随着来自全国各地的经济止血客户数据,并通过鼻子支付它突出的公司,“网络保险”已成为公司的董事会和媒体热议的话题。公司 - 从上往下财富10 - 正在寻找对冲他们的网络风险与各种商业保险。这种需求,反过来,助长了网络保险业,五年前是很少超过一个利基产品的快速扩张。
但是,保险行业专家和企业安全专业人士提供那些认为他们可能要自己投保网络风险公司谨慎的话。该网络保险市场,他们说,仍然是新的。想要购买此类产品的公司会很好地了解他们的需求和网络覆盖范围的限制,他们把自己的钱放在桌子上了。
+ ALSO ON网足球竞猜app软件络世界Cyberinsurance:值得的,但要注意排除+
投保“一切,每个人都没有”
在AON PLC,总部位于伦敦的公司,是世界上最大的再保险经纪人,凯文Kalinich,AON的全球实践主管网络风险,称从该公司的全球风险洞察平台(GRIP)数据 - 保险配置的数据仓库 - 节目在网络保险市场以38%的速度增长。这大约是两倍的速度,即AON轨道,根据Kalinich通过市场销售测量的下一个增长最快的市场。
在私营部门的公司网络事件往往遵循一个熟悉的模式:执法接触并开始刑事调查。网络取证人员被雇用来拼凑发生了什么,安全顾问将分析,并从任何受影响的系统中删除恶意软件。最后:谁受影响的客户将收到通知,并且 - 通常-offered免费的信用监控服务,以帮助监视欺诈链接到自己的身份被盗或账户信息。所有这些服务都将是有代价的,当然,一样的业务中断的结果。目前网络保险的结构,以收回部分或大部分的费用。
但是Kalinich认为,市场是刚开会。“企业如果想投保数据泄露和PII(个人识别信息)的损失的单行线,那么这是的,我们正在解决,问题的范围窄” Kalinich说。“如果你认为公司越来越多地利用技术和信息资产的,那么你在谈论的每项活动,每个人都一样。”
在不遥远的未来,Kalinich认为,网络保险市场规模将扩大到地址网络风险供应链,业务正常运行时间,像网络恐怖主义甚至异国的问题。
需求的地段,小数据
但事实是,网络保险市场规模不断扩大,并不意味着它是“确定” - 在这个词的任何意义 - 或者说大的风险不保险机构和被保险人存在。事实上,在一个行业驱动的保险数据是,缺乏对网络事件的可靠,历史数据是彻头彻尾的恐怖为多或与保险公司谁的工作。
“毫无疑问,这是一个炎热的空间,”杰克·科恩斯,首席信息安全官基于风险的安全,总部设在弗吉尼亚州里士满的顾问说。
Kouns建议对网络风险的保险公司,并说,他认为广泛的认可,在行业内,有对进行网络投保的风险资金。也就是说,即使是关于网络风险,并在那里承销商可以合理地划清界线小可靠的数据。
其结果是行业内的一种精神分裂症。“你有那些刚刚购买市场运营商 - 提供一百万美元覆盖率为$ 1500元。”Kouns说。“他们采取的办法,“如果我对书籍20000倍的政策,我可以走了不少的损失,仍然能够赚钱。”
这可能是真的,也可能不是。有了这么多的网络保险市场千佛隐姓埋名的,不良事件的簇的可能性是不知道。但很少在信息安全行业折扣的想法,网络保险相当于背到背到后面的桑迪斯飓风可能发生 - 如果它没有。事实上,美国特勤处已经警告说,被称为“回退”恶意软件一户可能与妥协的多达1000家公司。他们中的一些 - 像国际乳品皇后 - 可以说是家喻户晓。在格子铺目标的突破口还强调,有被保险人做出了错误的赌注,即使在富裕和成熟的公司的地步。据报道,目标覆盖共计亿$从各种保险公司的违约前的拼凑。
什么是明确的是,在覆盖各类企业需要的是改变,以反映不断变化的威胁环境。约什金,在公司安德森杀&Olick,交媾后第一个保险代理人说,他已经看到从覆盖保险移丢失,损坏或被盗的硬件和数据覆盖网络犯罪相关的损失的焦点。“有一个转变,从事故和疏忽从第三方参与者损失了,”金,谁代表了超过覆盖率保险公司法律诉讼商业报道持有者说。
对于企业来说,建议的两个词:买者自负
但是,这些变化的需求是导致变化的保险公司承保如何网络风险,Gold说。而且,在任何快速变化的市场中,建议从多个信息安全和保险业内人士的客户是买者自负 - “慧眼识英雄“。
举个例子:覆盖计算机相关损失已经标准商业保险的一个组成部分多年来,金说。的覆盖情况包括因财产犯罪或所谓的“误差与遗漏”(又名“医疗事故”)的专业服务提供商的政策损失。由于涉及到计算机犯罪的权利要求范围近年来不断壮大,但是,律师已经开始寻求更广大的反对这些政策索赔 - 往往成功。
这创造了分歧很大的空间。“属性,并从10年前的一般责任保险只字未提网络,” Kalinich从保险公司AON指出。“没有具体包含或排除的范围。”
在一些(但不是全部)的情况下,违反公司已经成功地起诉保险公司迫使他们支付下像“CGL”传统乐器的条款涉及到网络事故损害赔偿(一般商业责任)的政策,其中包括经营风险全部方式包括涉及到隐私,黄金笔记入侵的索赔保护。保险公司已经通过写排除进入CGL和其他螺母和螺栓的商业政策,如应对所谓的E&O(误差与遗漏)和d&O(董事及高级职员)责任险保单。这些排除能开出网络的权利要求和他们推到新的,专门的保险产品。
“与其保持沉默,公司已经推出了具体的排除了“无形的危险,” Kalinich解释说,这些可能包括拒绝服务攻击,恶意软件(‘恶意软件’)和其他在线弊病。
保险公司也不厌其烦地从覆盖排除网络声称“有形财产损失,”他说。“他们问:“发生什么事,如果有一个网络攻击,你的“损失是一个建筑物或供应链或运输系统不工作,”他说。“现在的问题是:“什么是有形的?'”
没有惊喜:受影响的公司谁在他们现有的商业责任保险覆盖范围计数的看法不一样。其结果是在这种环境中“还有很多紧张的,”金说。
覆盖您的资产
有了这么多的流量,什么是公司做的?要认识到的第一件事是,网络保险并不适合每一个组织。事实上,多种在线威胁到企业可能网络保险的缝隙之间掉下,因为他们目前正在写的。
“我觉得这是有道理的,如果你是有很多的消费记录的公司,”周杰伦韭菜,首席信息安全官黑石集团是一家全球性投资公司说。“如果有,你可以有丢失的记录,并有来自金融冲击的可能性,你可以得到保险人帮你报销。”
但韭菜说,像黑石公司不被当前的网络保险产品以及服务。“今天是非常困难的保险供应商的价格出一个政策,”他说。“有没有精算表,有没有办法确定,在保持坏人给定的安全计划的有效性。”其结果是保险公司概括根据公司经营的行业风险,但韭菜说,政策惩办˚F
IRMS像黑石是大量投资的安全性。“你可以不因素考虑,你必须支付保费的巨大投资,”他说。
有兴趣的网络保险公司将需要证明和文件的流程和程序来管理他们的网络风险,业内专家一致。
“我们想知道:他们有一种文化,在顶部开始,并说“?你所做的一切必须考虑网络的风险管理考虑'” Kalinich说。这包括企业范围内的重点,更加关注像“自带设备”政策和第三方风险问题。
“公司需要有成熟的一定程度上,”斯蒂芬·博耶的首席技术官BitSight技术在剑桥,马萨诸塞州说。保险公司有自己的眼睛有关防止攻击和破坏,甚至安全的难度打开。他们想知道,公司将至少能够检测恶意活动“而不FBI不得不告诉他们。”博耶说。
在近乎恒定的网络攻击的环境下,企业的能力,快速响应及时,有序地事件和工作与保险公司,监管机构,执法和客户将是最重要的。
“每个人都有问题,”博耶说。“最高执行机构是具有检测,修复,然后恢复的能力的人。”
这个故事,“网络保险:只有傻瓜冲进来”最初发表ITworld 。