70%的医疗组织都没有购买网络保险,这真的是一件很严重的事吗?
今天我们将一起来谈论一下网络保险,有时也称网络安全保险,网络风险保险等。特别地,我们将讨论它是什么,以及它是否值得投资。
我们之所以谈到这一话题是因为数据分析公司FICO发布的一份报告。你可能知道FICO,因为FICO得分,这是一个信用风险得分。FICO(前身为Fair Isaac Corporation)也会对其他事情进行评估,其中一个就是行业的网络安全准备状况。不幸的是,作为最高的在线价值目标之一,医疗行业的网络安全参保率并不高。事实上,只有30%的组织购买了保险。
对于所有的美国受访者来说,这与76%的比例相差甚远,事实上,它使这一数字大幅下降了。甚至76%都是很误导人的,因为只有32%的企业进行了全面的参保。
但是这真的是一件很严重的事吗?什么是网络保险?而你又需要它吗?
让我们来讨论一下吧。
什么是网络保险?
顾名思义,网络责任险能够让你的公司或组织免受在安全事件中产生的伤害,方法是将某些风险转移到保险公司。还有第二种形式的网络保险,其针对的是个人而不是公司。个人网络保险更多针对的是身份窃贼。为了方便讨论,我们将谈论企业的网络保单。
一开始同样需要注意的是,网络保险并不同于一般的责任保险。一般的责任保险处理的是因产品、服务或操作而造成的人身伤害和财产损失。在大多数的保险公司中,网络风险并没有包含在这一类别之下,不要错误地认为它们包含在了这一类别之下。索尼在2011年的一次安全事件中就犯了这一错误,从而最终付出了1.71亿美元的代价。
网络安全保险主要涵盖个人身份信息丢失、泄露或被盗的违约事件。
PII的例子包括:
- 社会保障号
- 信用卡信息
- 账户号
- 驾驶员的许可号
- 医疗数据
在欧洲,这被称为个人数据。不管你来自哪里,数据泄露的定义都是相当普遍的。即使是最小的事件,如不小心向错误的一方披露了单个客户的记录,都属于个人数据泄露事件。尽管向恰当的机构上报泄露事件是需要的,但并不是每一个事件都达到了报告的等级。
相对来说,网络安全保险就是比较新的,因此在很多方面它还在不断发展。通常,网络保险涵盖与泄露事件相关的法律费用和开支,除此之外,还涉及:
- 在事件发生后通知客户
- 恢复受影响客户的个人身份
- 恢复在事件中受影响的数据
- 修复受损伤的计算机系统和网络
许多保险保单还向受影响的客户提供了信用监控服务,该服务可以在安全事件发生后帮助重建你的公司或组织的声誉。
Kip Boyle是斯坦福研究机构(Stanford Research Institute)的一名前网络安全咨询师,现为Cyber Risk Opportunities的首席执行官。他将当前的网络保险格局分为了两种不同的方式。
“首先是尽可能低的保费获得你所需要的金融保险,这对于能够独自处理网络故障的公司来说是很理想的。
“第二种策略是获得经济保险,并使用先进的保单功能来增强网络事件的响应和恢复能力。通过这种策略,保险公司通常会按需向预先选定的供应商提供数字取证、危机通信、法律辩护和数据泄露通知等服务,而不收取任何额外费用。保单持有人还可以免费获得数据泄露指导,通常是一位律师,他将熟练地指导他们完成整个过程。
我需要网络保险吗?
这是你的组织需要自己回答的问题。有许多因素需要考虑,包括组织规模、预算、威胁模型、风险、潜在的责任。如果我们以这样或那样的方式给你建议,这显然是不负责任的,尽管按照我们一贯的做法,我们总是会建议你谨慎行事。
值得一提的是,根据一项研究,66%的中小企业都无法在数据泄露事件中存活下来。此外,网络犯罪行业(是的,这是一个行业)从未像现在这样有利可图。”
Triton Computer Corporation是一家基于Massachusetts技术解决方案的公司,其首席执行官Trave Harmon向每个企业的所有者建议到:
“与一般责任保险、医疗保险、汽车保险和家庭保险类似,当你在网上和对其他人的数据实行了行业标准的安全和保障时,你需要得到保护。我们有包含金融、医疗和税务信息的机构,而且我们的要求也非常明确。我们不能保证不会发生攻击,但你需要做好准备以防万一。我们不知道它(可能是)是什么,但最好是有个现成的东西。
Optimal Networks创始人兼首席执行官海曼•兰达(Heiman Landa)在2017年《商业杂志》(Business Journal)一篇有关网络责任保险的文章中写道:
“把这想象成生活在洪灾区——你会购买洪水保险吗?无论你是否在处理受保护的数据,我倾向于将网络保险视为业务连续性的另一层;如果你的公司将会发生破坏性的安全事件,这将有助于维持你的企业的正常运行。
网络保险顾问、前保险诉讼律师朱迪•塞尔比(Judy Selby)补充称:
“对于缺乏财力和技术资源以应对网络事件的中小企业来说,(这一点)尤其(重要)。企业需要认识到,考虑到不断增长的数据量、数字化和劳动力流动性,以及不断演变的威胁环境和更大的法规遵从性问题,100%的网络安全是不可能的。针对网络安全问题,当下的企业应当采取风险管理的方式,包括通过保险来转移风险。”
除了让你的企业免受与安全事故同时发生的一些损害外,拥有网络安全保险还能够反映出一些问题:它表明你的组织非常重视自身的安全义务。在强有力的网络安全保险保单的支持下,迅速做出响应意味着,在最糟糕的情况发生之前,你已经制定了应对计划,不会因此措手不及。
这可能看起来微不足道,但当关系到你公司的声誉时,每一点都会有所帮助。
我应该在网络保险保单中寻找什么?
目前,大多数主要的保险公司都提供了某种形式的网络安全责任保险。同样,目前还没有一个标准,因此各个公司的保单可能会有所不同。
因此,当你对比不同的保单时,你应当关注什么?
首先,让我们从我们之前提到的点开始:产生的法律费用和开支、客户通知、个人ID恢复服务、数据恢复和帮助修复受损的系统。这应当是一个基线。任何没有包括这些的保单可能都是不值得进行编纂的。
Selby表示:“这些通常是不同网络保单的主要区别。因此,对于公司来说,很重要的一点是,要很好地了解公司的特定网络风险概况,并寻找符合其需求的保险。例如,受某些数据保护规定(如HIPAA或GDPR)约束的公司应该寻求更广泛的监管范围。已经将数据迁移到云上或依赖于数据托管供应商的公司将需要强大的第三方服务提供商覆盖。如今的网络保险市场竞争相当激烈,因此企业应该货比三家,并运用自己的优势,根据自己独特的网络风险状况,争取获得最佳的保险覆盖。
那么,当你寻找网络保险的保单时,你应该问些什么问题呢?”以下是一些需要考虑的事项:
1)当你选择一家保险公司时,要查看其网络安全的承保范围,是现有保单的扩展还是独立保单。通常,你会发现独立的保单更好,覆盖范围更全面。此外,还要了解保险公司是否能够根据你的组织及其独特的风险来定制保单,或者它是否只是针对所有保单的相同的法律术语样本。
2)记住要货比三家,因为免赔额和保险费各不相同。根据我们早些时候引用的FICO研究,73%拥有网络安全保险的组织都不相信其保费是基于对其实际风险的准确评估。至于你能否找到更符合你喜好的质量方针,那就是另外一回事了,但如果你能找到一家保险公司为你量身定做一份保单,你可能就找到了一个与你的实际风险相当的保费。
3)了解保单的承保范围和限制是否也适用于第三方。第三方风险是数字时代企业面临的最大威胁之一。事实上,研究表明,半数的数据泄露是供应链内部引起的。你可能还想查看你的服务提供商是否有自己的保单,以及这些保单是否会对你的协议产生影响。
4)具体来说,这些保单针对的是哪些攻击?在这种情况下,你需要确保有人对你的组织的威胁模型有足够的了解。并非所有保单都涵盖所有形式的攻击。你需要确切地了解保单的内容。这也是一个很好的询问非恶意员工行为的契机,如疏忽或简单的错误,以及社会工程。该保单是否涵盖所有网络事件,或只有当你的组织遭受了攻击时才会生效?
对保单所涉及的时间框架有一些清晰的了解也是很好的。如果在保单过期后发现了攻击,但攻击发生在保单的有效期内,该保单是否仍然有效?这听起来很简单,但是最好将所有可能发生的情况都考虑到。
Boyle说:“今天的市场是非标准的,这使得你很难理解保险公司所提供的保险,因此你可以对比各个报价。我建议找一个好的、有网络保险评估经验的经纪人,因为他们会确保你获得了所有正确的保险,同时注意关键的除外条款。
保险公司在编制网络保险保单时想要看到什么?
购买网络保险并不能免除你的组织的安全义务。事实上,恰恰相反。无论你选择哪家保险公司,都希望看到你的组织首先认真对待其安全性。这包括实施全面的风险评估,遵循行业最佳实践,展示强大的安全态势,以及做好总体准备。
他们可能还会建议你的组织对员工进行安全培训,以确保对钓鱼、社会工程和其他威胁有一定程度的认识。在美国,70%的员工对网络安全最佳实践都一无所知。我们总是这么说(研究表明),你的员工是对你的企业最大的威胁之一——而且也不总是恶意的。
如果你的组织已经完成了任何第三方评估,或者参与了任何像EU-US Privacy Shield这样的项目,这将是一个很好地提及这一点的时间。
网络保险的未来
正如我们之前所讲到的,网络保险仍处于起步阶段。保险公司和其他公司等都知道他们需要它,但我们仍在制定细节。
Boyle表示:“未来,网络保险的价格将能更好地反映索赔的现实,政策也将标准化。但是,我们不知道这些变化需要多长的时间。”
与此同时,威胁格局也在不断变化,每天都有新的威胁出现,因为野心勃勃的黑客和网络罪犯正在寻找新的方法来利用我们的系统。网络犯罪现在是一个1.5万亿美元的产业。
根据赛门铁克(Symantec)的数据,受攻击的不仅是大型企业,2015年,43%的攻击都是针对中小型企业的。
网络安全从未像现在这样至关重要。现在轮到保险公司跟上步伐了。
Boyle表示:“正如网络风险已经不断演变,网络保险也发生了变化。网络保险不再只是针对数据泄露。许多航空公司都为当下最令人头疼的网络威胁提供了保险,包括社会工程、勒索软件、意外的业务中断、财产损失、人身伤害等等。至少有一家航空公司以其网络形式提供了管理责任保险。我预计,航空公司将继续更新其保单,以跟上新出现的风险,特别是在监管暴露和技术进步方面。
因此,来回答我们最初提出的这个问题吧,70%的医疗机构都没有购买网络保险,这真的是一件很严重的事吗?
当然。
