中国保险报/中保网讯【记者 赵广道】 6月28日,劳合社发布名为《填补差距--让你的企业远离不断演变的网络威胁》的网络安全保险白皮书(下称:白皮书)。这份由劳合社和毕马威会计师事务所、DAC Beachcroft律师事务所联合制作的白皮书着重分析了当前网络风险的具体形势以及不同行业所面临的主要网络安全威胁,以帮助企业更好地理解网络威胁。白皮书指出,企业在遭受网络攻击之后可能会产生远超其预期或心理承受范围的成本,因此企业需要做好承担网络攻击全部成本的准备。白皮书提示称,随着企业日益成为精心策划的黑客攻击的目标,企业需要恰当地保护自己,否则将会面对巨大的成本,包括声誉损害、诉讼和丧失竞争优势等“慢慢显现”的成本损失。
白皮书将勒索病毒(如上个月席卷全球的WannaCry勒索病毒)定义为一种快速增长的网络威胁,此外还有分布式拒绝服务攻击和冒充首席执行官欺诈。分析还强调,金融服务公司是有组织网络犯罪的重灾区,此外零售业也日渐成为主要目标。具体来看,白皮书的主要研究结果表明:
企业日益成为勒索病毒和分布式拒绝服务攻击的目标,尤其是在医疗保健、传媒和娱乐行业。例如,劳合社成员Beazley的客户在2014-2016年间遭受的勒索攻击增加了四倍,预计今年遭受的攻击数量还将翻一倍。金融服务行业是有组织网络犯罪的重灾区,但零售行业受到的攻击也日益增多。犯罪分子对金融业了解增多,开始攻击银行体系和金融基础设施。油气企业陷入国家政治纷争,成
为间谍活动以及偶尔的高端破坏性攻击的目标。律师事务所和会计师事务所等专业服务企业日益成为犯罪分子借道攻击其客户(通常都是大型企业)的目标。公共部门和电信行业极其容易遭受以间谍活动为主的网络攻击。通过首席执行官欺诈(即冒充公司高管索要敏感信息)攻击企业的案件大幅增加,导致企业出现严重的财务损失。
白皮书指出,虽然企业不可能保证完全不受到网络攻击,但是可以采取一系列有效的措施来减少这类风险的发生,而一旦遭受了网络攻击,企业能够将影响降至最低并且迅速恢复。对此,白皮书指出,企业可以在以下四个方面做好准备:
一是,了解公司所面临的特有风险。了解公司所面临的具体风险,包括网络攻击将会引发的即时损失和随后可能会发生的负面影响,如客户所认知的企业道德声誉、企业数据的价值、供应链的脆弱性和商业领袖的个人信息等等,都要予以考虑。
二是,为当前和未来的风险做好准备。减轻网络风险的一个最具挑战性的方面是跟上其发展变化的步伐。承保人将评估当前和未来的风险,以便他们可以为客户提供最适合的保险解决方案。
三是,重视网络风险管理文化建设。确保所有员工,包括管理层,对公司面临的网络风险有全面的了解,并促进网络风险管理文化建设。
四是,借助网络安全保险专家。网络风险的一些主要方面可能被企业现有的保单所涵盖,但具体情况会因保险公司、保单条款和保单持有人的业务属性不同而有所不同。在安排网络安全保险时要寻求专家帮助,以确保风险得到充分的保障。
“网络破坏引发的声誉损害可能会重创现代企业。在一个充满网络犯罪威胁的世界里,威胁只是什么时候发生的问题而并不是会不会发生。如果我们还心存侥幸,认为这样的威胁可能不会发生在自己的身上,这样的想法是不现实的。鉴于自身保护,企业应该花时间了解他们可能会面临的具体威胁,和那些能够有效应对网络安全风险的专家沟通,安排网络保险,确保风险得到充分保障。而一旦发生网络入侵,企业应迅速采取行动,努力将短期成本和之后可能会显现的负面影响降至最低。” 劳合社首席执行官英格·碧尔说。
而毕马威网络安全业务主管马修·马丁代尔也表示,企业已经开始重视网络安全风险,并且采取措施予以防范。然而,他们没有充分考虑到网络攻击可能带来的长期损害以及由此引发的成本损失。在网络攻击发生之后,为挽回名誉或处理诉讼等问题,企业会遭受更大的成本损失。企业确实需要对网络安全风险进行全盘考虑,不能再继续短视而为。
“虽然对任何企业而言,网络攻击对业务的直接影响都是关键问题,但它可能只是冰山一角,因为之后处理法律方面的后果可能会持续数月甚至数年。一旦监管调查介入,可能要花费一年以上的时间才能得出结论。而之后的诉讼可能需要更长的时间,因为数据安全和个人隐私的相关法律仍处于一个不断发展完善的过程中。此前英国的一个数据保护案例耗费了三年时间才最终裁决,期间经历了上诉失败。”DAC Beachcroft网络与数据风险主管汉斯·奥尔纳特说。