构使用。2020年，SolarWinds向其客户发送的Orion更新被发现包含一些恶意代码。虽然攻击范围很广，但公司（尤其是保险公司）似乎躲过了一劫。以任何标准衡量，SolarWinds黑客攻击都是一次重大攻击，但其动机似乎更多是为了获取政府机密数据，而不是个人利用。

另一方面，NotPetya的最初目标是一家乌克兰软件公司，但恶意代码泄露给乌克兰国家银行等众多乌克兰实体，并传播到全球。它带来了数十亿美元的影响——其中大部分是附带损害。但它的传播范围仍然没有攻击SolarWinds的恶意软件那么广泛。如果一次攻击像SolarWinds一样广泛，并且像NotPetya一样具有破坏性，那么我们的故事就会完全不同。

战争行为排除的变化加上此类事件发生频率的明显增加，增加了越来越多的系统性风险。广泛使用的软件的潜在弱点；公司、供应商和客户之间相互依赖的网络访问；大规模、协同攻击的可能性所影响的甚至不仅仅是一家大公司。在2016年《如何衡量网络安全风险》第一版中就表达过这一观点，现在也同样如此，甚至更多。如果这在短时间内导致多项重大索赔，可能是保险公司实际承保范围之外的更大负担。令保险公司担心的是，即使是迄今为止最严重的攻击，也没有达到应有的规模。