數位保險稽核:痛苦的必需,還是寶貴的機會?
作者: | 新聞評論家
引言
在數位資安事件中,保險並非長久以來企業考量的主要選擇。對於那些考慮購買保單的企業來說只需要填寫申請並開支票即可輕鬆獲得保障。然而這樣的時代已成過去。現今,企業們急於購買數位保險,全球數位保險市場價值在 2022 年達到 133.3 億美元,預計到 2030 年將飆升至 846.2 億美元。然而保險公司由於保單數量增加和高昂攻擊的激增,已經面臨到更高的成本。為了減少損失,保險公司現在經常要求組織提供證實,證實他們已經實施了各種安全措施,以符合購買保單的資格。IT 負責人應將這些來自潛在數位保險供應商的風險評估視為機會,以增強組織的安全狀態。
數位保險包括風險評估
在整個保險業中,業務要求和保費根據風險評估而有所不同。例如,安裝反盜系統可能會降低高價運動車的保費。而居住在洪水區的人,可能需要支付比其他同樣房屋但位於較高地的人更多的住房保費,甚至可能無法購買保單,就像佛羅裏達州的房屋所有者所發現的那樣。數位保險也是如此,保險商可能會對擁有大量個人身份識別訊息(PII)的公司提出更多安全要求,而對於規模相近但 PII 較少的公司則要求較少。而安全控制不足以將風險降低到保險公司能接受的水平的組織,可能無法以任何價格購買任何保單。
數位保險的保障範圍
數位保險的主要焦點當然是保護企業在事件中承受的財務風險。通常情況下,您可以期望這份保險覆蓋下列直接與數位事件有關的企業費用:
- 法醫分析和事故應變。一些保險公司要求您與特定的管理事故應變服務業者合作。
- 資料和系統的恢復,這是實際損失和破壞的直接結果。
- 由於數位事件而導致的停工成本。
- 因敏感資料泄露而產生的費用,例如處理公共關係活動、通知受影響客戶,甚至為客戶提供信用監控服務。
- 涉及受規管資料的法律服務和某些形式的責任,包括涵蓋民事訴訟的費用。
需要注意的是,保險很少或從不涵蓋事件的持續影響,例如由於智慧財產權被盜或需要投資於數位安全程式改進後的未來利潤損失。對於支付贖金,各方對於是否應該報銷存在意見分歧。並不是所有保險公司都涵蓋這種型別的費用。一些專家認為,這可能會鼓勵進一步的攻擊和支援犯罪活動。在某些司法管轄區,有關支付贖金是否應該被完全禁止的討論亦在進行中。與任何保險條款一樣,您可以期望有額外的約束條款,這些可能包括最高賠償金額、必須與執法機構進行正式程式或投入專業贖金談判服務。
數位保險的必備安全措施
最近 Netwrix 的一項研究揭示了今天獲得數位保險資格的過程中的有用細節。該研究發現,50%的擁有數位保險的組織實施了額外的安全措施,以滿足所選保單的要求,或者僅僅為了有資格購買保單。下面的圖顯示了他們報告必須滿足的特定要求:
請注意,這份清單並不全面或具有權威性。例如,實施多因素身份取證並不一定意味著要求所有使用者進行多因素身份取證;保險商可能僅要求具有對敏感資料和系統具有特權存取的使用者進行額外的取證。此外請記住這些控制是相互聯動的。例如,為了要求某些型別資料的存取需要多因素身份取證,您需要知道敏感和受規管資料的存放位置,並具有對使用者和管理許可權的控制。
結論:保護企業的資產
數位保險稽核對於企業來說不僅是一種痛苦的必需,而且是一個寶貴的機會。這是企業應該利用的機會,以增強其資訊安全能力,減少可能的損失和避免無法彌補的後果。在紛繁複雜的網路威脅蔓延下,企業需要認識到資產保護是一個持久且專注的過程,並透過與數位保險提供商的合作使其能夠更好地應對威脅。
關鍵詞:
保險、數位保險稽核、痛苦的必需、寶貴的機會、資訊安全、風險評估、規定、保費、資產保護、企業安全、資訊安全控制
