网络风险保险：您需要了解的一切

网络风险保险是一个热门话题。随着代价高昂的网络攻击（尤其是勒索软件活动）的增加，各行业各种规模的组织都在考虑购买一项策略。但网络风险保险能提供什么价值？它可能会留下哪些缺口？保险公司在决定一家公司是否有资格获得保单时会考虑什么？您的组织可以采取哪些措施来不仅确保您符合资格，而且实际上可以降低您的保费？

更根本的是，购买网络风险保险真的是有限网络安全预算的最佳利用方式吗？让我们深入了解一下。

什么是网络风险保险？

网络风险保险是一种转移因成功的网络攻击或其他损害您的 IT 资产或基础设施的事件而产生的风险的方法。它与其他类型的保险类似：当您购买汽车、房主或租客的保险时，您需要预先付款，以便在您的汽车被盗、房屋被烧毁或公寓被抢劫时放心。这不会是毁灭性的损失——您的保险公司将支付部分或全部费用来弥补您的损失。

同样，网络风险保险有助于减轻组织因成功的网络攻击和其他灾难而面临的风险。例如，勒索软件加密您的部分或全部业务数据，心怀不满的 IT 专业人员植入逻辑炸弹导致您的关键业务系统瘫痪，火灾或洪水摧毁了您的服务器机房。

此类事件的成本可能会迅速增加。它们可以包括：

• 财产损失
• 数据和基础设施恢复
• 勒索软件勒索成本
• 法证学
• 生产力损失
• 合规相关成本
• 诉讼费用
• 供应和分销中断
• 未完成的客户订单
• 利润减少
• 客户流失
• 持久的品牌损害

但是，与其他类型的保险一样，具体承保哪些类型的费用取决于您购买的特定网络风险保险单的详细信息。梳理细则至关重要！

获得网络风险保险需要什么条件？

不久前，任何想要购买保单的组织都可以轻松获得网络风险保险。事实上，保单的定价往往被认为是低估的，因为很多公司都想在市场上站稳脚跟。这一策略可能是市场快速增长的一个重要因素：2020 年，购买保险的公司中有一半拥有网络保险，而四年前只有四分之一。

但近年来，随着网络攻击的频率和复杂性不断增加，许多保险公司最终不得不支付巨额索赔。因此，保险公司现在经常要求组织实施特定类型的安全控制，以获得网络风险保险单的资格。例如，客户可能需要证明或证明他们：

• 维护所有用户、管理和服务帐户的准确清单。
• 定期验证这些帐户及其访问权限。
• 严格控制特权安全组中的成员资格。
• 审核并记录特权帐户的活动。
• 积极监控妥协指标 (IoC)。
• 制定记录的事件响应计划。
• 拥有记录的备份和恢复策略。

组织可以降低保费的方法

虽然可能需要一些基本的安全才能获得任何网络风险保险保单的资格，但超过这些最低要求可以使组织降低保费，并有资格获得提供更多保险的更好保单。其原理与其他类型的保险类似：通过安装跟踪速度的设备，您可能会获得汽车保险折扣，而升级锁和部署安全摄像头可以降低您的家庭保险费。

对于网络风险保险，降低保费的良好策略可能涉及超越核心控制并通过降低风险来展示更成熟的安全态势。例如，如果组织满足以下条件，则可以降低其保费：

• 每季度（而不是每年）验证所有帐户及其访问权限。保险公司知道，严格执行最小特权原则是网络安全的基石，因为它限制了恶意软件的范围以及窃取凭证的对手或恶意内部人员可能造成的损害。
• 不仅能够识别特权组的所有成员，还能主动将管理员帐户的数量保持在最低限度。虽然许多网络攻击都是从普通用户凭据的泄露开始的，但对手需要更高的权限来横向移动并访问敏感系统和数据。
• 主动识别 Active Directory 中的攻击路径，对手可以利用这些路径升级其权限，甚至夺取域的控制权，并查明并缓解他们共享的阻塞点，从而显着降低风险。许多组织有数百或数千条攻击路径；当您能够证明自己已经根除了自己的问题时，保险公司将会印象深刻。
• 监控整个 IT 环境中的所有安全变化，无论它们是发生在本地还是在云中，并向安全团队发出有关可疑活动的警报，以便他们能够及时阻止攻击，从而最大限度地减少损失（从而减少成本）。更好的是，向保险公司证明您可以从一开始就阻止重大更改的发生，这样攻击者就无法将自己添加到域管理员等高特权组中，也无法破坏组策略的关键元素。
• 实施多重身份验证 (MFA)。 MFA 极大地降低了弱密码和被盗密码的风险，这是对手在企业网络中立足的主要方式。此外，当 MFA 作为更广泛的零信任安全模型的一部分应用时，它可以阻止 IT 生态系统内部的攻击者对重要系统和敏感数据造成损害。
• 构建强大的备份和恢复策略，其中包括严格的恢复时间目标 (RTO)。保险公司知道，停机时间延长会增加事故成本，从而增加赔付金额。
• 创建冗余备份并将其存储在根据 IPSec 规则隔离的强化服务器上。此外，定期检查这些备份以确认其完整性。证明您的组织即使在遭受勒索软件攻击的情况下也已准备好恢复自己的数据，这可以降低保险公司的风险，从而降低您的保险费。
• 超越为恶意软件提供广泛隐藏位置的本机备份，而是使用提供多种备份选项的专用 Active Directory 备份解决方案，包括可最大限度降低恢复过程中恶意软件再次感染风险的备份。

网络风险保险有什么缺点吗？

虽然将风险转移给保险单等第三方似乎是减轻这种风险的好方法，但实际上网络风险保险有多个重要的缺点需要考虑。

网络风险保险会增加您遭受攻击的风险。

当然，不可能对网络风险保险与网络安全攻击之间的关系进行双盲研究。但有证据表明，拥有网络风险保险会增加遭受网络攻击的风险。一项研究发现，拥有网络保险的组织比没有网络保险的组织更容易受到勒索软件攻击：拥有网络保险的组织中有 77% 的组织至少遭受过一次成功的勒索软件攻击，而没有网络保险的组织中这一比例为 65%。而且，投保公司遭受多次攻击的可能性要高出70%！

这些发现的原因之一可能是网络犯罪分子更喜欢针对拥有网络保险的组织，因为他们相信保险公司将支付赎金以加快恢复过程，因为减少停机时间可以显着降低事件成本，从而降低总体赔付用于保险理赔。事实上，同一项研究发现，在拥有网络保险的勒索软件受害者中，近十分之四（39%）支付了赎金。另一份报告发现，只有 15% 没有网络保险的组织支付了赎金。毫无疑问，黑客正在跟踪这些已发布的统计数据以及他们的个人成功率。

网络安全专家提供了一些轶事证据，提供了更多背景信息。一位网络安全顾问发现，一些黑客在网络攻击期间搜索 IT 系统，以了解组织拥有哪些网络风险保险，然后向组织表明他们已经发现了该策略，以便将其用作杠杆。例如，另一位网络安全顾问报告说，一些勒索软件攻击者根据受害者的保单规定保险公司将承保的金额来确定他们要求的赎金数额。

网络风险保险可能有重大例外情况。

如前所述，具体承保哪些费用取决于具体的网络风险保险政策。与任何保险索赔一样，细则中的细节非常重要！此外，重要的是要了解网络保险行业仍在不断发展，并且保单例外的范围正在法庭上引起激烈争论。以下是一些需要了解的关键排除情况：

先前行为

保险单通常不具有追溯力——您不能在火灾或盗窃发生后的第二天购买房主保单并期望它能够弥补这些损失。同样，网络风险保险保单通常具有“先前行为”排除条款，使保险公司无需为保单签发之前发生的活动支付索赔。

然而，认识到不同类型的保单之间的类比不成立的一个关键方式至关重要：虽然房主几乎肯定知道他们最近是否遭受过火灾或入室盗窃，但组织实际上很可能不知道他们的网络已经发生了火灾或入室盗窃。被恶意行为者破坏。事实上，根据 IBM 2022 年的一份报告，检测和遏制违规行为的平均时间为 277 天——大约 9 个月。但有些入侵者可以在网络中潜行更长的时间：喜达屋（现为万豪酒店的一部分）的一次备受瞩目的违规事件四年来都没有引起人们的注意！

换句话说，组织面临着遭受事件的重大风险，这些事件可能与策略生效时已经在其网络中的入侵者有关，并且尽管他们支付了所有保费，但承保范围仍为零。

未能维持标准

如前所述，组织通常需要证明他们拥有特定的控制措施来防范网络攻击和其他灾难。该保单可能会包括“未能维持标准”排除条款，如果事故是由于未能确保这些控制措施到位而引起的，保险公司可以拒绝支付索赔。

例如，如果向一家组织签发了一份保单，证明其使用了入侵检测系统 (IDS)，然后该公司遭受了在未安装 IDS 的计算机上开始的违规行为，则保险公司可能能够避免支付索赔费用。同样，您的策略可能需要在某些情况下使用多重身份验证 (MFA) 或加密。

至少，请确保此类排除的语言明确，以便您准确了解需要采取哪些安全控制措施，以确保您不会因网络攻击或其他安全事件而被拒绝承保。

合规处罚的限制

在另一起事件中，连锁餐厅 P.F. Chang’s China Bistro 遭遇数据泄露，网络犯罪分子窃取了 60,000 个客户信用卡号码并将其发布到互联网上。根据 PCI DSS 标准，万事达卡对该公司的信用卡处理器征收了超过 170 万美元的评估，其中 P.F.张付了钱。但当该公司就这些费用提出索赔时，保险公司根据保单中的排除条款拒绝承保，这一决定最终在法庭上得到维持。

SEC 对上市公司的要求

自 2023 年 7 月 26 日起，美国证券交易委员会对上市公司进行了一项变更，现在报告“他们确定为重大的网络安全事件，并描述事件的性质、范围和时间安排的重要方面，及其材料”对注册人的影响或合理可能的重大影响。 ” 这些事件现在将成为公众所知，因为它们对客户以及供应链透明度造成了高昂的代价。这提高了企业在股东眼中保护其价值的能力。

战争行为

例如，制药巨头默克公司和零食巨头亿滋国际公司都是在 2017 年全球 NotPetya 网络攻击中遭受严重损失的众多公司之一。然而，他们的保险公司拒绝支付这些事件的索赔，称其保单中的“战争行为”条款适用，因为根据美国政府的说法，NotPetya 是由俄罗斯支持的组织针对乌克兰实体部署的。

两名保单持有人都起诉了他们的保险公司。 2023 年 5 月，新泽西州上诉法院维持了先前的裁决，有利于默克公司支付 1.4B 美元，以帮助弥补网络攻击造成的损失。 2022 年 11 月，亿滋与保险公司解决了长达数年的纠纷；交易细节并未披露，但该公司已要求赔偿超过 1 亿美元的损失。

这些案件将如何影响网络风险保险行业尚不完全清楚。在 NotPetya 网络攻击发生时，默克持有 17.5 亿美元的全险保单，而不是专门针对网络风险设计的保单。亿滋也没有专门的网络保险；它持有一份财产保险，其中包括“电子数据、程序或软件的物理损失或损坏，包括因恶意引入机器代码或指令而造成的物理损失或损坏”。 ”

尽管如此，业界已经做出了回应。例如，自 2023 年 3 月 31 日起，伦敦劳合社要求所有独立网络攻击保单均包含一项条款，排除因国家支持的网络攻击或战争（无论宣战与否）而造成的损失的责任。有一点是肯定的：组织需要更加警惕地检查他们考虑购买的任何保单的所有细节。

保险费飞涨。

我要提到的网络安全保险的最后一个缺点是最容易理解和量化的：保险费正在飙升。一项研究发现，2022 年直接保费增加了 50%。另一篇文章更进一步，指出一位全球保险经纪人表示，网络保险成本不仅在 2022 年翻了一番，而且在前两年也翻了一番，另一位经纪人则将 2022 年增幅不是 50%，而是 80%。一些组织报告每年为其保单支付高达 100 万美元！

最大的问题是：网络风险保险是有限网络安全预算的最佳用途吗？

然而，网络风险保险的核心问题不在于其费用是多少，也不在于保险公司将支付多少费用。网络风险保险根本无法替代网络弹性。

没有保险单可以恢复您的数据。

无论您的保单价格或承保范围的质量如何，没有保险公司可以保证您实际上可以取回数据。

为了说明这一点，让我们回到房主或租客保险的类比。这些保单通常涵盖更换住宅物品的费用，例如衣服、电器和家具。在大多数情况下，这很好，因为您可以轻松获得一台与被盗或毁坏的冰箱或沙发非常相似的冰箱或沙发。当然，也有例外：您的祖先精心制作并代代相传的传家宝摇篮，以及您从未抽出时间进行数字化的老照片。您的保单根本无法为您取回这些费用。

事情是这样的：在 IT 生态系统中，这些独特的财富也不例外；他们就是规则。事实上，您的 IT 环境中充满了不可替代的业务数据，从客户和合作伙伴的详细信息到知识产权 (IP) 到财务记录等等。虽然您的策略可以让您为数据中心购买新服务器，但它根本无法恢复服务器上的内容。

计划支付赎金并不是一个可靠的策略。

但是，如果您成功购买了一份网络风险保险，可以在遭受勒索软件攻击时支付赎金，该怎么办？这还不够吗？

嗯，在勒索软件爆发的早期，研究发现很少有选择支付赎金的组织能够取回所有数据，因此这显然是一个错误的策略。最近，勒索软件运营商似乎已经认识到，如果他们想继续获得报酬，他们确实需要兑现他们的承诺，使组织能够解密他们的数据。因此，如果您的保险公司支付赎金，您可能会很幸运。

但这仍然不是一个可行的策略。一方面，您会立即成为更具吸引力的目标：一项研究发现，付费用户中有 80% 是第二次攻击的受害者，这一比例令人震惊。您的保险公司无疑会敏锐地跟踪这些统计数据，因此不太可能让自己陷入第二次付款的困境，因此您可能会发现自己一次又一次地从自己的金库中付款。此外，政府开始对勒索软件付款实施制裁，因此您的法律团队可能会拒绝这一策略。

更广泛地说，虽然勒索软件攻击在新闻中占据主导地位，但它们并不是您需要计划的唯一类型的网络事件。一些网络攻击的目的是破坏而不是直接的金钱利益：造成附带损害的民族国家攻击（如上述的 NotPetya 攻击）、心怀不满的员工在出门时发起的攻击、黑客活动分子针对企业的拒绝服务 (DoS) 攻击反对其意识形态的组织等等。在所有这些情况下，都没有赎金要求，也没有解密密钥来恢复您的数据。

恢复数据并不意味着恢复您的操作。

有一个更基本的问题需要记住：您的环境中不可替代的“数据”远远超出了电子邮件系统和数据库中的结构化和非结构化内容。它还包括您精心安装和配置的软件，以使一切正常工作。特别是，它包括您宝贵的域控制器 (DC) — 不仅仅是每个单独的域控制器，而是所有域控制器协同工作，使用户能够登录并访问他们完成工作所需的 IT 资源。

换句话说，如果 Active Directory 未启动并运行，则任何人都无法使用任何数据库或文档，即使您已经支付了赎金并获得了解密密钥。回到我们的房主保险的比喻，如果你能从小偷手中拿回所有家具，那就太好了——但如果他们拆毁或烧毁了你的房子，这对你就没有多大好处了。

停机成本迅速上升。在 Quest 委托 Forrester Consulting 进行的一项总体经济影响研究中，AD 离线每小时会造成 730,000 美元的收入损失。其他研究发现，40% 的企业表示，一小时的停机成本为 100 万至 500 万美元以上。在最坏的情况下，损失可能达到每分钟数百万美元。幸运的是，除了希望您的网络保险单能够在灾难发生时真正弥补您的损失之外，还有另一种选择。

更好的方法：投资网络弹性，无论是否有网络风险保险

关注业务连续性，而不是数据。

组织需要将思维从网络安全扩展到网络弹性。毕竟，事件不仅仅是网络攻击造成的，而且是各种逆境造成的。例如，IT 管理员的错误、断电和设备故障也可能导致 IT 系统中断或停机，从而影响业务流程。至关重要的是，能够首先降低这些事件发生的风险，在发生这些事件时及时检测并做出响应，并能够在最坏的情况下尽快恢复。

特别是，重要的是要转变对灾难恢复主要关注数据的想法，并了解成功的真正衡量标准是恢复业务运营的速度。这种方法所节省的费用可能相当可观。前面引用的 Forrester 总体经济影响研究发现，Quest 灾难恢复解决方案通过实现从勒索软件攻击中更快地恢复，将在三年内实现1970 万美元的潜在节省。

投资网络弹性可以帮助您获得网络保险资格，或者消除对网络保险的需求。

好消息是，从主动降低风险到威胁检测再到强大的灾难恢复策略，相同的网络安全最佳实践可以帮助您同时实现多个目标。您可以帮助您的组织获得网络风险保险资格并降低保单成本，同时大幅降低您需要提出索赔的风险。此外，您还可以帮助确保遵守 GDPR、PCI DSS、HIPAA、FISMA 和各种其他法规的许多要求。

事实上，随着整个行业的保费持续上涨，增强网络弹性可以帮助您避免在网络安全风险保险上花费越来越多的预算。如果您发现很难确保策略安全，那么关注网络弹性是一个特别有价值的策略，无论是因为您过去遭受过事件，还是您的组织是医疗保健或金融等高度针对性的行业。

结论

所有组织的网络安全预算都受到限制。一种选择是将这些宝贵的资金花在网络保险上。然而，如果您完全符合资格，账单可能会开始很高，并且每年都会成倍增加，而且保单甚至可能不涵盖您所遭受的事故。

更好的选择可能是首先投资于改进流程和控制，以提高组织的网络弹性。这样，您可以首先降低遭遇违规的风险，并在出现逆境时快速恢复，同时帮助您以更低的成本获得更好的保单——如果您最终决定仍然需要的话一。