資訊保險審核:痛苦的必要或有價值的機會?
撰文:埃德華·費爾森塔爾()
資訊保險是企業減少因資訊事故所造成的金融損失的一種方法,不久前,很少有公司考慮購買這樣的保險。而對於那些考慮購買的公司來說只需填寫一份申請表和支付保費即可獲得保險。然而這些日子早已一去不返。如今企業紛紛爭相申請資訊保險。2022 年全球資訊保險市場價值已達 133.3 億美元,預計到 2030 年將飆升至 846.2 億美元。然而資訊保險的數量增加,加上昂貴攻擊事件的劇增,導致資訊保險供應商的成本上升。為了減少損失,保險公司現在通常會要求組織實施多種安全措施,以符合購買資訊保險的資格。IT 領導者們應該將這種潛在的資訊保險供應商風險評估視為一個機會,以加固組織的安全基礎。
資訊保險涉及風險評估
在保險業中,保單的要求和保費根據風險評估而定。例如,安裝防盜系統可能會降低豪華跑車的保費。在洪水易發地區居住的人可能需要支付比高地上類似房屋的居民更高的房屋保險費,甚至可能無法購買保單,正如佛羅裏達州的房主正在發現的那樣。在資訊保險方面也是如此。對於那些擁有大量個人身份訊息(PII)的公司,保險供應商可能會對其提出更多的安全要求,而對於同樣規模但 PII 更少的公司,則要求較少。對於安全控制不足以將風險降低到保險供應商能接受的水平的組織,可能無法以任何價格購買任何保單。
資訊保險的實際保障範圍
資訊保險的主要重點顯然是覆蓋資訊事故直接對業務造成的財務風險。通常,你可以期望保險覆蓋以下與資訊事件直接相關的業務成本:
- 取證分析和事件應對。有些保險公司要求你使用特定的託管事件應對服務。
- 因實際損失和破壞而造成的資料和系統恢復。
- 由於資訊事件導致的停機成本。
- 敏感資料洩露所產生的成本,例如處理公關活動、通知受影響的客戶,甚至向客戶提供信用監測服務。
- 法律服務和某些型別的規定資料責任,包括支付民事訴訟的費用。
值得注意的是,保險很少或甚至從不覆蓋事件的長期影響,例如未來因智慧財產權被盜或需要投資於資訊安全改從而產生的利潤損失。對於支付贖金,保險公司對是否支付往返期還沒有共識。有些專家認為,這樣做可能會鼓勵更多的攻擊和犯罪活動。在一些司法管轄區,關於是否禁止支付贖金的討論論點來回反覆。與任何保險政策一樣,你可以預期包含額外條款。這些可能包括他們覆蓋的最高金額、需要與執法機關進行正當程式的要求,或參與專業的贖金談判服務。
資訊保險的必要安全措施
最近的一項 Netwrix 研究揭示了資訊保險資格審核的一些有用細節。研究發現,50%的擁有資訊保險的組織實施了額外的安全措施,無論是為了滿足所選保單的要求,還是為了僅僅有資格購買保單。以下是他們所報告的必須達到的特定要求:
不要把這個清單當作詳盡或權威。例如,執行多因素認證(MFA)不一定意味著對所有使用者都要求 MFA;保險公司可能只要求對具有對敏感資料和系統擁有特權存取許可權的使用者進行額外身份取證。此外請記住,這些控制措施是相互聯動的。例如,為了要求對特定型別的資料進行 MFA 存取,你需要知道敏感和受規定的資料位於何處,並對使用者和管理特權進行控制。
