保险公司通常有几十年的数据(如果不是更多的话)来作为风险估计的基础。
然而,网络风险并非如此。可用的历史数据很少,数据不完整,威胁格局不仅逐年变化,而且日新月异。甚至没有一套标准的定义是每个人都能同意的。
随着保险公司扩大服务范围,以便更好地教育客户网络风险,甚至在攻击发生前帮助他们抵御攻击,并在攻击确实发生时处理其后果,这种情况开始发生变化。
我说potahto
购买网络保险的首要问题之一是,没有人确切知道它的含义。例如,公司财务官、安全经理和保险经纪人对风险有不同的理解。
根据a最近cyberinsurance调查根据SANS协会的调查,只有30%的保险商和38%的信息安全专业人士认为他们说的是同一种语言。
提供保险数据和分析的Advisen公司的联合创始人兼首席策略官戴维布拉德福德(David Bradford)表示,即便是在保险行业内部,政策之间的语言也存在很大差异。他还帮助赞助了SANS研究。
例如,一项政策可能涉及“隐私泄露”,另一项政策涉及“数据泄露”,第三项政策涉及“网络安全不法行为”。
“侵犯隐私与侵犯隐私的不法行为是同一回事吗?”他问数据泄露是否等同于网络安全不法行为?”
“很多语言还没有在法庭上测试过,”他补充说。
该公司总裁丹威丁(Dan Weedin)表示,对于中小型企业及其保险代理人来说,这个问题尤其严重托罗咨询。
他说:“保险买家不知道他们有什么,也不知道他们的风险是什么,保险代理人对他们的了解也非常有限。”就像瞎子领瞎子一样。”
Steve Malone,安全供应商产品管理总监Mimecast
安全供应商的产品管理总监史蒂夫·马龙(Steve Malone)说,威胁环境不断变化的事实,让追踪变得更加困难Mimecast。
在最近的一次调查中该公司进行的调查显示,只有10%的IT专家表示,他们相信自己的网络覆盖是完全最新的,在那些拥有网络保险的人中,只有43%的人相信它涵盖了商业电子邮件泄露欺诈。人们对新的社会工程攻击同样缺乏信心。
马隆说:“近一半(45%)的公司不清楚他们的网络保险政策是否适用于这类威胁。”
衡量风险
说到买保险,全是风险。顾客抽烟吗?他们是安全的司机吗?他们家有烟雾报警器吗?
然而,在网络保险中,无论是保险公司还是购买保险的企业都无法很好地量化风险。
Advisen的布拉德福德表示,其结果是,价格可能会有很大差异。他举例说,来自竞争对手的类似保险覆盖范围从1万美元到5万美元不等。
该公司副总裁凯西•科科兰(Casey Corcoran)表示:“这些车型只是不像汽车或人寿保险行业那样存在。”FourV系统。“对于保险公司来说,还没有足够的经验数据来确定什么是负债,我需要确保的金额是多少。我们处在一个信息以指数速度增长的时代。如何让一种模式适应指数级变化的情况,尤其是在一个习惯于一次撰写一年或更长时间保单的行业?”
FourV是众多试图帮助保险公司及其客户衡量网络风险的供应商之一——不仅是在保险单刚写好时一次,而且是在持续的基础上。
他说,这就像Progressive给那些在车上安装公司“快照”设备的司机提供高达30%的折扣。
他说,例如,一些保险公司正在寻求超越仅仅出售保单,提供完整的风险相关服务。他们将帮助公司在出售保单前评估风险,然后帮助他们处理可能发生的违规行为。
他说,帮助公司提高网络安全不仅有助于保险公司更好地衡量客户的风险,还能让它们更好地了解它们服务的企业的风险。“如果我和CISO交谈,他们习惯于回答‘我们安全吗?“这是一个艰难的工作,但我得到了它。”当被追问时,信息安全组织通常会用技术术语来回答。”
例如,CISOs将讨论它们所拥有的系统和流程。科科兰说,这些是活动,而不是风险措施。
“如果我是首席财务官,我对这个答案没有信心,”他说保险公司提供的是技术组织和风险组织之间的解释。”
康涅狄格州哈特福德市企业网络主管蒂姆·弗朗西斯(Tim Francis)表示,保险公司必须学会适应这种情况旅行者。
“你不一定有远见去预测每一次迭代,”他说但你可以建立框架和结构,并有我们的资源来处理这些威胁时,他们的发展。我们在旅行者身上做的一件事是,我们特意聘用了具有非传统保险背景的资源。”
他举例说,旅行者雇佣了技术专家、前联邦调查局法医调查员和前网络犯罪检察官。
这使旅行者能够更好地了解客户的安全基础设施和风险,并了解哪些类型的漏洞最有可能导致入侵。
他补充道:“那些在网络安全和数据安全方面表现出色的公司,可能会比那些有不良记录的公司获得更好的定价。”
他补充说:“我们看到的更大的趋势是,为客户提供风险管理建议和最佳实践,而旅行者一直走在最前沿。”。
另一家这样的公司是美国国际集团(AIG),它的CyberEdge服务帮助企业培训员工的网络安全,评估他们的安全基础设施,消除安全漏洞,监控暗网出现的威胁,并不断扫描自己和合作伙伴的网络,寻找漏洞。然后,如果确实发生了违约,AIG将通过与法律公司、法医调查人员和公共关系专家的接触,帮助公司恢复元气。为了完成这一切,AIG与风险分析公司、K2 Intelligence、IBM、BitSight、RSA和Axio Global合作。
这使得美国国际集团(AIG)等保险公司可以放弃基于已付保险索赔的定价策略。
总部位于纽约的首席执行官斯科特•坎尼(Scott Kannry)说:“从网络的角度来看,这种优势确实非常狭窄。”Axio,一家专注于网络风险的数据科学公司。
“我们相信网络风险是可以解决的,”他补充道信息就在那里。只是没有被抓到。”
与网络安全公司建立关系的不止美国国际集团一家。
例如,赛门铁克最近与盖伊卡彭特公司(Guy Carpenter&Company)合作,后者是马什和麦克伦南的再保险部门。
“赛门铁克为盖伊·卡彭特提供技术知识和专有数据,以创建一个网络聚合模型,帮助再保险公司更好地了解相关的网络风险,”美国赛门铁克。
7月,纽约保险经纪人该公司宣布,将为知识产权和商业机密的损失提供保险,而这些通常不属于网络保险的范围。公司能够通过自己的风险评估程序来评估这种风险。
该公司网络风险业务负责人詹姆斯•希恩(James Sheehan)表示,这包括获得第三方准备和预防服务。
根据咨询公司Bradford的说法,如果一家公司的知识产权被盗,损失可能是灾难性的,但也很难量化,而且很难投保。
商务邮件妥协——也被称为首席执行官欺诈--一家公司可能会损失数百万美元,而且还经常得不到赔偿。
然而,现在一些企业有了一个简单的答案。
六月,洛杉矶Grandpoint银行该公司宣布,将为企业银行账户提供资金转账欺诈和网络欺诈保险,起价为每月30美元。
“这是一项集团政策,你只要报名就行了,”该行产品开发总监佩特拉格里菲斯(Petra Griffith)说你不必经过核保程序。你只需每月支付一笔费用——就像通过手机运营商购买手机保险一样。这比你去买一份单独的保险单要便宜得多。”
相关视频:
这篇报道“保险公司努力填补网络保险数据缺口”最初由CSO公司 。