网络保险不再是公司购买后就忘记的东西。随着勒索软件、网络钓鱼、商业电子邮件泄露和人工智能辅助攻击变得越来越普遍,保险公司正在改变自己的角色。他们不仅仅是在事故发生后支付索赔。他们现在正在决定一个组织是否足够安全,可以首先提供保险。
安大略省汉密尔顿市的教训很明显。 2024 年 2 月,该市遭受勒索软件攻击,导致全市服务中断。汉密尔顿拒绝支付 1850 万美元的赎金,并在 48 小时内恢复了基本服务,但一些系统仍受到影响数周。一年后,在调查人员发现多个部门没有对访问内部系统的工作人员实施多因素身份验证后,其网络保险提供商否认了该市的索赔。
这个细节很重要。据报道,该政策称,如果违规行为与缺少基本安全控制(包括 MFA)有关,承保范围可能会无效。换句话说,保险并没有取代保障。该市的经验表明,承保范围取决于组织是否能够证明其遵循了保险公司要求的最低标准。
这正在成为网络保险的新模式。保险公司正在从被动承保转向主动安全评估。他们想知道公司是否具有 MFA、端点检测和响应、日志记录、修补截止日期、测试备份、分段、员工培训和事件响应程序。无法证明这些控制措施的公司可能会面临更高的保费、更窄的覆盖范围或彻底拒绝。
这个时机并非偶然。网络攻击变得越来越容易发起,却越来越难以遏制。生成式人工智能降低了攻击者的技能门槛,使网络钓鱼电子邮件更具说服力,并可实现更大规模的攻击。商业电子邮件泄露仍然是最常见的索赔来源之一,因为它针对的是人,而不仅仅是系统。如果员工被欺骗、身份被过度信任或控制措施应用不一致,即使拥有强大外围工具的组织仍然可能暴露。
这就是为什么保险公司主导的审计现在很重要。它们迫使公司将网络安全视为可衡量的业务需求。安全团队必须记录控制措施,证明系统受到监控,进行演习,保留续订证据,并表明风险正在降低。这可能会令人沮丧,但也会产生纪律。对于许多组织,尤其是中小型企业来说,保险要求可能是最终获得基本控制措施资助和实施的推动力。
防火墙仍然很重要,但它们还不够。防火墙可以监控流量、阻止可疑访问并减少网络边缘的暴露。但它不能消除风险。配置错误、凭证被盗、零日漏洞、供应链攻击、内部威胁和人为错误仍然可能导致违规。即使强大的技术防御也无法自动弥补成功攻击后造成的法律、财务、运营和声誉损失。
这就是网络保险仍然具有价值的地方。当政策做出回应时,它可以为法证调查、法律咨询、公共关系支持、赎金谈判、恢复服务和业务中断损失提供资金。保险公司还可以提供经过审查的事件响应合作伙伴,许多公司在危机期间很难快速找到这些合作伙伴。在严重的违规行为中,这种协调可以减少停机时间并限制总损失。
但公司不应假设每项索赔都会得到赔偿。索赔被拒绝的原因通常是虚假陈述、排除、未披露的风险或未能满足保单条件。如果某个组织声称其到处都有 MFA 但实际上并没有,或者声称已经测试了从未验证过的备份,那么保险公司可能会对这一说法提出质疑。该保单不再只是一份财务文件。这是一份安全合同。
更广泛的结果是保险公司正在成为非正式的网络安全监管机构。他们通过承保和续订设定最低标准,特别是对于缺乏成熟安全计划的组织。随着人工智能驱动的威胁进一步扩大以及保险公司试图控制自己的风险,这种情况可能会持续下去。
网络保险仍然很重要。但它应该被视为风险策略的一部分,而不是安全的替代品。最有可能从保险中受益的组织将是那些能够证明自己已经完成了基本工作的组织:保护身份、监控系统、快速修补、培训员工、备份关键数据以及在攻击者之前测试其响应计划。
<小时/>
