政府将研究网络保险支持

对网络保险业限制覆盖范围的担忧促使联邦政府询问是否应该提供支持或其他机制，以确保灾难性事件不会没有保险。

美国财政部和网络安全与基础设施安全局正在征求意见，直到11月中旬，内容是在关键基础设施遭受灾难性网络攻击的情况下，保险公司面临的毁灭性金融风险是否应该导致新的联邦方法。

这两家机构表示，他们不致力于任何特定的方法，而市场的变化，如联邦政府愿意承担保险公司在特大事件后感受到的损失，需要立法。

征求意见的几周前，美国国会的一项研究对网络保险公司限制其金融敞口敲响了警钟。

政府问责局发现，保险公司在降低保单限额和收取更高保费的同时引入了新的除外责任。

这些限制出台之际，网络事件的速度正在加快，关键基础设施遭受数字攻击的风险也在增加，无论是因为俄罗斯入侵乌克兰，还是互联网连接的操作技术系统的兴起。

网络保险和风险管理提供商Converge的首席执行官安东尼·达戈斯蒂诺在给信息安全媒体集团的一封电子邮件中表示，随着网络风险的增加，人们越来越担心灾难性事件产生的潜在成本意味着保险公司无法充分承保风险。

支持可能是有帮助的，这不应该阻止公司投资网络安全或保险公司激励更好的安全。

恐怖主义风险保险计划为网络保险市场提供了某种支持，但它并没有对市场产生安抚作用。

塔夫茨大学网络安全政策副教授约瑟芬·沃尔夫在本月早些时候的一次播客采访中表示，联邦政府“在某种程度上发出了信号，我们认为，你知道，在发生足够严重的网络攻击时，围绕恐怖主义风险或其他事情的一些现有支持措施可能适用”。

恐怖主义风险保险计划从来不是为了网络保险。它在2001年9月11日恐怖袭击后成为法律，以确保商业财产和意外伤害保险的连续性。

在任何保险公司援引联邦援助来支付被保险人之前，财政部必须证明事件的起因是恐怖袭击，并且由此造成的保险损失总计至少500万美元。

迄今为止，该方案尚未启动。

Optus 网络攻击加剧了解决网络保险漏洞的呼吁

澳大利亚移动电话公司 Optus最近面临的网络攻击已经激起了解决澳大利亚网络攻击的呼声。

最近，澳大利亚保险委员会(ICA) 对精算师协会关于网络风险和保险公司在保护澳大利亚人免受网络犯罪影响方面的作用的新报告和分析表示欢迎。

该报告呼吁政府、保险公司和企业合作解决在防范网络攻击方面的重大保险缺口，网络攻击已经让澳大利亚经济损失了数十亿美元。

在最近的一份声明中，ICA 同意保险公司编写网络保险的限制之一是缺乏可用数据。因此，通过提供网络事件数据，政府可以提高对网络风险和网络保险市场的了解，并协助保险公司进行风险评估。

“本周对 Optus 及其客户的非同寻常的网络攻击表明，对于大型和小型组织来说，拥有强大的网络保护是多么重要。这个令人毛骨悚然的例子提醒我们，需要做更多的工作来保护企业和组织免受网络攻击，”ICA 首席执行官 Andrew Hall 说。“与政府合作，保险公司可以发挥关键作用，帮助企业保护自己并从网络攻击中恢复过来。”

网络保险硬市场变得脆弱

在保险业，硬市场是指保险能力随着保费的上升而下降。任何试图在 2022 年购买或续订网络保险的人都知道，网络保险已经从坚硬、脆弱到崩溃。

网络市场的综合成本率在短短三年内从 2017 年的略高于 60% 加速到2020 年的略低于 100% ——这意味着保险公司面临无法在三年前的超高承保利润上实现盈利的危险。有利可图的产品。

作为回应，保险公司一直在提高保费并挑选拥有足够成熟网络防御的客户，以在网络不再盈利之前切实消除网络索赔并阻止流血。一些保险公司干脆完全退出了网络保险市场，而另一些保险公司则在减少覆盖范围、实施次级限制并完全降低总体限制。与此同时，保费继续增长，平均同比增长 25% ——一些客户的保费涨幅比往年翻了一番甚至三倍。

许多承保人没有足够的经验来正确评估和理解“野外”网络安全的细微差别，这给保险公司和被保险人造成了严重的困惑。由于与传统的财产和意外险相比，网络保险的性质瞬息万变，因此目前尚不清楚。在网络领域，没有数十年的损失数据和经过验证的真实预测模型可用于为承保建立盈利基础。如果创建了基于损失的模型，随着威胁的演变和威胁参与者改变策略，它们可能在几年内变得毫无价值。

承保申请也可能过于死板，传统保险公司依赖纸质和 PDF 申请，对潜在客户的网络风险提出全面问题。这采用了与承保人评估建筑物屋顶冰雹损坏的潜在风险相同的方法。

这些一揽子问题之一的一个例子就是太熟悉了“您的所有帐户都具有多重身份验证 (MFA) 吗？” 这没有留下细微差别或解释的余地，例如在遗留或服务帐户的情况下，客户可能会使用其他深度防御保护。对单个关键问题选择“否”的客户将被拒绝覆盖，而选择“是”的客户最好确定他们的答案是真实和诚实的，没有任何细微差别或解释的余地。

最后，存在越来越大的风险，即网络保险本身的存在正在为勒索软件火上浇油，因为它会激励威胁行为者继续以更高的保险范围攻击更大的目标，因为他们知道目标只会获得保险公司的赔付。这种威胁是保险道德风险原则的延伸——被保险人因为“购买了保险”而变得不那么谨慎——由于网络犯罪的盈利能力增加，降低了每个人的在线安全。毫无疑问，这一趋势导致保险公司取消勒索软件条款或减少勒索软件支付的限制，以阻止损失。

然而，一些新进入市场的公司开始以网络安全专业人员认为更可靠的方式评估网络风险：通过使用漏洞扫描、渗透测试和现实世界的可操作数据来评估实时风险。如果保险完全是使用数据来预测风险，那么网络专业人士知道，使用带有简单复选框的表单而不是实时漏洞扫描和威胁情报无法正确评估这一点。未来将属于网络保险公司，它们利用网络安全工具获取数据以预测风险，并与首先保护客户的风险缓解工具相关联。

索赔方面最大的陷阱是客户对过程和结果的看法。网络保险索赔与事件响应计划不同，尽管每个事件响应计划都应考虑索赔过程，因为它们需要同时发生。

网络保险更关注已经发生的事情，而不是正在发生或将要发生的事情。这与被保险人恢复系统和缓解主动违规的需求形成鲜明对比，更不用说防止未来的攻击了。事实上，网络索赔流程是围绕第三方责任设计的，可以说是保险公司的更大成本，而第一方损害赔偿则处于次要地位。

此外，保险公司越来越多地重新评估他们的战争行为条款以及这些条款与外国威胁行为者的关系。2017 NotPetya 勒索软件根据这些条款导致了两次不同的索赔拒绝，由此产生的诉讼直到现在才由法院裁决。今年早些时候，在默克诉 Ace 等人案中，新泽西州法院作出有利于被保险人的裁决，称战争行为条款不适用，而伊利诺伊州的亿滋诉苏黎世案仍在审理中。

虽然上述案件涉及客户，但就在去年 8 月，伦敦劳合社要求其保险公司在未来的政策语言中免除基于民族国家的网络攻击的承保范围。这一向行业发出的信号表明，可能会转向有利于保险公司。几年后，这些新的豁免可能成为网络保险客户的一个严重漏洞，因为民族国家威胁行为者继续升级他们的网络活动。

最后，作为对上述严格的 PDF 保险申请的认可，Travelers 对总部位于伊利诺伊州的 International Control Services (ICS) 提起诉讼，要求法院在去年 7 月撤销其保险单。ICS 在其保险申请中表明，它使用 MFA 进行管理或特权访问。在 ICS 的 5 月勒索软件事件之后，Travelers 的调查显示，几个关键系统没有受到 MFA 的保护，并表示应用程序的答案是重大虚假陈述。这个案例是同类案例中的第一个，它可能会让更多的客户没有保险，从而进一步撼动保险界。

网络保险对于网络风险管理人员来说仍然是一个有价值的工具，但它不能是唯一的工具。购买网络保险充满了索赔拒绝、申请问题和飞涨的成本。较新的保险公司正在进入市场，它们提供更好的风险评估工具和更好的风险管理工具，因此更有可能在不断硬化的市场中生存下来，同时在未来 10 年将我们所有人转向更好的产品。

与此同时，客户必须面对他们给出的选择：投入更多资金以获得更难的保险，或者至少使用其中一些资金来更好地保护自己免受攻击。

网络保险是对良好网络防御和威胁的补充。