信息化觀察網

本文來自微信公眾號“安全419”。

網絡安全保險興起于上世紀90年代末，當美國國際集團（AIG）在1997年推出第一份網絡保險單時，保險市場打開了一個新興險種領域。而國內網絡安全保險起步略晚，目前仍處于市場探索期。網絡安全保險在國家政策和企業行政領導的推動下，正在成為商業安全戰略中不可或缺的部分。

據Delinea的最新研究調查，去年，47%的企業購買了網絡安全保險產品，較前年增加了4%。目前，每年數據泄露損失平均為45萬美元。面對日益增長的網絡安全威脅，任何企業都無法保證“萬無一失”。網絡安全保險作為企業實現風險轉移的有效手段之一，在支付法律咨詢服務、調查溯源安全事故、事后響應補救等方面可以發揮重要作用，同時使董事會、企業領導及投資者安心落意。

網絡保險需求激增承保要求趨嚴

隨著勒索軟件、網絡釣魚和DDoS的頻繁出現和日益嚴重，企業對網絡安全保險的需求也在不斷加大。不少企業制定了相關策略降低其網絡安全風險，預計未來全球網絡保險的市場價值可能會翻一番，達到403億美元。

一方面，這表明更多公司正在采取措施保護其業務。另一方面，也表明保險價格正在持續上漲。保險公司從客戶經歷的安全事件中學習總結，向潛在客戶提供最具吸引力的條款并不斷提升其參保要求。就此，一項研究表明，需要半年或半年以上的時間才能獲保的企業數量增加。意向參與保險和續保的企業應該充分了解細則和承保范圍，以及索賠的具體規定。

縱然保險公司在不斷迭代更新其產品，但他們對有意向參與保險和已參與保險的企業的參保要求逐漸嚴格。

因此，企業在申請網絡安全保險時，應該明白獲得保單在很大程度上取決于現有的安全基礎設施和安全工作。那么，企業應如何提升自身安全水位?

企業申請網絡安全保險的前提條件

隨著保險服務商愈加了解網絡安全的復雜性，企業在申請之前進行網絡風險全面評估及治理已成為承保的先決條件。例如，美國的保險公司在確定具體細則時更多參考NIST網絡安全框架。因此，企業應該關注幾個關鍵領域，以增加參保機會。

在申請保險之前，企業必須充分了解可能會遇到的網絡風險。需進行全面的網絡安全風險評估以查明漏洞，并確定網絡風險承受能力。

各企業應采取強有力的防范措施（例如惡意軟件防御和明確的數據安全策略）來保護其關鍵資產。身份安全尤其重要，Delinea的研究顯示，僅有49%的公司具有身份訪問管理（IAM）和特權帳戶管理（PAM）的策略。

除此之外，使用MFA（多因素身份驗證）可以極大減少系統入侵、敏感數據泄露、身份盜竊、網絡釣魚和其他欺詐活動的風險和可能性，如果企業使用MFA安全方式，當外部攻擊來臨時，即便攻擊者獲得了用戶名和密碼，他們仍然需要另一種或多種其他因素才能成功登錄。

風險監測與響應計劃

與此同時，企業應對風險和違規的檢測能力也同等重要，尤其是涉及電腦終端和云服務器等端點的風險和違規行為。網絡安全風險可能因內外部環境變化而發生變化，應開展相應的風險監測和預防活動，及時了解風險變化情況，可采取相應措施將風險的變化控制在合理范圍。

保險公司還密切關注企業的響應計劃，這對于承保也起著重要作用。保險公司嚴格評估企業恢復運營的計劃，以及他們將如何利用網絡事件來汲取經驗并進行整改。

網絡安全保險正在成為不可或缺的資產，網絡風險趨勢沒有減弱的跡象。但是，購買保險不僅僅是填寫申請表，無論選擇哪個供應商，企業都需要展示其網絡安全態勢。不管是履行網絡安全保障義務還是購買保險，進行風險評估，適時優化安全策略，都是有備無患之良方。