我的位置 态势感知  >  漏洞态势

新兴网络安全保险行业的困境

来源:网空闲话 时间:2021-11-15 阅读次数:

网络攻击泛在化、复杂化、常态化形势下,网络安全保险行业发展迎来风口,可以预见未来会有更多的保险机构进入到这一新兴市场。然而,产品定价难、专业人才稀缺、服务标准化难等“绊脚石”问题犹存,网络安全保险路在何方?也有专家认为网络安全保险作为一项正在兴起的行业,许多现有客户可能就是小白鼠。网络安全保险行业的基本问题说起来容易,解决起来很难。收入(保费)必须超过支出(索赔)约30%(运营成本+利润)。如果索赔额增加,那么保险费也必须保持保险模式的可行性。以保促防、防保结合的探索才刚刚开始。

网络犯罪的成本正在急剧上升,而且多年来一直如此。不断增加的保费来对抗不断增加的索赔最终是不可持续的。迟早,保险的成本会让它变得过于昂贵,无法成为一种有效的企业风险管理模式式。因此,如果保险行业想要成功,就必须找到另一种平衡其收支的方法。

有一个潜在的解决方案。降低成本(索赔)比增加销售(保费)提高盈亏比率要快得多。这是保险业目前正在考虑的领域。首先,可以通过增加保单中的排除条款来降低成本,但这降低了保险作为风险管理工具的价值,而且它的使用是有限的。其次,如果客户的安全状况能够得到充分改进以减少索赔,那么保险成本也可以降低(或至少维持在当前水平)。

 一、当前网络安全保险面临的主要问题

根据穆迪公司(Moody 's)的研究(2021年10月19日),“勒索软件攻击的扩散增加了网络保单的损失,2021年保险公司的损失可能会增加。尽管保险公司一直在逐步提高网络保险的定价,但为了应对勒索软件的趋势,费率的上涨在2021年开始加速,保险覆盖范围的评级增幅达到了两位数。保险公司也降低了保单限额,增加了免赔额,并收紧了条款和条件,包括次级限额或共同保险,以降低受到勒索软件的风险。”
对于行业和保险公司来说,勒索软件是当前的最大威胁。但这并不是唯一的威胁。BEC(商业电子邮件欺骗)也会造成巨大且不可预测的损失——许多研究人员认为,随着深度造假技术的改进,BEC将在2022年扩大规模。
在大多数保险市场,保险公司拥有数百年的海上、汽车、家庭和人寿保险损失及其原因的数据。这些数据作为精算表的基础,提供了准确的证据,可根据这些证据为个别案件确定保费。但网络行业却没有这样的精算表;而且它们不太可能被收集到。
“我不认为保险行业可以创建网络安全精算表,”Cowbell保险主管克里斯·里斯(Chris Reese)评论道。“风险是不可预测的。威胁行为者很聪明,他们一直在寻找利用受害者的新方法。是的,我们正在进步,我们有了更多的数据——但三年前的损失经验与今天无关。保险业会像汽车业一样得到精算表吗?我认为这不会发生。”
没有历史数据可以帮助,网络保险行业无法主动设定准确的保费。它被迫做出反应——正通过设置更高的保费和保险条件来应对索赔的增加。简而言之,购买保险越来越昂贵,续保越来越困难,有时甚至是不可能的。
但是,尽管网络保险的成本不断上升,覆盖范围不断缩小,市场却在迅速扩张。2021年5月,美国政府问责局(US Government Accountability Office)发布了全球保险经纪公司达信(Marsh)的数据,显示从所有行业来看,客户购买网络保险的比例从2016年的26%上升到2020年的47%。
主要原因是网络犯罪的持续增长和成功。据估计,网络犯罪已经给全球经济造成了数万亿美元的损失,预计未来几年还将继续增长。对于保险行业来说,要在更大的市场覆盖不断增加的索赔,它需要做的不仅仅是不断提高保费——唯一可行的解决方案是通过改善客户的网络安全来减少索赔。关键问题已不在是是否会这样做,而在于将如何这样做。

 二、网络安全保险行业的可能路线

支付卡行业有一个安全标准(PCIDSS),所有公司都必须遵守这个标准,才能接受银行卡支付。提高被保险人安全性的一个途径可能是开发类似的安全标准并要求符合。
这在英国的汽车保险业是有先例的。司机投保前,车辆必须先通过交通运输部(MoT)的设计测试,并取得MoT证书。保险是法律所要求的,所以考试也是法律所要求的,而且保险行业受益。
在美国没有直接的类似规定,但一般来说,汽车保险必须包括第三方责任。
目前没有法律要求企业提供网络保险,但这在未来可能会发生,这并非不可想象。途径可能是政府希望通过某种形式的由保险支持的第三方责任保护来保护他们的选民(消费者)。
法律要求的保险将受益于一份价值证书,如英国的机动车检验证书。这种证书将有效地让客户要求保险公司通过经过验证的高安全性降低保费,而保险公司则提供更低的保费。
Qualys的总裁兼首席执行官Sumedh Thakar认为,这样的事情可能会自然发展,但他强调,现在还为时过早,不知道它将如何发生,也不知道它可能涉及什么。他告诉《安全周刊》:“对这条路线的兴趣似乎主要来自客户。”“如果我这样做,那样做,我的保费不应该减少吗?”在行业层面上还没有做很多工作,但我认为基本原则是有效的。如果你能证明你在保护房屋,你就能获得更便宜的房屋保险。”
PCI类型标准的一个潜在弱点是,它只要求在审计日符合要求——相关公司可能会在一年中的其他时间不符合要求,因此违反的风险会增加。
里斯并不认为这是一个严重的问题。她告诉《安全周刊》:“一年中不止一天需要PCI。”“符合的要求是365天。如果存在网络安全漏洞,并且这是由于或潜在地由于零售商缺乏安全而造成的,那么品牌(对于PCI,支付卡行业)可以扣留现金。”她的论点是,如果证明由于不符合保险标准而发生的违约足以确保公司持续遵守,则威胁拒绝索赔。
问题仍然是,保险安全标准是否足以减少被保险人的索赔,以允许保险业将保费保持在当前或更低的水平?趋势科技(Trend Micro)市场战略和企业发展主管埃里克•斯金纳(Eric Skinner)表示:“PCI无疑提高了许多公司的网络安全门槛。”但这并没有神奇地解决问题。你可以通过PCI审计,但还是会被入侵。支付卡行业面临的问题是,这样做是否足够降低违规的可能性?”
只有时间才能告诉我们,保险行业是否能够开发、维护并要求符合可靠的安全标准。

 三、要求特定的控制

保险行业的另一种方法是对个人客户要求不同的控制。这将比单一的全面标准更加灵活,因为它可能在不同的垂直行业之间根据对风险的感知而有所不同。也可以根据保险合同的规定,在续签时或每年进行修订。
这里可能存在的一个担忧是,保险可能会干扰客户的安全状况。“这是一个合理的担忧,”斯金纳说,“因为其中一些已经发生了——网络保险影响网络安全的过程已经在某种程度上开始了。”
他指的是无处不在的问卷调查,在这种情况下要求客户陈述其安全状况。“就像年度合规审计一样,”斯金纳继续说,“这些调查问卷是及时的快照——它们提出的问题可能会降低风险,也可能不会,因为保险行业仍在学习安全知识。”
“例如,‘你们部署了EDR吗?’我们从一些保险经纪人那里听说,如果客户对此说‘不’,他们被拒绝或不能续保的风险非常高。”问题是安全性不是通过部署控件来增强的,而是通过正确地实现它们、充分地使用它们并确保它们是最新的。这些都不能通过问卷调查来衡量。“我不确定这些问题目前是否能带来保险公司所期望的好处。”
从逻辑上讲,询问安全姿态的延伸就是开始坚持落实某些控制措施。这将是一大步。为了有效,它将要求保险公司拥有CISO的能见度,董事会的业务理解,以及每一家保险公司的CFO的钱袋。这对保险公司来说太贵了,对客户来说也太麻烦了。

 四、实现持续的监控

保险行业根据第三方安全扫描公司的建议来支付保费,这些公司包括Qualys、BlueVoyant、immuneweb、Outpost24、SecurityScorecard等。这可以提供一种持续的姿势监测;审计安全保险标准和基于问卷的方法都缺少一些东西。它还承诺减少干扰,因此更容易被客户接受。保险公司可以简单地说,我们的扫描显示你在这些方面很弱:加强这些方面,你就有资格享受较低的保费。
缺点是大多数扫描只能看到客户基础设施的外部视图。这仍然是有效的,因为这是黑客看到的相同的视图,加强所有可见的弱点使黑客很难找到入口点。
外部监视的一个进步是对整个基础设施的内部连续监视。Cowbell公司目前提供这种服务,该公司使用人工智能引擎扫描网络内部的姿势弱点。它返回的信息可以用来加强网络安全,但也可以让保险公司对投保个人客户所需的保费做出更智能的评估。
从某种意义上说,Cowbell是一个保险经纪人的助手。它为经纪人提供必要的信息,以便他们从潜在的保险公司中协商出可能的最佳保费。

 五、网络安全保险行业的未来

网络保险仍在发展中,这意味着许多现有客户实际上是小白鼠。目前不断增加保费和免除责任以抵消不断增加索赔的模式是不可持续的。但保险公司知道这一点,正在积极寻求现实的解决方案。
他们最终会成功的。参与这一过程的各方都希望得到同样的结果:在降低网络犯罪损失的同时提高安全性。
Resilience首席执行官Vishaal Hariprasad认为,解决方案将伴随着被保险人、网络安全和保险公司之间的新关系而来。他于2016年进入保险业,此前在帕洛阿尔托网络公司(Palo Alto Networks)担任威胁情报架构师。他过去和现在都是美国空军预备役的网络作战官,也是(IMA)运营总监。
“在2016年,”他告诉《安全周刊》(SecurityWeek),“你可以买一份100万美元的网络保险,他们会问你,你的IT人员在吗?你们买防火墙了吗?”他们从来没有问过防火墙是否打开了,因为当时的保险行业根本不在乎。”
这是必须改变的。“保险公司需要知道,你的防火墙是否打开了?它总是被修补吗?你是否一直在输入正确的数据?你在监视他们吗?”需要的是保险人和被保险人之间一种新的合作关系。
就其本身而言,保险业需要与标准机构、控制机构,特别是与信息共享组织保持一致。“保险公司应该能够利用这种水平的信息共享和标准收集,并将它们落实到政策中。并将其应用到整体风险转移方案中,不仅仅是保险,还包括损失控制和风险工程服务,帮助实现这一目标。”
实际上,保险公司需要通过与威胁信息共享机构的关系,成为其客户的网络安全顾问。由于被保险人和保险公司都寻求同一个目标——更好的网络安全——这可以以双方都能接受的方式实现,而不是殷勤地侵入。
Hariprasad认为,成功的网络保险的关键是参与和持续监控:被保险人和保险公司之间的合作参与,充分了解威胁景观,以及持续监控网络控制,以减轻威胁。
他说:“很多人仍然抱着旧有的思维方式,认为一旦建立了一个项目,就会忘记它,只担心一两年后的更新。我认为这就是危险所在。”
网络保险和网络安全必须学会协调工作,而不是相互替代。保险公司必须成为受保人董事会值得信赖的顾问——董事会必须学会与保险公司合作,以改善其安全卫生,改善其网络安全,并赚取尽可能低的保费。
 
 

原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论