為什么網絡保險很重要？

電子數據的丟失、泄露或被盜會對企業造成負面影響，導致客戶和收入的損失。企業主可能要為竊取第三方數據造成的損失負責。

2011年，黑客入侵了索尼的PlayStation網絡，暴露了個人身份信息(血漿無機碘)的7700萬PlayStation用戶賬戶。這次入侵導致PlayStation用戶在23天內無法訪問該服務。索尼公司在這次入侵中花費了超過1 . 71億美元。網絡保險本來可以支付部分費用，但索尼公司沒有一個合適的政策。一個法庭案例裁定，索尼的保險政策只涵蓋物理財產損害，讓索尼承擔與網絡損害相關的費用。

同樣，2017年9月，消費者信用報告機構Equifax遭遇數據泄露，暴露了1.47億人的個人信息。2019年，Equifax與美國美國聯邦貿易委員會達成和解。作為和解的一部分，Equifax同意花費4.25億美元提供免費的信用報告，為已經注冊信用監控服務的人支付現金，補償從身份盜竊中恢復所花費的時間或金錢，以及免費的身份恢復服務。一份網絡保險本可以支付Equifax和解的部分費用，前提是該保險涵蓋了其數據泄露的情況。

網絡保險提供以下好處:

• 防范網絡風險。網絡責任保險對于保護企業免受網絡事件(包括與恐怖主義相關的事件)的風險非常重要。網絡保險可以提供網絡安全保障，并有助于及時補救網絡攻擊和其他事件。
• 財務保護。網絡保險針對網絡安全事件造成的損害提供財務保障。這包括調查費用、信用監控服務和法律責任，以及與數據泄露相關的其他成本。此外，它還可以為業務中斷、收入損失和計算機系統恢復提供補償。
• 法律支持。網絡保險通常包括法律援助，這有助于企業在圍繞網絡安全事件的復雜法律體系中游刃有余。它可以支付法律顧問的費用服從數據泄露和隱私侵犯帶來的法規和潛在訴訟。
• 安心。網絡保險通過保證企業和個人在網絡危機中的財務穩定，為他們提供安全感。這使得企業可以專注于核心業務運營，而不必擔心網絡攻擊可能帶來的財務和聲譽后果。
• 對安全的承諾。網絡保險強調組織致力于保護客戶數據并積極主動地進行網絡防御。對網絡安全的承諾可以提高企業在客戶中的聲譽和信心，利益相關者還有合伙人。

網絡保險是如何運作的？

大多數提供商業保險的保險公司，如E&O、商業責任險和商業財產險，也出售網絡保險。保單通常包括第一方保險，適用于直接影響公司的損失。他們還可以擁有第三方保險，根據第三方與該公司的業務關系，適用于其他人因網絡安全事件或事故而遭受的損失。

作為網絡安全事件響應工作的一部分，網絡保險單可以涵蓋網絡安全事件造成的財務損失。此外，網絡風險保險通常涵蓋與補救相關的成本，包括法律援助、調查人員、危機溝通人員以及客戶信用和退款的費用。

誰需要網絡保險？

雖然每個組織的風險狀況都是獨特的，但大多數公司都可以從購買網絡保險中受益，將其作為整體風險管理戰略的一部分。一系列行業都是網絡保險的理想選擇:

• 各種規模的企業。在線創建、存儲和管理電子數據(如客戶聯系、客戶銷售、PII和信用卡號碼)的組織可以從網絡保險中受益。此外，電子商務企業可以從網絡保險中受益，因為與網絡安全事件相關的停機時間會導致銷售和客戶的損失。類似地，任何在網站上存儲客戶信息的組織，包括小型企業，都可以從網絡保險單提供的責任范圍中受益。
• 醫療保健提供商。醫療保健公司處理一系列敏感信息和患者數據，經常成為數據泄露和網絡威脅的目標。根據IBM的年度數據泄露報告，醫療違規的平均年成本接近1000萬美元。降低與數據泄露相關的財務和法律風險健康保險流通和責任法案違規，網絡保險對醫療機構至關重要。
• 金融機構。銀行和信用社是網絡犯罪分子的主要目標，因為它們處理敏感數據，如社會安全號碼、賬號和其他PII。網絡保險可以幫助這些機構從網絡攻擊造成的經濟損失中恢復過來。
• 政府機構。政府機構處理大量的私人信息。網絡保險可以幫助政府機構防范網絡攻擊，確保公共服務的連續性。
• 教育機構。教育機構，如學校、學院和大學，為員工和學生存儲了大量的個人和學術記錄，使他們成為網絡保險的良好候選人。
• 收入高的公司。收入豐厚的公司是黑客的目標。為了防范網絡攻擊和數據泄露造成的經濟損失，這些組織應該考慮網絡保險。

網絡保險覆蓋和不覆蓋哪些內容？

許多主要的美國保險公司為客戶提供網絡保險政策選項。根據保單的價格和類型，客戶有望獲得因IT資產的物理破壞或失竊而產生的額外支出的賠償。

通常包括哪些內容？

很多入門級的網絡安全保單只保第一方損失；更廣泛的政策涵蓋第三方責任損失。網絡保險涵蓋的支出通常包括以下相關費用:

• 滿足勒索軟件攻擊的勒索要求。
• 發生安全違規時通知客戶。
• 支付因侵犯隱私而征收的法律費用。
• 雇用計算機取證恢復受損數據的專家。
• 恢復PII受損客戶的身份。
• 恢復已被更改或竊取的數據。
• 修復或更換損壞或受損的計算機系統。
• 為受數據泄露影響的客戶提供信用監控服務。

通常不包括什么？

以下是網絡安全政策沒有涵蓋的排除和問題:

• 可預防的人為安全問題，如貧困結構管理或者對數字資產的不當處理。
• 先前存在的問題和以前的違規以及網絡安全事件，如購買保單前發生的事件。
• 由員工或內部人員發起并導致的網絡安全事件。
• 不是由有目的的網絡攻擊造成的基礎設施故障。
• 未能糾正已知的漏洞，例如當公司知道存在漏洞，但未能解決它，然后出現與該漏洞相關的危害情況。
• 改進技術系統的成本，包括系統或應用程序的安全強化。
• 知識產權價值的損失，如專有信息、商業秘密或其他無價的無形資產。

網絡保險要多少錢？

通常，網絡保險的定價基于被保險實體的年收入、行業、覆蓋范圍和類型以及組織的規模。組織規模很重要，因為更多的員工意味著惡意行為者的攻擊面更大，并且需要更多的保險。行業是一個重要因素，因為醫療保健和金融等行業管理大量敏感數據，并應對更多風險。

在過去的幾年里網絡保險費激增這種趨勢歸因于攻擊面的擴大和對手技術的發展。根據Progressive Casualty Insurance Company的數據，一份典型的保單每年的費用可能在500美元至5000美元之間，甚至更多。

為了獲得網絡保險的資格，個人或實體通常必須接受保險公司的安全審計，或者提供來自經批準的評估工具的文檔，例如由國家標準和技術研究所提供的評估工具網絡安全框架。來自安全審計的結果或來自批準的評估工具的文檔可以作為保險公司提供的保險類型以及保費成本的因素。

如何選擇網絡保險

網絡安全政策因供應商而異。要選擇一項政策，公司應審查政策的細節，以確保它包含必要的保護和規定。此外，公司應該評估保險產品是否可以防范已知的和新出現的風險網絡安全事件和威脅概況.

一項計劃可能涵蓋的各種費用包括法醫、法律和公共關系費用。在發生違規或攻擊的情況下，需要進行取證調查，而且違規導致的任何法律或監管費用通常都包括在內。各種計劃還包括雇傭公共關系機構來維護投保人聲譽的費用。一些計劃可能會概述特定類型攻擊的覆蓋范圍，如勒索軟件，在這種情況下，企業可以報銷向惡意行為者支付的贖金。

網絡保險與網絡防御

網絡防御和網絡保險并不是同義詞。網絡防御是一個寬泛的術語，指的是企業為應對網絡威脅而選擇實施的任何安全工具和策略安排。網絡保險計劃是企業購買的一種政策，用于在網絡攻擊后提供補救和財務補償。網絡保險是對其他安全工具和程序的補充。

建立網絡安全基礎設施先于購買網絡保險。缺乏安全工具和政策的企業可能會為網絡保險支付更多費用，因為這將被視為風險更高。但是，如果在購買之前就建立了基礎設施，風險就會降低，保險計劃覆蓋的范圍也會減少。網絡保險只是企業全面網絡防御戰略的一個組成部分。