2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
普通責(zé)任險(xiǎn)的保單不承保電子數(shù)據(jù)損失,被保險(xiǎn)人或其員工的犯罪或故意行為,或索賠前發(fā)生的費(fèi)用。網(wǎng)絡(luò)責(zé)任安全保險(xiǎn)可以承保計(jì)算機(jī)因?qū)嶋H或被指稱發(fā)生安全故障而未能阻止或減輕計(jì)算機(jī)攻擊所造成的索賠等。3月18日,《衛(wèi)報(bào)》報(bào)道稱,一家名為劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司竊取了5000萬Facebook用戶資料,根據(jù)每個(gè)用戶的日常喜好、性格特點(diǎn)、教育水平,預(yù)測他們的政治傾向,進(jìn)行新聞的精準(zhǔn)推送,達(dá)到洗腦的目的,間接促成了特朗普的當(dāng)選。
有消息稱,劍橋分析公司并不是通過侵入數(shù)據(jù)庫的方式拿到的用戶數(shù)據(jù),而是完全基于Facebook當(dāng)時(shí)的服務(wù)條款和正常的API,用鉆空子的方式,取得了Facebook通過大規(guī)模數(shù)據(jù)監(jiān)控收集來的5000萬用戶信息。
受此影響,F(xiàn)acebook市值在一度縮水600多億美元。Facebook CEO馬克·扎克伯格(Mark Zuckerberg)在事件發(fā)生一周之后才發(fā)表聲明,對該事件做出了解釋,稱開發(fā)者過多地收集用戶信息的問題如今已得以解決。然而這并沒有讓民眾買賬。
下文編自未央網(wǎng)?!毒W(wǎng)絡(luò)責(zé)任保險(xiǎn):保險(xiǎn)與信息安全的協(xié)同發(fā)展》
(億歐注:本文主體內(nèi)容《網(wǎng)絡(luò)責(zé)任保險(xiǎn):保險(xiǎn)與信息安全的協(xié)同發(fā)展》原文刊載于未央網(wǎng)2016年6月14日,作者李東霖;完整內(nèi)容的摘編為道口保險(xiǎn)觀察小編Y小R)
一次次觸目驚心的網(wǎng)絡(luò)安全事件,讓全球公民一度陷入前所未有的恐慌,也再次提醒大眾,網(wǎng)絡(luò)安全防范已迫在眉睫。
2017年以來,網(wǎng)絡(luò)安全界似乎進(jìn)入了“多事之秋”。3月,2100萬Gmail和500萬雅虎賬戶在黑市公開售賣;4月,黑客團(tuán)體影子經(jīng)紀(jì)人曝光NSA黑客工具;同月,安恒安全研究院檢測到全球有超過9萬臺(tái)機(jī)器被利用曝光的黑客工具植入后門;5月,勒索病毒席卷全球,入侵150多個(gè)國家近30萬臺(tái)電腦;6月,一款名為“暗云Ⅲ”的木馬程序在互聯(lián)網(wǎng)上大量傳播······
中國大陸近年來也發(fā)生多起電商、門戶網(wǎng)站、互聯(lián)網(wǎng)金融平臺(tái)“泄密門”事件,既有郵箱賬號、密碼泄密,更有多起銀行卡信息泄露事件,包括持卡人姓名、身份證號、持卡類別、卡號、CVV碼等所有信息,均在地下產(chǎn)業(yè)鏈中進(jìn)行明碼標(biāo)價(jià),公開買賣。
消費(fèi)者迫切希望并且愿意從那些他們值得信賴并對他們提供足夠保護(hù)的公司獲得所需要的服務(wù)。
這種情況下,而對于各大企業(yè)而言,維護(hù)公司網(wǎng)絡(luò)安全和用戶隱私成為企業(yè)成功經(jīng)營的一個(gè)關(guān)鍵因素。
隨著互聯(lián)網(wǎng)+的發(fā)展,因?yàn)閷π畔踩粔蛑匾?,滋生出的各種重大安全問題也慢慢暴露,個(gè)人信息泄露問題就是其中之一,也是涉及面最廣、影響最大的問題。
當(dāng)今全球范圍內(nèi)企業(yè)出現(xiàn)數(shù)據(jù)泄露事故的可能性和實(shí)際案件都在不斷上升,每家公司都在大量存儲(chǔ)企業(yè)經(jīng)營數(shù)據(jù)、客戶信息、雇員信息,自己或商業(yè)合作伙伴的商業(yè)機(jī)密,一旦發(fā)生數(shù)據(jù)泄露,損失將難以預(yù)估。
網(wǎng)絡(luò)責(zé)任保險(xiǎn),是傳統(tǒng)保險(xiǎn)中留下的缺口,普通責(zé)任險(xiǎn)的保單不承保電子數(shù)據(jù)損失,被保險(xiǎn)人或其員工的犯罪或故意行為,或索賠前發(fā)生的費(fèi)用。
財(cái)產(chǎn)險(xiǎn)保單通常將承保范圍限定為風(fēng)險(xiǎn)導(dǎo)致的有形財(cái)產(chǎn)損壞或用途損失以及特定地點(diǎn)的有形財(cái)產(chǎn)損失。而網(wǎng)絡(luò)責(zé)任安全保險(xiǎn)可以承保計(jì)算機(jī)因?qū)嶋H或被指稱發(fā)生安全故障而未能阻止或減輕計(jì)算機(jī)攻擊所造成的索賠等。
-國外視角-
首先,國外對安全事件強(qiáng)制公開有成熟的法律保證,在國際范圍內(nèi)網(wǎng)絡(luò)責(zé)任險(xiǎn)并非新生事物且受眾頗廣,最為成熟且滲透率最高的是美國市場
,美國50個(gè)州中有46個(gè)州頒布了在發(fā)生數(shù)據(jù)泄露事件時(shí)需強(qiáng)制通知客戶,英國也在起草《歐盟數(shù)據(jù)保護(hù)規(guī)定EU Data Protection Regulation》,包括了數(shù)據(jù)泄露的強(qiáng)制通知。企業(yè)為了減少這類安全事件,一般會(huì)部署相應(yīng)的安全機(jī)制,但再強(qiáng)大的系統(tǒng)也可能被攻破,一旦發(fā)生安全事件,企業(yè)就需要告知用戶,采取相關(guān)的補(bǔ)救措施。
這種情況下,對于企業(yè)自有損失包括:取證調(diào)查、危機(jī)公關(guān)、法律咨詢、通知費(fèi)用、系統(tǒng)宕機(jī)的業(yè)務(wù)損失;對于企業(yè)的客戶,則面臨重發(fā)信用卡、應(yīng)對管理機(jī)構(gòu)詢問,數(shù)據(jù)泄露等損失。這么大的損失,在現(xiàn)實(shí)社會(huì)中可以通過保險(xiǎn)補(bǔ)償全部或部分損失,而同樣在網(wǎng)絡(luò)空間,也可以通過網(wǎng)絡(luò)保險(xiǎn)解決企業(yè)在信息安全方面遇到“不可抗力”的難題。
網(wǎng)絡(luò)保險(xiǎn)覆蓋主要包含四大類
:
1、技術(shù)錯(cuò)誤、失誤(Errors and Omissions)
例如IT企業(yè)的產(chǎn)品開發(fā)延期,產(chǎn)品集成出現(xiàn)錯(cuò)誤,由此造成的經(jīng)濟(jì)損失;
2、版權(quán)、商標(biāo)等知識產(chǎn)權(quán)(Media Liability)
例如與其他企業(yè)發(fā)生了知識產(chǎn)權(quán)糾紛,需要法律方面的費(fèi)用、賠償?shù)?
3、網(wǎng)絡(luò)、信息安全
例如企業(yè)存儲(chǔ)的商業(yè)機(jī)密或用戶數(shù)據(jù)泄露、數(shù)據(jù)丟失、病毒傳播和勒索等造成的損失。
關(guān)于勒索,很多企業(yè)曾經(jīng)受到勒索,如不支付一定費(fèi)用,其網(wǎng)站就被拒絕服務(wù)攻擊;2013年出現(xiàn)的勒索軟件Cryptowall半年綁架了52.5億份文件,其v3版本造成了3.25億美元的損失。關(guān)于數(shù)據(jù)丟失,例如,規(guī)模僅次于沃爾瑪?shù)牡诙罅闶凵蘐arget公司電腦網(wǎng)絡(luò)在2013年被黑客侵入,損失高達(dá)2.64億美元。
IBM報(bào)告認(rèn)為每年會(huì)出現(xiàn)9千萬安全事件,無論是上述哪種事件,企業(yè)很可能無法承受如此巨大的損失,此時(shí)保險(xiǎn)就成為了一種必要的補(bǔ)救手段,減少企業(yè)經(jīng)濟(jì)損失。
4、隱私數(shù)據(jù)
同樣都是數(shù)據(jù)層面的內(nèi)容,隱私數(shù)據(jù)主要是指現(xiàn)實(shí)環(huán)境中的失誤,如丟失存有敏感數(shù)據(jù)的筆記本,員工將帶有客戶信息郵件發(fā)錯(cuò)等等。
綜合這四類保險(xiǎn)類型,網(wǎng)絡(luò)保險(xiǎn)公司的賠償費(fèi)用包括有:對受影響客戶的通知和系統(tǒng)修復(fù)費(fèi)用、安全事件的調(diào)查取證費(fèi)用、危機(jī)管理費(fèi)用、業(yè)務(wù)中斷造成損失的費(fèi)用、支付勒索的費(fèi)用、受損數(shù)據(jù)還原的費(fèi)用、補(bǔ)償入侵造成的賬戶財(cái)務(wù)損失的費(fèi)用,以及補(bǔ)償電信詐騙造成的損失的費(fèi)用等。
網(wǎng)絡(luò)攻擊和信息泄露可能給企業(yè)帶來的影響是營業(yè)中斷或者收入顯著下降、法律責(zé)任、監(jiān)管和行業(yè)的調(diào)查等等;而對于用戶端也會(huì)產(chǎn)生如無法享受服務(wù)或服務(wù)體驗(yàn)下降、個(gè)人隱私泄露、財(cái)產(chǎn)損失等負(fù)面影響。這就要求,各個(gè)企業(yè)在發(fā)展業(yè)務(wù)的同時(shí),必須加強(qiáng)相關(guān)的安全防范措施。
據(jù)統(tǒng)計(jì),每年由于網(wǎng)絡(luò)攻擊造成的商業(yè)損失高達(dá)4千億美元。
歐美成熟企業(yè)每年網(wǎng)絡(luò)安全投入占整體IT投入大約10%,而在國內(nèi)還不到3%。2015年全球網(wǎng)絡(luò)安全市場規(guī)模預(yù)測為770億美元,2020年將達(dá)到1700億美元,未來3~5年將保持至少10%~15%的年增長率。
當(dāng)然,從某種角度來說,互聯(lián)網(wǎng)+保險(xiǎn)——網(wǎng)絡(luò)責(zé)任保險(xiǎn)在中國的成熟普及推廣,可以在最大程度上避免企業(yè)的損失,同時(shí)避免消費(fèi)者的損失。
-國內(nèi)市場-
據(jù)了解,中國大陸之前尚無此類保險(xiǎn)產(chǎn)品,在整個(gè)亞太地區(qū),也只有新加坡、澳大利亞和香港等相對發(fā)達(dá)的國家和地區(qū)有相關(guān)保險(xiǎn)。
國內(nèi)市場方面,蘇黎世保險(xiǎn)在中國大陸率先推出了“安全與隱私保護(hù)綜合保險(xiǎn)”,協(xié)助企業(yè)主動(dòng)加強(qiáng)信息保護(hù)方面的責(zé)任。
目前,包括各大電商、互聯(lián)網(wǎng)金融巨頭也有準(zhǔn)備甚至開始試水,大家似乎都在等待領(lǐng)頭羊的出現(xiàn)。
2016年1月中旬,眾安保險(xiǎn)開始嘗試提供數(shù)據(jù)安全險(xiǎn),為企業(yè)虛擬資產(chǎn)數(shù)據(jù)的安全承保。
當(dāng)網(wǎng)絡(luò)保險(xiǎn)普遍被企業(yè)所接受時(shí),如何提高企業(yè)安全水平,減少針對企業(yè)的安全事件,就是擺在保險(xiǎn)公司面前的現(xiàn)實(shí)問題。下一步,就需要保險(xiǎn)公司與安全廠商建立新的更緊密的關(guān)系。
同時(shí),隨著網(wǎng)絡(luò)保險(xiǎn)的普及,未來安全的發(fā)展將呈現(xiàn)如下的趨勢:
首先,根據(jù)Gartner報(bào)告,自適應(yīng)安全體系,將成為未來安全的主流趨勢。
這就要求企業(yè)的安全產(chǎn)品不僅要解決當(dāng)前的安全問題,還要未來可擴(kuò)展。這就意味著,規(guī)劃安全體系一定要先考慮企業(yè)日益變化復(fù)雜的IT環(huán)境和業(yè)務(wù)變化,并可應(yīng)對專業(yè)組織化的高級攻擊行為為目標(biāo)。
所以,企業(yè)對安全防護(hù)的規(guī)劃設(shè)計(jì)上需要前瞻性地脫離對基礎(chǔ)設(shè)施的依賴,防護(hù)能力要從物理層上升到業(yè)務(wù)邏輯層次,這樣才能很好地應(yīng)對未來的安全挑戰(zhàn)。
在實(shí)際操作中,如何將安全專家的經(jīng)驗(yàn)和實(shí)施自動(dòng)化,是企業(yè)安全產(chǎn)品的一個(gè)核心課題。目前最佳解決方法是“人機(jī)協(xié)作”,在幫助安全專家從繁瑣低級工作中解放出來的基礎(chǔ)上,提供給他們智能的機(jī)器學(xué)習(xí)系統(tǒng),用于共同構(gòu)建業(yè)務(wù)的正常行為模式,包括梳理業(yè)務(wù)單元、行為模式、訪問關(guān)系、設(shè)置行為錨點(diǎn)等,這樣的積累梳理將真正構(gòu)建企業(yè)安全以數(shù)據(jù)驅(qū)動(dòng)的強(qiáng)大能力。
其次,可度量、可視化的安全是未來安全的發(fā)展趨勢。
企業(yè)安全的工作成績和效果如何考量?是安全團(tuán)隊(duì)發(fā)展和管理的一個(gè)重要問題。當(dāng)安全團(tuán)隊(duì)內(nèi)外,特別是上級管理部門都不能清晰感知安全工作的效用時(shí),企業(yè)安全的發(fā)展必然非常緩慢。
目前很多企業(yè)產(chǎn)品都意識到這一點(diǎn),并紛紛構(gòu)建基于風(fēng)險(xiǎn)指數(shù)的管理視圖,綜合外部威脅情報(bào)、內(nèi)部風(fēng)險(xiǎn)薄弱點(diǎn)評估、核心資產(chǎn)價(jià)值評估、安全資源等多個(gè)因素形成全局報(bào)表,并呈現(xiàn)出可衡量、具備指導(dǎo)性的風(fēng)險(xiǎn)指數(shù)和改善建議。
目前,國內(nèi)由于法律法規(guī)不夠健全,所以企業(yè)通常沒有動(dòng)力主動(dòng)公布相關(guān)安全事件,所以網(wǎng)絡(luò)和信息安全方面的保險(xiǎn)相對落后。除了金融、運(yùn)營商、政府和能源等行業(yè)的大型企業(yè)有安全需求外,很多中小企業(yè)沒有部署安全產(chǎn)品或安全機(jī)制,出現(xiàn)安全事件后沒有較大損失,更沒有動(dòng)力去談網(wǎng)絡(luò)保險(xiǎn)。相信如果《網(wǎng)絡(luò)安全法》正式頒布后,特別是諸如“及時(shí)向用戶告知安全缺陷、漏洞等風(fēng)險(xiǎn)”等條款的執(zhí)行,會(huì)推動(dòng)企業(yè)重視自身的安全保障。此時(shí),安全廠商的安全產(chǎn)品和保險(xiǎn)公司的網(wǎng)絡(luò)保險(xiǎn),可共同提供技術(shù)和資金上的保障,使企業(yè)更愿意在安全防護(hù)方面投入。
最后需要強(qiáng)調(diào)一點(diǎn),雖然作為企業(yè)安全防護(hù)的最后一道防線,網(wǎng)絡(luò)保險(xiǎn)可以避免企業(yè)造成巨大的損失,但應(yīng)該要意識到保險(xiǎn)本身不是萬能的,
如網(wǎng)絡(luò)保險(xiǎn)不能解決如信譽(yù)受損、未來營收受影響內(nèi)部系統(tǒng)需改進(jìn),以及知識產(chǎn)權(quán)丟失這些問題。所以采購安全產(chǎn)品,部署安全方案,使用安全服務(wù),還是企業(yè)在安全防護(hù)方面應(yīng)該考慮的第一要素。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。