前段时间一直占据 *** 安全头条。SolarWinds影响了大量科技企业的供应链攻击,黑客也获得了微软Azure其他产品的部分源代码。据报道,甚至美国宇航局(NASA)联邦航空管理局(FAA) *** 也被入侵。2月4日,纽约州率先为保险划定了一个框架,并发布了美国之一个 *** 安全保险风险框架。
这种大规模攻击造成的损失很难估计。企业复盘时,看着一长串的损失数字,在 *** 安全保险预算后默默加0。
遇到大规模黑客攻击,企业只能承认自己不走运吗?除了技术补救,还有什么 *** 可以更大限度地减少经济损失?
保险可能是为企业安全和数据财产提供方案之一。
恶意勒索和钓鱼攻击成为2020年企业主要安全事件
2020年,中国也发生了许多 *** 安全事件。钓鱼邮件攻击、恶意勒索软件、供应链攻击等层出不穷。
据安全服务商瑞星发布的《2020年中国 *** 安全报告》显示,其系统在2020年共截获勒索软件样本156万个,感染次数为86万次;挖矿病毒样本总体数量为922万个,感染次数为578万次。
与此同时,2020年截获的病毒数量也比2019年同期增加43.71%,达到1.48病毒感染感染次数高达3.52亿次。
2020来源:瑞星2020年中国 *** 安全报告
此外,企业安全事件也频繁发生。新型冠状病毒疫情期间,多个冠状病毒APT中国是频繁攻击的目标之一,组织利用疫情相关信息作为诱饵进行 *** 攻击。APT通过宏、0day或Nday攻击等漏洞。尼日利亚 *** 钓鱼组织还通过邮件钓鱼攻击中国进出口贸易、货运 *** 、船舶物流等企业。
2020今年上半年,7000多名武汉返乡人员泄露了信息,再次暴露了公民个人信息安全问题。中国电信有2亿多条信息0.01元至0.02以2000多万元的价格出售,非法牟利。
*** 安全公司Deep Instinct根据最新的研究报告,2020年全球恶意软件总体增长358%,勒索软件增长435%。
“特别是在新型冠状病毒疫情期间,很多公司加快了数字化转型,在线业务量增加,家庭远程办公更容易暴露安全问题,安全团队难以及时响应各种攻击。”Deep Instinct首席执行官Guy Caspi作出上述分析,他说,除了攻击量大,攻击变得更加复杂,也使得检测困难。
*** 攻击的规模使许多企业深受其害。除了在自身技术和安全团队上下功夫外, *** 安全保险的需求也在一定程度上催生,行业规模不断扩大。
我国 *** 安全保险:起步晚、险种少、历史数据不足
自20世纪90年代中期首批互联网 *** 安全保险产品推出以来,行业发展缓慢,直到2010年以后才开始大幅提升。
20122000年,全球 *** 安全保险规模达到5亿美元,其中美国占据了绝大比例的市场份额。根据相关市场调查统计,美国企业投保 *** 安全保险的比例高达70%。
欧洲 *** 安全保险市场也在2018年5月欧盟《通用数据保护法案》(GDPR)实施后发展迅速。该法案对数据保护要求严格,涉及企业多,罚款金额高。例如,英国航空公司因泄露50万客户的个人和信用卡信息而被罚款2亿欧元。因此,许多企业开始使用保险工具来转移风险。
由于起步晚、法律法规不完善等原因,亚洲等新兴市场的 *** 安全保险业仍处于缓慢发展阶段。
我国 *** 安全保险业的现状是起步晚、保险种类少、历史数据不足、主要面向企业端。
2013年,苏黎世保险在中国首次推出 *** 安全保险,但反响平平。这种情况直到2016年11月《中华人民共和国 *** 安全法》通过才有所改善,企业的安全保险意识开始提升,保险公司也开始推出相关险种。
根据一家再保险公司的调查,目前中国市场上购买 *** 安全保险的企业主要是国际企业和世界500强企业。他们通常持有全球 *** 安全政策,一些独立政策在3亿元到10亿元之间,有些甚至超过10亿元。
在我国本土企业中,电子商务行业对 *** 安全保险的需求也较高,因为业务高度依赖 *** 。
一些机构观察到,在中国,中小企业投保 *** 安全保险的热情更高。据统计,2019年中小企业遇到的 *** 安全事件中,26%是勒索软件,26%是虚拟开采,17%是蠕虫病毒,14%是入侵。由于人力和应急响应机制不完善,中小企业更倾向于借助保险工具转移部分 *** 安全风险。
中小企业 *** 安全事件类型分布来源:绿盟科技
如何突破现状?
20192000年,工业和信息化部发布了《关于促进 *** 安全产业发展的指导意见》,提出探索 *** 安全保险服务的发展。中国保监会前副主席周延礼还表示,要解决中国 *** 安全问题,需要借鉴成熟市场的有效做法,大力推动 *** 安全保险市场的发展。
虽然中国的 *** 安全保险业正在逐渐升温,但仍面临着许多困难。对于保险公司来说,困难在于无法准确衡量 *** 风险、系统性风险考虑不足、 *** 攻击事件的权责划分和除外条款。对于企业来说,困难在于保险类型选择少、保费高、赔偿金额有限。
2017年现象级为2017年。NotPetya以 *** 攻击为例,美国制药巨头默克表示, *** 攻击已经给公司造成了损失5.81亿美元,随着时间的推移,损失将增加2亿美元。但保险专家给出的索赔金额仅为2.75不到实际损失的一半。
NotPetya *** 攻击,来源: ***
如果默克很幸运,它也会遭受同样的痛苦NotPetya食品巨头易滋国际的赔偿要求被拒绝。苏黎世美国保险公司以“任何 *** 或 *** 力量的敌对或战争行为都于赔偿”拒绝赔偿是因为美国情报官员会拒绝赔偿NotPetya恶意软件的来源被认定为俄罗斯军队对乌克兰的攻击。
与国外公开赔偿案件相比,国内公开赔偿案件较少,企业也会出于品牌形象考虑避免宣传此类信息。
对于 *** 安全保险来说, *** 风险很难理解和避免。威胁环境的不断变化也导致保险公司需要不断调整整体保险计划。与财产保险等成熟的保险业务不同, *** 安全保险在市场上拥有丰富的历史数据,在设计和购买产品时具有可参考的目标金额和实际情况。
例如,与2015年至2017年的安全事件相比,2020年。为了应对勒索软件攻击,保险公司必须跟上行业发展或选择与 *** 安全公司合作开发合适的产品。
对于企业来说,保费较高是面临的问题之一。这也是全球所有企业面临的 *** 安全保险现状之一,因为保险公司对 *** 安全风险的认知不深,出于保守定价考虑,将保费定的比较高。
纽约州最近发布了美国之一个 *** 安全保险风险框架,为所有财产和事故保险公司提供指导。风险框架主要有七个方面:
- 建立正式的 *** 保险风险策略;
- 管理和消除沉默的 *** 保险风险敞口;
- 系统性风险评估;
- 严格衡量保险风险;
- 为被保险人和保险提供者提供教育指导;
- 获取 *** 安全专业知识;
- 通知执法部门。
该风险框架对我国 *** 安全保险业也具有参考意义。一方面,我国应制定 *** 安全保险的法律法规,为 *** 安全风险的评估和等级定义提供准确的标准。另一方面,为了提高风险衡量能力,保险公司可以选择与安全制造商合作设计保险产品,提高 *** 安全保险的精算能力。
作为企业方,要增强 *** 安全意识,提高技术能力或调整单一业务结构,提高应对 *** 攻击能力。同时,企业也要选择合适的 *** 安全保险,转移部分风险。