網(wǎng)絡(luò)保險是一項正在進行的工作，許多現(xiàn)有客戶實際上是“小白鼠”。

網(wǎng)絡(luò)保險業(yè)的基本問題很容易陳述，但很難解決。收入(保費)必須超過支出(索賠)約30%(運營成本+利潤)。如果索賠增加，保險模式的保費也必須增加，才能維持下去。

但網(wǎng)絡(luò)犯罪的成本正在急劇上升，而且多年來一直如此。不斷提高保費以應(yīng)對不斷增加的索賠最終是不可持續(xù)的。遲早，本來是企業(yè)風(fēng)險管理有效形式的保險，其成本會變得過于高昂。因此，網(wǎng)絡(luò)保險要想持續(xù)下去，就必須找到一種平衡成本收益的方法。

一個可能的解決方案是，降低成本(索賠)會比增加銷售額(保費)更快地提高損益率。這是保險業(yè)目前正在考慮的方案。首先，可以通過增加保險單中的除外責(zé)任來降低成本。當(dāng)然，這會降低保險作為風(fēng)險管理工具的價值，而且可保范圍也受限。其次，如果客戶的安全狀況能夠得到充分改善以減少索賠，那么保險成本也可以降低，或者至少保持在當(dāng)前水平。

當(dāng)前網(wǎng)絡(luò)保險的問題

根據(jù)研究機構(gòu)Moody在2021年10月19日聲稱：“勒索軟件的激增已經(jīng)導(dǎo)致網(wǎng)絡(luò)保險策略的損失，保險公司的損失在2021年可能會增加。雖然保險公司已經(jīng)看到了勒索軟件的激升而逐漸提高網(wǎng)絡(luò)保險定價，并降低了保單限額，增加了免賠額，同時收緊了條款和條件。”

勒索軟件是目前業(yè)界和保險公司的一大難題。但這并不是唯一的威脅。BEC(商業(yè)郵件欺詐)也同樣能造成巨大且難以預(yù)測的損失。許多研究人員認(rèn)為，隨著技術(shù)的進步(典型的如Deepfake)，BEC將在2022年繼續(xù)擴大。

在大多數(shù)保險市場，保險公司擁有數(shù)百年的航海、汽車、家庭和人壽保險損失及其原因的數(shù)據(jù)。這些數(shù)據(jù)作為精算表，提供了準(zhǔn)確的證據(jù)，可以作為個案保費的基礎(chǔ)。但對于網(wǎng)絡(luò)空間來說，沒有這樣的精算表，而且也不太可能被編制成表。

“我認(rèn)為保險業(yè)無法創(chuàng)建網(wǎng)絡(luò)安全精算表，風(fēng)險是不可預(yù)測的。攻擊者很聰明，一直在尋找利用受害者的新方法。是的，我們正在變得更好，我們有更多的數(shù)據(jù)——但三年前的損失經(jīng)驗與今天無關(guān)。保險業(yè)會像汽車業(yè)那樣獲得精算表嗎?我不認(rèn)為會發(fā)生這種情況。”--Cowbell保險主管克里斯·里斯

由于沒有歷史數(shù)據(jù)的幫助，保險公司無法主動設(shè)定準(zhǔn)確的保費，而是被動做出反應(yīng)。通過設(shè)定更高的保費和保險條件來應(yīng)對不斷增加的索賠。簡而言之，購買保險變得越來越昂貴，續(xù)保變得越來越困難，有時甚至不可能。

但另一方面，盡管網(wǎng)絡(luò)保險的成本不斷上升，覆蓋范圍不斷縮小，但該市場仍在迅速擴張。2021年5月，美國政府問責(zé)制辦公室(GAO)發(fā)布了來自全球保險經(jīng)紀(jì)公司MaSH的數(shù)據(jù)，表明客戶購買網(wǎng)絡(luò)保險的比例從2020上升到47%，2016年這個比例是26%。

主要原因就是網(wǎng)絡(luò)犯罪的持續(xù)增長。據(jù)一些調(diào)查報告估計，網(wǎng)絡(luò)犯罪已經(jīng)給全球經(jīng)濟造成了數(shù)萬億美元的損失，并且未來幾年還會繼續(xù)增長。保險業(yè)要想在更大的市場覆蓋越來越多的索賠，需要做的不僅僅是反復(fù)提高保費，因此一個可行的解決方案是通過提高客戶的網(wǎng)絡(luò)安全來減少索賠。問題在于，對于保險公司而不是網(wǎng)絡(luò)安全公司來說，該如何去做呢?

網(wǎng)絡(luò)保險的可能路徑

支付卡行業(yè)有一個安全標(biāo)準(zhǔn)(PCIDSS)，所有公司在接受銀行卡支付之前必須遵守該標(biāo)準(zhǔn)。提高被保險人安全性的一個途徑是制定類似的安全標(biāo)準(zhǔn)并要求其合規(guī)。

英國的汽車保險行業(yè)有先例。在駕駛員為機動車輛投保之前，車輛必須首先通過交通部(MoT)設(shè)計的測試，并獲得MoT證書。保險是法律要求的，所以測試也是法律要求的，保險業(yè)在受益的同時，也會因為客戶有證書而降低保費。美國的通常做法是，要求汽車保險覆蓋第三方責(zé)任。

目前還沒有法律要求企業(yè)必需購買網(wǎng)絡(luò)保險——但未來發(fā)生這種情況的可能并非不可想象。

合規(guī)要求的強制保險，其價值可以從證書上體現(xiàn)，如上文中的MoT證書，通過該驗證則證明客戶的高安全性，也因此保險公司會提供更低的保費。但這只是假設(shè)，在網(wǎng)絡(luò)保險這個領(lǐng)域，安全證書能否減少被保險人的索賠概念，并最終得以讓保險業(yè)將保費保持在當(dāng)前或更低的水平，答案還是未知。

“PCI無疑提高了很多公司的網(wǎng)絡(luò)安全基準(zhǔn)，但它并沒有神奇地解決這個問題。你可以通過PCI審核，但仍然會被入侵。支付卡行業(yè)的問題是，是否能讓攻擊成本大于收益?”--趨勢科技市場戰(zhàn)略和企業(yè)發(fā)展主管Eric Skinner

也許只有時間才能證明，保險業(yè)是否能夠開發(fā)、維護并要求遵守一個行之有效的可靠安全標(biāo)準(zhǔn)出來。

特殊控制是否可行

保險業(yè)的另一種做法是對不同的客戶進行不同的控制，這將比單一的通用的標(biāo)準(zhǔn)更加靈活。風(fēng)險對于不同的行業(yè)不同的用戶不同的時期都是不同的，所以既可以不同用戶不同規(guī)定，也可以在續(xù)保時或每年對其進行更改修訂。

但這樣做意味著，保險公司會介入客戶的安全評估工作。比如，網(wǎng)絡(luò)保險業(yè)務(wù)人員會要求客戶提供一份關(guān)于其安全狀況的聲明。如同年度合規(guī)審計的調(diào)查問卷，但這種問卷在降低風(fēng)險上的作用不大。比如，“您部署了EDR嗎?”一些保險經(jīng)紀(jì)人表示，如果客戶的回答是“No”，他們就有很高的被拒絕或不續(xù)簽的風(fēng)險。

但根本的問題在于，安全性并不是通過部署安全產(chǎn)品來增強的，而是通過正確地實施和充分地使用來增強，這是無法通過問卷調(diào)查來衡量的。因此，這就要求保險人員了解投保公司的業(yè)務(wù)，了解該公司CISO所掌握的安全狀況。先不說保險人員有沒有這種能力或意愿，客戶愿意嗎?

實施持續(xù)監(jiān)控

第三種方法是保險業(yè)根據(jù)第三方安全評估公司的建議支付保費。這種建議以持續(xù)的安全態(tài)勢監(jiān)測為基礎(chǔ)，也更容易被客戶接受。保險公司可以簡單地說，我們的掃描顯示你在某某方面很弱，加固這些方面就有可能獲得較低的保費。

但這種評估的缺點是大多數(shù)掃描只能看到客戶基礎(chǔ)設(shè)施的外部視圖，但也依然有效，因為絕大多數(shù)黑客也是這樣做的。收斂攻擊面，脆弱性加固都可以提升黑客的攻擊成本，使其很難找到切入點。

但如果能從外部監(jiān)控逐步升級到對整個基礎(chǔ)設(shè)施的內(nèi)部持續(xù)監(jiān)控，無疑可以讓保險公司對客戶投保所需的保費進行更智能的評估。從某種意義上可以說，那些提供安全評估服務(wù)的公司就像保險經(jīng)紀(jì)人的助手，為經(jīng)紀(jì)人提供必要的信息，以在與客戶的協(xié)商中決定最合算的保費。

網(wǎng)絡(luò)保險業(yè)的未來

網(wǎng)絡(luò)保險是個正在嘗試的新險種，這意味著許多現(xiàn)有客戶實際上是試驗品。而且上文中提到的，當(dāng)前不斷增加的保費和除外責(zé)任以抵消不斷上升的索賠的模式是不可持續(xù)的。保險公司已經(jīng)意識到這一點，并正在積極尋求解決方案。雙方的目的是一樣的，提高安全性，降低網(wǎng)絡(luò)攻擊造成的損失。

Resilience首席執(zhí)行官Vishaal Hariprasad認(rèn)為，解決方案將伴隨著投保人、網(wǎng)絡(luò)安全和保險公司之間的新關(guān)系而產(chǎn)生。Hariprasad于2016年進入保險行業(yè)，此前曾擔(dān)任Palo Alto威脅情報架構(gòu)師。他還有一個身份，美國空軍預(yù)備隊的網(wǎng)絡(luò)作戰(zhàn)官。

“在2016年，可以購買價值100萬美元的網(wǎng)絡(luò)保險。經(jīng)紀(jì)人會問，你有IT人員嗎?你們買了防火墻嗎?但他們從來沒有問防火墻是否打開過，因為整個保險業(yè)都不在乎。但這是必須改變的，保險公司需要知道，你的防火墻打開了嗎?它是否一直在更新?是否不斷引入正確的數(shù)據(jù)源?是否在監(jiān)控?”保險人和被保險人之間需要一種新的合作關(guān)系。

換句話說，保險公司通過與威脅信息共享機構(gòu)的關(guān)系，要成為客戶的網(wǎng)絡(luò)安全顧問。投保人和保險人都在尋求同一個目的——更好的網(wǎng)絡(luò)安全，這可以通過雙方都能接受的方式來實現(xiàn)，而不是以官方強制的方式。

Hariprasad認(rèn)為，成功的網(wǎng)絡(luò)保險業(yè)務(wù)，最重要的是共同參與和持續(xù)監(jiān)控，即投保人和充分了解威脅狀況的保險公司雙方之間的共同參與，以及對網(wǎng)絡(luò)安全緩解措施的持續(xù)監(jiān)控。

網(wǎng)絡(luò)保險和網(wǎng)絡(luò)安全必須學(xué)會協(xié)調(diào)工作，而不是被視為彼此的替代品。保險公司必須成為投保人董事會值得信賴的顧問，董事會也必須學(xué)會與保險公司合作，改善網(wǎng)絡(luò)安全措施，提升企業(yè)安全能力，盡可能地降低保費。

網(wǎng)絡(luò)保險是一項正在進行的工作，許多現(xiàn)有客戶實際上是“小白鼠”。

網(wǎng)絡(luò)保險業(yè)的基本問題很容易陳述，但很難解決。收入(保費)必須超過支出(索賠)約30%(運營成本+利潤)。如果索賠增加，保險模式的保費也必須增加，才能維持下去。

編輯搜圖

但網(wǎng)絡(luò)犯罪的成本正在急劇上升，而且多年來一直如此。不斷提高保費以應(yīng)對不斷增加的索賠最終是不可持續(xù)的。遲早，本來是企業(yè)風(fēng)險管理有效形式的保險，其成本會變得過于高昂。因此，網(wǎng)絡(luò)保險要想持續(xù)下去，就必須找到一種平衡成本收益的方法。

一個可能的解決方案是，降低成本(索賠)會比增加銷售額(保費)更快地提高損益率。這是保險業(yè)目前正在考慮的方案。首先，可以通過增加保險單中的除外責(zé)任來降低成本。當(dāng)然，這會降低保險作為風(fēng)險管理工具的價值，而且可保范圍也受限。其次，如果客戶的安全狀況能夠得到充分改善以減少索賠，那么保險成本也可以降低，或者至少保持在當(dāng)前水平。

當(dāng)前網(wǎng)絡(luò)保險的問題

根據(jù)研究機構(gòu)Moody在2021年10月19日聲稱：“勒索軟件的激增已經(jīng)導(dǎo)致網(wǎng)絡(luò)保險策略的損失，保險公司的損失在2021年可能會增加。雖然保險公司已經(jīng)看到了勒索軟件的激升而逐漸提高網(wǎng)絡(luò)保險定價，并降低了保單限額，增加了免賠額，同時收緊了條款和條件。”

勒索軟件是目前業(yè)界和保險公司的一大難題。但這并不是唯一的威脅。BEC(商業(yè)郵件欺詐)也同樣能造成巨大且難以預(yù)測的損失。許多研究人員認(rèn)為，隨著技術(shù)的進步(典型的如Deepfake)，BEC將在2022年繼續(xù)擴大。

在大多數(shù)保險市場，保險公司擁有數(shù)百年的航海、汽車、家庭和人壽保險損失及其原因的數(shù)據(jù)。這些數(shù)據(jù)作為精算表，提供了準(zhǔn)確的證據(jù)，可以作為個案保費的基礎(chǔ)。但對于網(wǎng)絡(luò)空間來說，沒有這樣的精算表，而且也不太可能被編制成表。

“我認(rèn)為保險業(yè)無法創(chuàng)建網(wǎng)絡(luò)安全精算表，風(fēng)險是不可預(yù)測的。攻擊者很聰明，一直在尋找利用受害者的新方法。是的，我們正在變得更好，我們有更多的數(shù)據(jù)——但三年前的損失經(jīng)驗與今天無關(guān)。保險業(yè)會像汽車業(yè)那樣獲得精算表嗎?我不認(rèn)為會發(fā)生這種情況?！?-Cowbell保險主管克里斯·里斯

由于沒有歷史數(shù)據(jù)的幫助，保險公司無法主動設(shè)定準(zhǔn)確的保費，而是被動做出反應(yīng)。通過設(shè)定更高的保費和保險條件來應(yīng)對不斷增加的索賠。簡而言之，購買保險變得越來越昂貴，續(xù)保變得越來越困難，有時甚至不可能。

但另一方面，盡管網(wǎng)絡(luò)保險的成本不斷上升，覆蓋范圍不斷縮小，但該市場仍在迅速擴張。2021年5月，美國政府問責(zé)制辦公室(GAO)發(fā)布了來自全球保險經(jīng)紀(jì)公司MaSH的數(shù)據(jù)，表明客戶購買網(wǎng)絡(luò)保險的比例從2020上升到47%，2016年這個比例是26%。

主要原因就是網(wǎng)絡(luò)犯罪的持續(xù)增長。據(jù)一些調(diào)查報告估計，網(wǎng)絡(luò)犯罪已經(jīng)給全球經(jīng)濟造成了數(shù)萬億美元的損失，并且未來幾年還會繼續(xù)增長。保險業(yè)要想在更大的市場覆蓋越來越多的索賠，需要做的不僅僅是反復(fù)提高保費，因此一個可行的解決方案是通過提高客戶的網(wǎng)絡(luò)安全來減少索賠。問題在于，對于保險公司而不是網(wǎng)絡(luò)安全公司來說，該如何去做呢?

網(wǎng)絡(luò)保險的可能路徑

支付卡行業(yè)有一個安全標(biāo)準(zhǔn)(PCIDSS)，所有公司在接受銀行卡支付之前必須遵守該標(biāo)準(zhǔn)。提高被保險人安全性的一個途徑是制定類似的安全標(biāo)準(zhǔn)并要求其合規(guī)。

英國的汽車保險行業(yè)有先例。在駕駛員為機動車輛投保之前，車輛必須首先通過交通部(MoT)設(shè)計的測試，并獲得MoT證書。保險是法律要求的，所以測試也是法律要求的，保險業(yè)在受益的同時，也會因為客戶有證書而降低保費。美國的通常做法是，要求汽車保險覆蓋第三方責(zé)任。

目前還沒有法律要求企業(yè)必需購買網(wǎng)絡(luò)保險——但未來發(fā)生這種情況的可能并非不可想象。

合規(guī)要求的強制保險，其價值可以從證書上體現(xiàn)，如上文中的MoT證書，通過該驗證則證明客戶的高安全性，也因此保險公司會提供更低的保費。但這只是假設(shè)，在網(wǎng)絡(luò)保險這個領(lǐng)域，安全證書能否減少被保險人的索賠概念，并最終得以讓保險業(yè)將保費保持在當(dāng)前或更低的水平，答案還是未知。

“PCI無疑提高了很多公司的網(wǎng)絡(luò)安全基準(zhǔn)，但它并沒有神奇地解決這個問題。你可以通過PCI審核，但仍然會被入侵。支付卡行業(yè)的問題是，是否能讓攻擊成本大于收益?”--趨勢科技市場戰(zhàn)略和企業(yè)發(fā)展主管Eric Skinner

也許只有時間才能證明，保險業(yè)是否能夠開發(fā)、維護并要求遵守一個行之有效的可靠安全標(biāo)準(zhǔn)出來。

特殊控制是否可行

保險業(yè)的另一種做法是對不同的客戶進行不同的控制，這將比單一的通用的標(biāo)準(zhǔn)更加靈活。風(fēng)險對于不同的行業(yè)不同的用戶不同的時期都是不同的，所以既可以不同用戶不同規(guī)定，也可以在續(xù)保時或每年對其進行更改修訂。

但這樣做意味著，保險公司會介入客戶的安全評估工作。比如，網(wǎng)絡(luò)保險業(yè)務(wù)人員會要求客戶提供一份關(guān)于其安全狀況的聲明。如同年度合規(guī)審計的調(diào)查問卷，但這種問卷在降低風(fēng)險上的作用不大。比如，“您部署了EDR嗎?”一些保險經(jīng)紀(jì)人表示，如果客戶的回答是“No”，他們就有很高的被拒絕或不續(xù)簽的風(fēng)險。

但根本的問題在于，安全性并不是通過部署安全產(chǎn)品來增強的，而是通過正確地實施和充分地使用來增強，這是無法通過問卷調(diào)查來衡量的。因此，這就要求保險人員了解投保公司的業(yè)務(wù)，了解該公司CISO所掌握的安全狀況。先不說保險人員有沒有這種能力或意愿，客戶愿意嗎?

實施持續(xù)監(jiān)控

第三種方法是保險業(yè)根據(jù)第三方安全評估公司的建議支付保費。這種建議以持續(xù)的安全態(tài)勢監(jiān)測為基礎(chǔ)，也更容易被客戶接受。保險公司可以簡單地說，我們的掃描顯示你在某某方面很弱，加固這些方面就有可能獲得較低的保費。

但這種評估的缺點是大多數(shù)掃描只能看到客戶基礎(chǔ)設(shè)施的外部視圖，但也依然有效，因為絕大多數(shù)黑客也是這樣做的。收斂攻擊面，脆弱性加固都可以提升黑客的攻擊成本，使其很難找到切入點。

但如果能從外部監(jiān)控逐步升級到對整個基礎(chǔ)設(shè)施的內(nèi)部持續(xù)監(jiān)控，無疑可以讓保險公司對客戶投保所需的保費進行更智能的評估。從某種意義上可以說，那些提供安全評估服務(wù)的公司就像保險經(jīng)紀(jì)人的助手，為經(jīng)紀(jì)人提供必要的信息，以在與客戶的協(xié)商中決定最合算的保費。

網(wǎng)絡(luò)保險業(yè)的未來

網(wǎng)絡(luò)保險是個正在嘗試的新險種，這意味著許多現(xiàn)有客戶實際上是試驗品。而且上文中提到的，當(dāng)前不斷增加的保費和除外責(zé)任以抵消不斷上升的索賠的模式是不可持續(xù)的。保險公司已經(jīng)意識到這一點，并正在積極尋求解決方案。雙方的目的是一樣的，提高安全性，降低網(wǎng)絡(luò)攻擊造成的損失。

Resilience首席執(zhí)行官Vishaal Hariprasad認(rèn)為，解決方案將伴隨著投保人、網(wǎng)絡(luò)安全和保險公司之間的新關(guān)系而產(chǎn)生。Hariprasad于2016年進入保險行業(yè)，此前曾擔(dān)任Palo Alto威脅情報架構(gòu)師。他還有一個身份，美國空軍預(yù)備隊的網(wǎng)絡(luò)作戰(zhàn)官。

“在2016年，可以購買價值100萬美元的網(wǎng)絡(luò)保險。經(jīng)紀(jì)人會問，你有IT人員嗎?你們買了防火墻嗎?但他們從來沒有問防火墻是否打開過，因為整個保險業(yè)都不在乎。但這是必須改變的，保險公司需要知道，你的防火墻打開了嗎?它是否一直在更新?是否不斷引入正確的數(shù)據(jù)源?是否在監(jiān)控?”保險人和被保險人之間需要一種新的合作關(guān)系。

換句話說，保險公司通過與威脅信息共享機構(gòu)的關(guān)系，要成為客戶的網(wǎng)絡(luò)安全顧問。投保人和保險人都在尋求同一個目的——更好的網(wǎng)絡(luò)安全，這可以通過雙方都能接受的方式來實現(xiàn)，而不是以官方強制的方式。

Hariprasad認(rèn)為，成功的網(wǎng)絡(luò)保險業(yè)務(wù)，最重要的是共同參與和持續(xù)監(jiān)控，即投保人和充分了解威脅狀況的保險公司雙方之間的共同參與，以及對網(wǎng)絡(luò)安全緩解措施的持續(xù)監(jiān)控。

網(wǎng)絡(luò)保險和網(wǎng)絡(luò)安全必須學(xué)會協(xié)調(diào)工作，而不是被視為彼此的替代品。保險公司必須成為投保人董事會值得信賴的顧問，董事會也必須學(xué)會與保險公司合作，改善網(wǎng)絡(luò)安全措施，提升企業(yè)安全能力，盡可能地降低保費。

網(wǎng)絡(luò)保險是一項正在進行的工作，許多現(xiàn)有客戶實際上是“小白鼠”。

網(wǎng)絡(luò)保險業(yè)的基本問題很容易陳述，但很難解決。收入(保費)必須超過支出(索賠)約30%(運營成本+利潤)。如果索賠增加，保險模式的保費也必須增加，才能維持下去。

編輯搜圖

但網(wǎng)絡(luò)犯罪的成本正在急劇上升，而且多年來一直如此。不斷提高保費以應(yīng)對不斷增加的索賠最終是不可持續(xù)的。遲早，本來是企業(yè)風(fēng)險管理有效形式的保險，其成本會變得過于高昂。因此，網(wǎng)絡(luò)保險要想持續(xù)下去，就必須找到一種平衡成本收益的方法。

一個可能的解決方案是，降低成本(索賠)會比增加銷售額(保費)更快地提高損益率。這是保險業(yè)目前正在考慮的方案。首先，可以通過增加保險單中的除外責(zé)任來降低成本。當(dāng)然，這會降低保險作為風(fēng)險管理工具的價值，而且可保范圍也受限。其次，如果客戶的安全狀況能夠得到充分改善以減少索賠，那么保險成本也可以降低，或者至少保持在當(dāng)前水平。

當(dāng)前網(wǎng)絡(luò)保險的問題

根據(jù)研究機構(gòu)Moody在2021年10月19日聲稱：“勒索軟件的激增已經(jīng)導(dǎo)致網(wǎng)絡(luò)保險策略的損失，保險公司的損失在2021年可能會增加。雖然保險公司已經(jīng)看到了勒索軟件的激升而逐漸提高網(wǎng)絡(luò)保險定價，并降低了保單限額，增加了免賠額，同時收緊了條款和條件?！?

勒索軟件是目前業(yè)界和保險公司的一大難題。但這并不是唯一的威脅。BEC(商業(yè)郵件欺詐)也同樣能造成巨大且難以預(yù)測的損失。許多研究人員認(rèn)為，隨著技術(shù)的進步(典型的如Deepfake)，BEC將在2022年繼續(xù)擴大。

在大多數(shù)保險市場，保險公司擁有數(shù)百年的航海、汽車、家庭和人壽保險損失及其原因的數(shù)據(jù)。這些數(shù)據(jù)作為精算表，提供了準(zhǔn)確的證據(jù)，可以作為個案保費的基礎(chǔ)。但對于網(wǎng)絡(luò)空間來說，沒有這樣的精算表，而且也不太可能被編制成表。

“我認(rèn)為保險業(yè)無法創(chuàng)建網(wǎng)絡(luò)安全精算表，風(fēng)險是不可預(yù)測的。攻擊者很聰明，一直在尋找利用受害者的新方法。是的，我們正在變得更好，我們有更多的數(shù)據(jù)——但三年前的損失經(jīng)驗與今天無關(guān)。保險業(yè)會像汽車業(yè)那樣獲得精算表嗎?我不認(rèn)為會發(fā)生這種情況?！?-Cowbell保險主管克里斯·里斯

由于沒有歷史數(shù)據(jù)的幫助，保險公司無法主動設(shè)定準(zhǔn)確的保費，而是被動做出反應(yīng)。通過設(shè)定更高的保費和保險條件來應(yīng)對不斷增加的索賠。簡而言之，購買保險變得越來越昂貴，續(xù)保變得越來越困難，有時甚至不可能。

但另一方面，盡管網(wǎng)絡(luò)保險的成本不斷上升，覆蓋范圍不斷縮小，但該市場仍在迅速擴張。2021年5月，美國政府問責(zé)制辦公室(GAO)發(fā)布了來自全球保險經(jīng)紀(jì)公司MaSH的數(shù)據(jù)，表明客戶購買網(wǎng)絡(luò)保險的比例從2020上升到47%，2016年這個比例是26%。

主要原因就是網(wǎng)絡(luò)犯罪的持續(xù)增長。據(jù)一些調(diào)查報告估計，網(wǎng)絡(luò)犯罪已經(jīng)給全球經(jīng)濟造成了數(shù)萬億美元的損失，并且未來幾年還會繼續(xù)增長。保險業(yè)要想在更大的市場覆蓋越來越多的索賠，需要做的不僅僅是反復(fù)提高保費，因此一個可行的解決方案是通過提高客戶的網(wǎng)絡(luò)安全來減少索賠。問題在于，對于保險公司而不是網(wǎng)絡(luò)安全公司來說，該如何去做呢?

網(wǎng)絡(luò)保險的可能路徑

支付卡行業(yè)有一個安全標(biāo)準(zhǔn)(PCIDSS)，所有公司在接受銀行卡支付之前必須遵守該標(biāo)準(zhǔn)。提高被保險人安全性的一個途徑是制定類似的安全標(biāo)準(zhǔn)并要求其合規(guī)。

英國的汽車保險行業(yè)有先例。在駕駛員為機動車輛投保之前，車輛必須首先通過交通部(MoT)設(shè)計的測試，并獲得MoT證書。保險是法律要求的，所以測試也是法律要求的，保險業(yè)在受益的同時，也會因為客戶有證書而降低保費。美國的通常做法是，要求汽車保險覆蓋第三方責(zé)任。

目前還沒有法律要求企業(yè)必需購買網(wǎng)絡(luò)保險——但未來發(fā)生這種情況的可能并非不可想象。

合規(guī)要求的強制保險，其價值可以從證書上體現(xiàn)，如上文中的MoT證書，通過該驗證則證明客戶的高安全性，也因此保險公司會提供更低的保費。但這只是假設(shè)，在網(wǎng)絡(luò)保險這個領(lǐng)域，安全證書能否減少被保險人的索賠概念，并最終得以讓保險業(yè)將保費保持在當(dāng)前或更低的水平，答案還是未知。

“PCI無疑提高了很多公司的網(wǎng)絡(luò)安全基準(zhǔn)，但它并沒有神奇地解決這個問題。你可以通過PCI審核，但仍然會被入侵。支付卡行業(yè)的問題是，是否能讓攻擊成本大于收益?”--趨勢科技市場戰(zhàn)略和企業(yè)發(fā)展主管Eric Skinner

也許只有時間才能證明，保險業(yè)是否能夠開發(fā)、維護并要求遵守一個行之有效的可靠安全標(biāo)準(zhǔn)出來。

特殊控制是否可行

保險業(yè)的另一種做法是對不同的客戶進行不同的控制，這將比單一的通用的標(biāo)準(zhǔn)更加靈活。風(fēng)險對于不同的行業(yè)不同的用戶不同的時期都是不同的，所以既可以不同用戶不同規(guī)定，也可以在續(xù)保時或每年對其進行更改修訂。

但這樣做意味著，保險公司會介入客戶的安全評估工作。比如，網(wǎng)絡(luò)保險業(yè)務(wù)人員會要求客戶提供一份關(guān)于其安全狀況的聲明。如同年度合規(guī)審計的調(diào)查問卷，但這種問卷在降低風(fēng)險上的作用不大。比如，“您部署了EDR嗎?”一些保險經(jīng)紀(jì)人表示，如果客戶的回答是“No”，他們就有很高的被拒絕或不續(xù)簽的風(fēng)險。

但根本的問題在于，安全性并不是通過部署安全產(chǎn)品來增強的，而是通過正確地實施和充分地使用來增強，這是無法通過問卷調(diào)查來衡量的。因此，這就要求保險人員了解投保公司的業(yè)務(wù)，了解該公司CISO所掌握的安全狀況。先不說保險人員有沒有這種能力或意愿，客戶愿意嗎?

實施持續(xù)監(jiān)控

第三種方法是保險業(yè)根據(jù)第三方安全評估公司的建議支付保費。這種建議以持續(xù)的安全態(tài)勢監(jiān)測為基礎(chǔ)，也更容易被客戶接受。保險公司可以簡單地說，我們的掃描顯示你在某某方面很弱，加固這些方面就有可能獲得較低的保費。

但這種評估的缺點是大多數(shù)掃描只能看到客戶基礎(chǔ)設(shè)施的外部視圖，但也依然有效，因為絕大多數(shù)黑客也是這樣做的。收斂攻擊面，脆弱性加固都可以提升黑客的攻擊成本，使其很難找到切入點。

但如果能從外部監(jiān)控逐步升級到對整個基礎(chǔ)設(shè)施的內(nèi)部持續(xù)監(jiān)控，無疑可以讓保險公司對客戶投保所需的保費進行更智能的評估。從某種意義上可以說，那些提供安全評估服務(wù)的公司就像保險經(jīng)紀(jì)人的助手，為經(jīng)紀(jì)人提供必要的信息，以在與客戶的協(xié)商中決定最合算的保費。

網(wǎng)絡(luò)保險業(yè)的未來

網(wǎng)絡(luò)保險是個正在嘗試的新險種，這意味著許多現(xiàn)有客戶實際上是試驗品。而且上文中提到的，當(dāng)前不斷增加的保費和除外責(zé)任以抵消不斷上升的索賠的模式是不可持續(xù)的。保險公司已經(jīng)意識到這一點，并正在積極尋求解決方案。雙方的目的是一樣的，提高安全性，降低網(wǎng)絡(luò)攻擊造成的損失。

Resilience首席執(zhí)行官Vishaal Hariprasad認(rèn)為，解決方案將伴隨著投保人、網(wǎng)絡(luò)安全和保險公司之間的新關(guān)系而產(chǎn)生。Hariprasad于2016年進入保險行業(yè)，此前曾擔(dān)任Palo Alto威脅情報架構(gòu)師。他還有一個身份，美國空軍預(yù)備隊的網(wǎng)絡(luò)作戰(zhàn)官。

“在2016年，可以購買價值100萬美元的網(wǎng)絡(luò)保險。經(jīng)紀(jì)人會問，你有IT人員嗎?你們買了防火墻嗎?但他們從來沒有問防火墻是否打開過，因為整個保險業(yè)都不在乎。但這是必須改變的，保險公司需要知道，你的防火墻打開了嗎?它是否一直在更新?是否不斷引入正確的數(shù)據(jù)源?是否在監(jiān)控?”保險人和被保險人之間需要一種新的合作關(guān)系。

換句話說，保險公司通過與威脅信息共享機構(gòu)的關(guān)系，要成為客戶的網(wǎng)絡(luò)安全顧問。投保人和保險人都在尋求同一個目的——更好的網(wǎng)絡(luò)安全，這可以通過雙方都能接受的方式來實現(xiàn)，而不是以官方強制的方式。

Hariprasad認(rèn)為，成功的網(wǎng)絡(luò)保險業(yè)務(wù)，最重要的是共同參與和持續(xù)監(jiān)控，即投保人和充分了解威脅狀況的保險公司雙方之間的共同參與，以及對網(wǎng)絡(luò)安全緩解措施的持續(xù)監(jiān)控。

網(wǎng)絡(luò)保險和網(wǎng)絡(luò)安全必須學(xué)會協(xié)調(diào)工作，而不是被視為彼此的替代品。保險公司必須成為投保人董事會值得信賴的顧問，董事會也必須學(xué)會與保險公司合作，改善網(wǎng)絡(luò)安全措施，提升企業(yè)安全能力，盡可能地降低保費。