如果你的公司今天受到网络攻击,它有能力支付这笔费用吗?整个账单,包括来自监管罚款、潜在诉讼、对组织品牌的损害,以及硬件和软件修复、恢复和保护的成本?
鉴于网络攻击的代价正以惊人的速度上升,这是一个值得仔细考虑的问题。
第二年网络犯罪成本研究该研究报告称,每家公司对网络犯罪的侦查和恢复成本中值为590万美元,较2010年的中值增长了56%。网络犯罪给每家公司造成的损失从150万美元到3650万美元不等。
越来越多的保险公司正在提供网络保护,以应对黑客入侵和其它恶意数据攻击。但到目前为止,他们在证明自己的观点时遇到了一些困难。调查显示,企业尚未接受这些政策,而这些政策的成本可能会惊人。
一年一度的信息安全调查的普华永道全球国家在2011年第一次询问他们是否组织有一个保险,以防止网络犯罪的受访者。其中包括首席执行官,首席财务官,首席信息官和民间组织以及副总裁和董事在IT和信息 - 在全世界的12,840受访者约46%安全——对这个问题的回答是:“贵公司是否有防止电子数据、消费者记录等被盗窃或误用的保险措施?”
此外,17%的公司说他们的公司已经提交了索赔,13%的公司说他们已经收集了这些索赔。(普华永道没有问为什么剩下的4%没有收回,但说可能被拒绝了。)
由于这是普华永道第一次就网络保险向受访者提问,因此无法知道这些数字是否代表着增长;然而,另一项规模小得多的调查显示,企业对网络保险的热情可能会较慢。
2011年风险和财务经理调查,由全球专业服务公司韬睿惠悦进行的发现,但没有购买的网络责任政策的公司调查工作的164所风险管理的有73%。那些约有37%谁没有政策说,他们相信他们的内部IT部门和控制是足够的,而另外15%或者说政策的成本太高,或者他们并没有过分担心风险。
市场的混乱
律师和信息安全负责人表示,他们遇到过许多对网络保险抱有误解的高管。他们说,决策者常常错误地认为,标准的公司保险政策和/或一般责任政策涵盖了与黑客行为有关的损失,或者他们的网络政策(如果他们有的话)将涵盖与黑客行为有关的所有成本。大多数时候,他们不会。
福里斯特研究公司的Khalid Kark在2011年2月发表了一篇论文,阐述了网络保险的基本原理。该论文指出,许多公司仍在试图理解这些保险的基本原理,这些保险由ACE USA、Chubb、Hartford和St. Paul Travelers等航空公司提供。
最常见的问题围绕着哪些类型的政策都在那里,他们盖什么,如何选择正确的政策,以及是否需要连这种保险。
富理达律师事务所(Foley & Lardner LLP)驻洛杉矶合伙人、该律师事务所信息技术与外包以及隐私、安全与信息管理实务部门的成员迈克尔?
IT领导特别容易混淆,只是因为cio, CISOs和其他高管没有传统上对保险公司决定政策。同样地,通常做保险决策的风险管理和法律团队在购买保险时也没有寻求他们的IT同行。
然而,它的输入是至关重要的,当谈到决定是否购买保险网络,并确定买什么报道,安全专家说。
“IT人士和高危人群迫切需要聚在一起谈论风险的违约发生的信息技术方面和可能性和结果,”唐·弗格斯,一个IT风险顾问,并为IT安理会2012年主席说:安全专业人士的组织ASIS国际。
“信息专业人士,尤其是信息安全领导者,需要站出来。他们需要明白,他们负责的不仅仅是安全。他们需要理解和阐明他们面临的风险方面的弱点。这是董事会的语言。”
什么被覆盖了,什么没有
网络保险政策相对较新——只有10年左右的历史——而且仍在不断发展。费格斯说,因此,高管和经理们经常误解政策会涵盖哪些方面,哪些方面不会涵盖。
有些公司购买一般的保险,认为自己已经投保了全部的险,没有意识到保险可能包括有形财产,但没有包括无形财产。例如,在财产保险政策下,被不满的员工砸烂的服务器的成本将得到赔偿,但不包括因服务器宕机而未能为客户提供服务的公司责任。
责任保险一般提供免于诉讼或索赔的保护,但费格斯很快指出,一般责任、错误和遗漏,以及董事和官员责任保险政策将不包括因电子数据丢失或无法访问该数据而引起的索赔。
“从财产犯罪的角度来看,这很简单。你知道你的替换成本是多少。这很好理解,”费格斯说。“但网络责任保险确实是最尖锐的问题。这可能是最昂贵的,也很容易被误解。不同的运营商在覆盖范围上有很多很多的差异。”
肯·戈尔茨坦,沃伦,新泽西州保险公司丘博集团副总裁解释说,网络保险分为两大桶。与第三方负债相关的第一桶支付成本,也就是从其他机构索赔,而第二盖第一方费用和/或损失,那就是你自己的组织损伤。
此外,政策可以有违反相关联的覆盖成本,如第三方通知和公关费用。
戈尔茨坦说,当然,公司可以购买针对第一方和第三方的保险,因此他们可以承担一系列的费用——从通知数据被破坏的客户的成本,到雇佣一个IT取证团队的成本,甚至是支付勒索/赎金的费用。(参见丘布系列产品的例子在这里)。
IT专业的保险专家?
鉴于网络保险不是放之四海而皆准的,不是简单的其他类型的企业保险,公司需要确定什么报道他们需要和支付保险费是否有意义的相关报道,总部位于旧金山的Eric j . Sinrod说国家法律事务所合伙人杜安莫里斯。
那它的用武之地。一个组织的风险管理和法律人了解保险的车手和排除的语言,但没有一个能更好理解和表达不是谁运行它的人一个组织的信息安全系统。
“首席信息官处在处理信息系统的第一线,应该了解实际的和潜在的问题,”Sinrod说,他主持公司TechLaw10关于技术法律问题的音频播客更新。
IT经理还可以协助进行准确的成本效益分析。他警告称:“公司重新创建数据的成本可能比支付保险费还要低。”
普华永道(PricewaterhouseCoopers)的负责人、安全基准分析专家马克•罗贝尔(Mark Lobel)解释说,风险评估过程不仅仅需要阐明采取了哪些安全措施。
企业首先必须确保他们遵循的最佳信息安全实践他们的行业,他说。保险公司会想知道在什么公司存在的安全,他们写的任何政策之前,他们甚至可能需要第三方审计,以验证什么是到位。
然后IT领导应该确定潜在的威胁,它们发生的可能性,以及这些威胁在发生时将如何影响组织。
“你们保护尽可能合理,并确保对你的剩余风险,不能保证[正确]如果你不理解的风险,” Lobel说。“所以,你必须有一个基于风险的方法。你必须能够说,‘这就是我认为还是可以去错了,因为我不舍得花的安全亿$。’”
Lobel建议公司考虑雇佣第三方来进行风险评估,以帮助完全识别和理解他们的安全风险,并确定需要改进的地方。事实上,他说,许多保险公司需要这样的独立评估来帮助确定保费。
它能为决策过程提供什么样的洞察力呢?富理达(Foley & Lardner)过多地提供了两个例子。IT领导家具制造商,例如,应该能够表达,他的公司不以电子方式存储客户数据,因此不太可能一个黑客的目标寻找信用卡号码但仍有关键系统,如果妥协,可能不仅关闭了自己公司的业务,可能在该公司的工作伙伴组织,一连串的事件可能会打开他的公司带来的收入损失责任。
另一方面,过分地说,在零售业务中寻找客户数据的黑客是CIO非常关注的问题;如果违规发生,该公司可能会被要求花费数百万美元用于客户通知、公关和法律费用。
“但不与CIO风险管理的人不可能做出这些决定 - 这是谁给多少保险的公司需要什么[威胁]真的需要操心输入的人,”过于说。
ASIS国际公司的费格斯指出,并不是所有的公司——或者所有的IT部门——都愿意接受这种程度的自我审查。
他说:“人们有一种逃避现实的观点,‘不知道自己不知道的事,我很开心。’”“IT人员和业务人员一般不喜欢在他们履行职责的能力方面受到批评。他们可能知道自己很脆弱,但他们不想减记。”
贴纸休克
即使公司已完成尽职调查评估网络风险可以在颠簸的方面,弗格斯说。“他们出去了[保险]运营商,他们得到的天价。”
这是因为网络责任保险可以花费每百万美元的损失$ 7,000至$ 40,000。并与损失在几十可能共计 - 甚至几百 - 上百万,越来越能够覆盖这些费用可以在保险费呈现了惊人的额外费用的政策。
“保险公司想赚钱,他们唯一能做的就是打赌你的保费会超过减轻索赔的成本。国际信息系统安全认证联盟(ISC)的执行董事霍德·蒂普顿(Hord Tipton)说。ISC是一家为信息安全专业人员提供教育和认证的非营利组织。
多少覆盖范围决定购买可能会非常棘手 - 太少了,你不盖你的曝光。太多了,你所面对天价保费的前景。
韬睿惠悦的风险和财务经理的调查发现,他们载着网络责任保险的受访公司的61%购买了$ 10万至$ 49.9万美元的限制,以5000万$以上的限制只有8%的采购政策。
调查发现,公司达到特定上限的原因有很多,但36%的公司说,这个上限是由其经纪公司提出的,15%的公司说,他们与第三方网络风险管理公司审查了风险敞口水平。
B计划:说不
一些公司一看保险费用就犹豫了。过分地说,“(不能得到它的)一个根本决定因素是它的昂贵。”
另一个担忧是,保险公司和提起索赔的机构,包括索尼(Sony)和犹他大学(University of Utah),在几起备受瞩目的案件中,最终都诉诸了法庭。
Tipton的组织决定不购买网络保险,他担心已经购买网络保险的公司可能会变得松懈。他警告称:“一家公司不应仅仅因为有保险就沾沾自喜。”“过失不能投保,如果没有尽职调查,你的声誉或股价也不能投保。”
蒂普顿认为,更重要的是,保险无法帮助他的公司挽回一旦发生违约将遭受的最大、最有价值的损失:声誉。
“在名誉上的损失将是巨大的,保险不能修复的,所以我们花的精力和时间保障[我们的系统],”他说 - 同时也承认,没有保险,该公司将是对如果挂钩显著违约情况发生。“有没有这样的事情是100%无风险我们的工作就是评估和管理风险,我们 - 不要试图和消除所有的风险。”