保险公司通常有几十年甚至更长时间的数据来进行风险估计。
然而,网络风险并非如此。可获得的历史数据非常少,数据也不完整,而且威胁格局不是每年都在变化,而是每天都在变化。甚至没有一套每个人都能同意的标准定义。
这种情况正在开始改变,因为保险公司扩大了他们的服务,以便更好地教育他们的客户关于网络风险,甚至帮助他们在攻击发生之前防御攻击,并处理当攻击发生时的后果。
我说potahto
购买网络保险的第一个问题是,没有人确切知道它是什么意思。例如,公司财务主管、证券经理和保险经纪人对风险有不同的理解。
根据一项最近cyberinsurance调查根据SANS研究所的调查,只有30%的承销商和38%的信息安全专业人士认为他们说的是同一种语言。
Advisen公司联合创始人兼首席策略长布拉德福德(David Bradford)说,即使在保险行业内部,不同保单的措辞也有很大差异。Advisen公司提供保险数据和分析,并帮助资助了SANS的研究。
例如,一项政策可能会提到“隐私泄露”,另一项政策可能会提到“数据泄露”,第三项政策可能会提到“网络安全不法行为”。
他问道:“侵犯隐私和违法行为是一回事吗?”“数据泄露和网络安全不法行为是一回事吗?”
他补充说:“很多语言还没有在法庭上得到验证。”
该公司总裁丹•魏丁表示,这一问题对中小型企业及其保险代理人来说尤其严重托罗咨询。
“保险买家不知道他们得到了什么,他们的风险是什么,保险代理人的知识也非常有限,”他说。“这就像盲人给盲人引路。”
史蒂夫·马龙,安全供应商的产品管理总监Mimecast
安全供应商的产品管理总监Steve Malone说,威胁状况不断变化,这使得跟上形势变得更加困难Mimecast.
在最近的一项调查中在该公司进行的调查中,只有10%的IT专家表示,他们相信他们的网络保险是完全最新的,而那些有网络保险的人,只有43%的人相信它涵盖了商业电子邮件欺诈。对于新的社会工程攻击也同样缺乏信心。
马隆说:“近一半(45%)的公司不知道他们的网络保险政策是否更新,以覆盖这些类型的威胁。”
测量风险
说到买保险,最重要的是风险。顾客抽烟吗?他们是安全的司机吗?他们家里有烟雾报警器吗?
而对于网络保险,无论是保险公司还是购买保险的企业,都没有一个很好的量化风险的方法。
因此,Advisen的布拉德福德(Bradford)说,价格可能相差很大。他说,例如,竞争对手的类似保险金额可能在1万美元到5万美元之间。
该公司副总裁凯西•科克伦说:“这种模式不像汽车或人寿保险行业那样存在。FourV系统.“经验数据还不存在,保险公司还没有一个可靠的答案,什么是责任,我需要确保多少。我们现在所处的时代,IT信息正以指数速度增长。你该如何调整一种模式,以适应指数级变化的事物,尤其是在一个习惯于一次写一年甚至更长时间政策的行业?”
FourV是众多试图帮助保险公司及其客户评估网络风险的供应商之一——不仅仅是在保单首次撰写时一次,而是在持续的基础上。
他说,这就像在车内安装了该公司的“快照”(Snapshot)装置的司机可以享受高达30%的折扣。
他说,例如,一些保险公司正寻求超越销售保单,提供完整的风险相关服务。他们会帮助公司在出售保单之前评估风险,然后帮助他们处理可能发生的违规行为。
他说,在网络安全方面帮助公司不仅能帮助保险公司更好地衡量客户的风险,还能让他们更好地了解所服务企业的风险。“如果我和CISO交谈,他们习惯于回答‘我们安全吗?“这是一份艰难的工作,但我得到了它。”当被追问时,信息安全机构通常会用技术术语来回答。”
例如,ciso将讨论他们已经就位的系统和流程。科科伦说:“这些都是活动,不是风险度量。”
“如果我是首席财务官,我对这个答案没有信心,”他表示。“保险公司提供的是在技术组织和风险组织之间进行解读。”
康涅狄格州哈特福德的企业网络主管蒂姆·弗朗西斯(Tim Francis)表示,保险公司必须学会适应这种情况旅行者.
他说:“你不一定有预测每一次迭代的远见。”“但是,你可以建立框架和结构,并拥有我们可以支配的资源,当这些威胁出现时,我们可以试图应对这些威胁。我们在Travelers所做的一件事是,我们不遗余力地聘请具有非传统保险背景的资源。”
他说,举例来说,Travelers聘请了技术专家、前联邦调查局(FBI)法医调查员和前网络犯罪检察官。
这使旅行者能够更好地了解客户的安全基础设施和风险,并了解哪些类型的漏洞最有可能导致入侵。
他补充说:“那些在网络安全和数据安全方面表现出色的公司,可能会得到比那些有着糟糕历史的公司更好的价格。”
他补充称:“我们看到的更大趋势是,为我们的客户提供风险管理建议和最佳实践,而Travelers一直处于这方面的前沿。”
另一家此类公司是美国国际集团(AIG)的CyberEdge服务。该服务帮助企业培训员工的网络安全知识,评估自身的安全基础设施,缩小安全差距,监控暗网以防范新出现的威胁,并不断扫描自己和合作伙伴的网络以寻找漏洞。然后,如果确实发生了违约,AIG将通过法律事务所、法医调查人员和公共关系专家帮助一家公司恢复元气。为了实现这一切,AIG与Risk Analytics、K2 Intelligence、IBM、BitSight、RSA和Axio Global合作。
这使得美国国际集团(AIG)等保险公司不再根据已支付的保险理赔金额来为保单定价。
“从网络的角度来看,这种优势非常非常狭窄,”总部位于纽约的首席执行官斯科特·坎内(Scott Kannry)说Axio这是一家专注于网络风险的数据科学公司。
“我们相信网络风险是可以解决的,”他补充说。“信息就在那里。它只是没有被捕获。”
AIG并不是唯一一家与网络安全公司建立关系的公司。
例如,赛门铁克(Symantec)最近与马什(Marsh)和麦克伦南(McLennan)旗下的再保险公司盖朋特(Guy Carpenter & Company)进行了合作。
赛门铁克公司网络保险副总裁Pascal Millaire表示:“赛门铁克向盖达公司提供技术知识和专有数据,以创建一个网络聚合模型,帮助再保险公司更好地了解其相关的网络风险。赛门铁克.
7月,纽约积分保险经纪人宣布,它将为知识产权和商业秘密的损失提供保险,这些通常不包括在网络保险中。公司能够通过自己的风险评估程序来评估这种风险。
该公司网络风险业务主管詹姆斯•希恩(James Sheehan)表示,这包括获得第三方准备和预防服务。
Advisen的布拉德福德表示,如果一家公司的知识产权被盗,损失可能是灾难性的,但也很难量化,也很难投保。
商务邮件妥协——也被称为首席执行官欺诈——可能会花费公司数百万美元,而且经常无法报销。
然而,在这里,一些企业现在有了一个简单的答案。
6月,洛杉矶Grandpoint银行宣布将为商业银行账户提供资金转移欺诈和网络欺诈保险,起价为每月30美元。
“这是一项你必须参加的团体政策,”该行产品开发主管佩特拉·格里菲斯(Petra Griffith)说。“你不需要经历承销过程。你只需按月支付费用——类似于通过手机运营商购买手机保险。这比你单独买一份保险要便宜得多。”
相关视频:
这篇题为“保险公司努力填补网络保险数据缺口”的文章最初发表于方案 .