如果你的公司今天遭到网络攻击,它能付得起帐吗?整个账单,包括来自监管罚款、潜在诉讼、对组织品牌的损害以及硬件和软件修复、恢复和保护的成本?
鉴于网络攻击的价格以惊人的速度上升,这是一个值得仔细考虑的问题。
第二届年度网络犯罪研究的成本该研究报告称,每家公司侦查和恢复网络犯罪的年成本中值为590万美元,较2010年的中值增长了56%。每家公司的网络犯罪成本从150万美元到3650万美元不等。
越来越多的保险公司在违反和其他恶意数据攻击时提供网络保护。但到目前为止,他们遇到了一些困难。调查显示公司尚未接受这些政策,其成本可能是惊人的。
一年一度的PricewaterhouseCoopers全球信息状态安全调查2011年首次要求受访者关于他们的组织是否有保险政策以防止网络犯罪。占全球12,840名受访者的约46% - 其中包括CEO,CFOS,CIO和CSO以及IT和信息的副总统和董事安全- 对问题的回答是:“您的组织是否有保险单,这些保险单可以免受盗窃或滥用电子数据,消费者记录等?”
此外,17%的人表示,他们的公司已提交索赔,13%表示他们收集了这些索赔。(普华永道没有问为什么剩下的4%没有收集,但说他们可能被拒绝。)
因为这是普华永道第一次询问受访者关于网络保险的问题,所以无法知道这些数字是否代表着增长;然而,另一项规模小得多的调查显示,企业对网络保险的好感可能要慢一些。
2011年风险和财务经理调查,由全球专业服务公司塔沃森进行,发现164名风险管理人员的73%在没有购买网络责任政策的公司中调查的工作。约有37%的人没有策略表示他们认为他们的内部IT部门和控制是足够的,而另外15%的人表示,政策的成本太高或者他们没有过于关注风险。
在市场上的混乱
律师和信息安全负责人表示,他们遇到过许多对网络保险有误解的高管。他们说,决策者经常错误地认为,标准的公司保险政策和/或一般责任政策涵盖了与黑客攻击相关的损失,或者他们的网络政策(如果有的话)将涵盖与黑客攻击相关的所有成本。大多数时候,他们不会。
2011年2月,弗雷斯特研究公司(Forrester Research)的哈立德•卡克(Khalid Kark)发表了一篇论文,论述了网络保险的基本原理。该论文指出,许多公司仍在试图了解这些保单的基本原理,这些保单由ACE USA、丘博(Chubb)、哈特福德(the Hartford)和圣保罗旅行者公司(St. Paul Travelers Cos.)等航空公司提供。
最常见的问题围绕着什么类型的策略,他们涵盖的是什么,如何选择合适的政策以及是否需要这些保险。
富理达律师事务所(Foley & Lardner LLP)驻洛杉矶合伙人、信息技术与外包、隐私、安全与信息管理实务部门成员迈克尔•弗利(Michael弗利)表示:“我们仍然看到了知识差距。”
IT领导特别容易混淆,这只是因为cio、cso和其他IT高管传统上没有对企业保险政策做出决策。同样地,风险管理和法律团队通常会做出保险决策,但在购买保险时,他们通常不会寻找IT同行。
然而,在决定是否购买网络保险并确定购买的覆盖范围,这方面的投入是至关重要的。
“IT人民和风险人们迫切需要聚集在一起谈论信息技术方面的风险以及发生违规的可能性和结果,”IT风险顾问和IT安全理事会第2012年的IT安全理事会主席安全专业人士的组织Asis International。
“信息专业人士,尤其是信息安全负责人,需要站出来。他们需要明白,他们负责的不仅仅是安全。他们需要理解并阐明他们在风险方面面临的弱点。这是董事会的语言。”
覆盖了什么,不是什么
网络保险政策相对较新 - 仅大约十年的旧 - 并且仍在发展。弗格兰说,由于,高管和管理人员经常误解了哪些政策和不会覆盖的政策。
一些公司购买标准保险政策,并认为它们完全被覆盖,而不是意识到该政策可能会涵盖物理性质,而不是无形资产。例如,在一个财产保险政策下,将涵盖由不满的员工击杀的服务器的成本,但不是由于服务器停机时间因服务器而无法为客户执行服务的责任。
责任保险一般提供诉讼或索赔的保护,但弗格斯迅速指出,一般责任,错误和遗漏,以及董事和官员责任保险政策不会涵盖电子数据丢失或缺乏对该数据的访问。
“从财产犯罪的角度来看,这相当简单。你知道重置成本是多少。这是很容易理解的,”费格斯说。“但网络责任保险在这方面确实很重要。它可能是最昂贵的,而且很容易被误解。不同运营商的覆盖范围有很大的差异。”
Ken Goldstein,Chubb In保险公司沃伦,N.J的副总裁,解释说,网络保险分为两大桶。第一个桶涵盖与第三方负债相关的成本,即其他组织的索赔,第二个涵盖了第一方的费用和/或损失,即对您自己的组织造成损害。
此外,可以提供与违规行为相关的策略,例如第三方通知和公关费用。
当然,公司可以购买致力于解决第一和第三方的政策,因此他们涵盖了一系列情景 - 从通知数据被突破的客户的成本,甚至是雇用法医队的成本Goldstein说,支付勒索/赎金要求。(见Chubb系列的一个例子在这里.)
IT担任保险专家?
鉴于网络保险政策不是单规范的,并不像其他类型的企业保险那样直接,公司需要准确地确定他们需要的覆盖范围以及是否有意义,支付与该报道相关的保费是有意义的曾在全国律师事务所Duane Morris LLP的旧金山的合作伙伴埃里克J.Inrod说。
这就是它进来的地方。组织的风险管理和法律人员了解保险公司和排除的语言,但没有人能够更好地理解和阐明组织的信息安全系统,而不是运行它的人。
“首席信息官站在处理信息系统的第一线,应该了解实际和潜在的问题,”辛罗德说,他主持他公司的TechLaw10音频播客更新技术法律问题。
IT经理还可以帮助进行准确的成本效益分析。他警告说:“公司重建数据的成本可能比支付保险费要低。”
普华永道(PricewaterhouseCoopers)的一名负责人、证券基准测试专家马克•洛贝尔(Mark Lobel)解释说,风险评估过程需要的不仅仅是阐明存在哪些安全措施。
他说,公司首先必须确保他们遵循其行业的最佳信息安全实践。保险公司希望在编写任何政策之前了解一家公司的安全性,他们甚至可能需要第三方审计来验证到位的内容。
然后,IT领导者应该确定潜在的威胁,它们发生的可能性,以及如果这些威胁发生,它们将如何影响组织。
“你可以保护尽可能多,并确保抵御您的剩余风险。如果您不理解风险,您无法确保[正确],”Lobel解释说。“所以你必须有一种基于风险的方法。你必须能说,'这是我认为仍然出错的是,因为我不愿意花1亿美元的安全性。'”
Lobel建议公司考虑雇用第三方进行风险评估,以帮助充分识别和理解其安全风险并确定改进领域。事实上,他说,许多保险公司需要这样的独立评估来帮助确定保费。
IT能对决策过程提供什么样的洞见?Foley & Lardner的弗利弗利提供了两个例子。例如,一家家具制造商的IT主管应该能够清楚地说明,他的公司没有以电子方式存储客户数据,因此不太可能成为寻找信用卡号码的黑客的目标,但仍然有关键的系统,如果被盗,可能不仅关闭自己公司的业务,还可能关闭公司的合作伙伴组织——这一系列事件可能会让他的公司面临收入损失的债务。
另一方面,过度说,寻找客户数据的黑客在零售运营中对CIO非常关注;如果发生了违规行为,本公司可能需要花费数百万客户通知,公共关系和法律费用。
“风险管理人员不能在没有与CIO交谈的情况下做出这些决定 - 这就是将提供有关公司需求量的投入的人,以及它确实需要担心的人,”过于说。
并非所有公司 - 或所有IT部门 - 对Asis International的Fergus指出,这是对自我审查的自我审查。
“有一个态度的态度,”我很高兴不知道我不知道的东西,“他说。“这一般的人和商界人士一般不想在他们履行职责的能力方面受到批评。他们可能知道他们很容易受到攻击,但他们不想写下来。”
贴纸冲击
弗格斯说,即使在评估网络风险方面做过的追逐的公司也可以进入颠簸。“他们出去了[保险]运营商,他们得到了贴纸的震惊。”
这是因为网络责任保险可以花费7,000美元至每百万美元亏损。随着数十甚至数百万的损失可能总计,可以弥补这种成本的政策可以在保险费上呈现出惊人的额外成本。
“保险公司想要赚钱,而他们能做到这一点的唯一方式就是打赌你的保费将超过减轻索赔的成本。国际信息系统安全认证协会(ISC)的执行董事霍德·蒂普顿说。ISC是一个教育和认证信息安全专业人员的非营利组织。
决定购买的覆盖率有多棘手 - 太少,你不涵盖你的曝光率。太多了,你面临着天空高级保费的前景。
塔瓦森的风险和财务经理调查发现,61%的响应公司承载网络责任政策购买了1000万美元至4990万美元的限制,只有8%的购买政策,限制为5000万美元或以上。
该调查发现了公司如何抵达其特殊限制的各种原因,但36%的人表示,其经纪人提出的限额,15%表示他们审查了第三方网络风险管理公司的曝光程度。
计划B:说不
一些公司看一下覆盖范围和搁置的成本。过度说:“一个基本的决定因素[因为没有得到它]是它的昂贵。”
另一个令人担忧的问题是,包括索尼(Sony)和犹他大学(University of Utah)在内的几起备受瞩目的索赔案件最终走上了法庭。
Tipton,其组织决定不购买网络保险,担心购买网络保险的公司可以成为松懈。“一家公司不应该让自满就是因为他们被保险,”他警告道。“疏忽是不可挽救的,如果没有实践尽职调查,你的声誉或股票价格也不是。”
蒂普顿认为,更重要的是,一旦发生泄密事件,保险无法帮助他的公司挽回它将遭受的最大、最有价值的损失:它的声誉。
“声誉损害是巨大的,保险无法解决这个问题,所以我们花费我们的努力和时间保护[我们的系统],”他说 - 同时承认没有保险,如果一个没有保险,公司将在钩子上发生重大违规行为。“没有100%无风险的东西。我们的工作是评估和管理我们的风险 - 不要试图消除所有风险。”