技术,在大多数组织如何开展业务,社交媒体和网上交易的发挥关键作用的今天接触到潜在客户。这些车辆也可以作为网关网络攻击。无论是推出的径流式的磨黑客,罪犯,有业内人士甚至民族国家,网络攻击很可能发生,并可能导致中度为大型和小型组织严重损失。作为一个风险管理计划的一部分,组织通常必须决定哪些风险回避,接受,控制或转让。转移风险是其中的网络保险的用武之地。
什么是网络保险?
一个网络保险政策,也被称为网络风险保险或网络投保责任险(CLIC),旨在帮助通过网络有关的安全漏洞或类似的事件后恢复参与抵消成本的组织减轻风险。凭借其在错误和遗漏根(E&O)保险,保险网络在2005年开始迎头赶上,与预计到2020年保费总额将达75亿元。根据普华永道,了解美国公司的三分之一目前购买某种类型的网络保险。
这些数字表明,组织看到需要网络保险,但到底是什么它涵盖?网络保险通常涉及到有关的第一方和第三方索赔费用。虽然对于承保这些政策没有标准,以下是常见的报销费用:
- 调查:取证调查是必要的,以确定发生了什么,如何修复损坏以及如何防止同类型违反在将来发生。调查可能涉及的第三方安全公司的执法和联邦调查局的服务,以及协调。
- 业务的损失:一个网络保险可以包含由一个错误和遗漏政策涵盖类似物品,以及金钱损失(由于疏忽等原因而产生错误)所经历的网络中断,业务中断,数据丢失恢复和参与管理危机成本,这可能涉及修复声誉受损。
- 隐私和通知:这包括所需数据泄露通知客户和其他受影响的当事人,这是法律在许多司法管辖区的规定和信贷监控客户,其信息是或可能被突破。
- 诉讼和勒索:这包括机密信息和知识产权,法律裁决和监管罚款释放相关法律费用。这也可以包括网络勒索的费用,如勒索。
[相关:网络保险的需求升温,但市场仍不成熟]
请记住,网络保险仍在发展。网络风险变化频繁,组织往往不报告,以避免负面宣传,损害了客户的信任破坏的全面影响。因此,承销商必须在其上确定攻击的财务影响数据的有限。从本质上讲,网络攻击的真正的风险并不完全了解。
作为一个网络保险买家,要寻找什么
知名保险公司提供许多网络保险的政策,如安联,丘博费城和旅行者,仅举几例。保险行业观察家认为,客户会很快想到网络保险各项业务的保险公司的产品线的一部分。然而,像任何商业保险,网络保险由保险公司和政策变化。
当保险公司之间的比较策略,发现他们是否覆盖所有的一节并询问下列特殊情况和限制在列出的项目:
- 保险公司是否提供一种或多种网络保险单,或保险范围只是现有保险单的延伸?在大多数情况下,独立策略是最好的,也更全面。还要查明该策略是否可针对某个组织定制。
- 什么是免赔额?一定要仔细比较各保险公司的免赔额,就像你对待健康、车辆和设施政策一样。
- 承保范围和限制如何同时适用于第一方和第三方?例如,该策略是否包括第三方服务提供商?在这一点上,找出你的服务提供商是否有网络保险,以及它如何影响你的协议。
- 该政策是否涵盖任何针对某个组织的攻击,或仅针对该组织的特定攻击?
- 该政策是否包括雇员采取的非恶意行为?这也是适用于网络保险的E&O保险范围的一部分。
- 该政策覆盖的社会工程以及网络攻击?社会工程中发挥着各种攻击,包括网络钓鱼,鱼叉式网络钓鱼和高级持续性威胁(APT)的作用。
- 由于APT的发生随着时间的推移,它可以是几个月到几年,该政策包含在其内的覆盖适用的时限?
小费:许多保险公司还提供覆盖项目清单来比较他们的竞争对手。使用这些清单认真地开始你的研究之前,添加到列表中。
保险公司在决定承保范围时考虑的是什么?
保险公司希望看到一个组织评估其漏洞的网络攻击(创建网络风险配置文件),并通过使防御和控制,以防止尽可能多的攻击如下的最佳做法。职工教育的安全意识形式,尤其是对网络钓鱼和社会工程,应该是一个保护计划的一部分。升压最佳做法可以包括已经执行过(即使没有法律,法规规定)威胁评估机构。明智的做法是对零日和针对性攻击的最新信息,使用威胁情报服务,并从事道德黑客的服务,以揭示存在安全隐患。
注意:威胁情报和道德黑客服务对许多小企业来说是困难的,或者在经济上是不可能的。但是,投资于某种类型的脆弱性评估工具或使用渗透测试人员的服务来探测外部网络防御一次,可以在协商网络保险的同时大大提高安全性。
由于网络保险变得更加规范,保险公司可能会要求一个组织的流程和管理的审计覆盖面作为的条件。而且不要如果保险人同意提供覆盖,但惊讶于以下(有时远低于)你觉得你的水平需要。如果是这样,继续面试保险公司找到最好的交易。
制作为网络保险的商业案例
任何存储和维护客户信息、收集在线支付信息或使用云服务的组织都应该考虑在预算中增加网络保险。再考虑一下现在连接到商业网络的设备的激增——这给恶意用户访问企业资产提供了更多机会。
针对所有业务的攻击也日益增多。小企业往往认为他们是安全地从曝光局促,但赛门铁克发现,在2015年网络钓鱼攻击超过30%的人发动了对组织少于250名员工。赛门铁克2016年互联网安全威胁报告表示2015年43%的袭击是针对小企业的。
在更大的规模上,战略与国际研究中心在2014据估计,网络犯罪每年给全球经济造成的损失在3750亿美元到5750亿美元之间。尽管来源不同,但数据泄露事件给大公司造成的平均损失超过300万美元。每个组织都必须决定他们是否可以冒这一数额的风险,或者网络保险是否有必要支付可能发生的费用。
[相关:农民保险关注无人机、物联网]
请记住,网络保险覆盖第一方损失,第三方索赔,但一般的责任保险只涵盖财产损失。索尼正赶上2011年的PlayStation黑客破坏后的情况下,用硬成本达到$ 171M,本来是可以通过网络保险抵消了该公司取得了一定的,它覆盖的时间提前。在一个案件中,苏黎世美国保险公司称,索尼的政策只涵盖物质财产损失,而不是网络的损害。
至于费用,网络保险的保费和基于组织的行业类型提供的服务,数据风险和暴露,安全状况,政策和年度总收入。仅作为示例,保费可从$ 800到$ 1,200顾问,报税以及为$ 10万到$ 500,000的收入小型组织,$ 10,000到$ 100,000对于那些数以百万计的收入。
开始
一个好的第一步是为您的公司创建一个网络风险概况,并创建一个您希望在事件发生时支付的费用清单。然后,您可以确定对第三方成本的估计。许多保险公司在他们的网站上提供一个保险计算器,帮助组织创建一个保险范围清单和估计成本。然后,你可以开始研究网络保险供应商。你所在行业的贸易协会可能会和美国商会分享一些信息。
这个故事,“网络保险网络攻击后,可以让您的企业漂浮”最初发表首席信息官 。