□Jonathan Hall(FM Global 首席运营官) 金思捷 译
网络风险相关问题已经得到社会各界的关注。
在2017年的5月和6月发生的两次大规模的网络攻击,将整个世界推向了危险边缘。第一次网络攻击应用了所谓的WannaCry勒索软件;而第二次则借助了一种叫做Petya的复杂新型恶意软件,二者都利用微软的漏洞“永恒之蓝”对商业造成了广泛的破坏。
预计到2019年,数据泄露会造成总计2.1万亿美元的损失(相比之前,2015一年就增加了400%)。而避免损失的最好方法就是竭尽全力地去避免一件事——网络攻击。你的公司是否准备好了应对下一次大规模的网络攻击及其造成的有形财产的潜在风险呢?你应该询问你的财产保险公司以下问题:
1. 你能否帮助我了解公司风险?
保险公司就他能够如何帮助你应对风险所给出的解释是十分重要的。许多保险公司都会和网络安全咨询公司或者风险管理公司合作,他们的关注点往往集中在侦测事件和应对破坏上,但是你所需要的不仅仅是侦测和应对。投保者应当知道他们的风险,有所准备并迅速复原。
2. 你是否能够帮助降低我的网络风险?
随着网络攻击数量的增加,如果不具备保卫自己和被破坏后快速反应的能力,许多公司将会遭受金融和商业名声的双重损失。你的保险公司应当能够阐释他可以如何帮助你评估各方面的网络风险,包括你的物理安全系统、信息安全手段和对于联网工业控制系统的依赖。同时他应当可以提供可行且性价比高的方法来降低风险。
3. 我目前的财产保险是否涵盖网络方面?
确切知道你拥有何种网络保险是很重要的。你可以购买单独的网络保险产品,也可以在财产或综合责任保险中涵括某种类型的网络保险。你会想要知道哪种保险可以有效应对损失。
不同的公司存在不同风险。比如说,如果你最为在意个人身份信息(PII),那么你一定会想要购买足够有效的个人身份信息责任保险。制造业公司往往比较关心信息方面的物理事件,因此,他们会希望它们的财产保险在那些事件上有足够的保障力度。
4. 我的保单在产生损失的时候会如何相互作用?
在网络安全事件中,你可能会面对一系列的问题:数据遭到破坏、网络中断、第三方责任等等。你的关注点会集中在如何补救和使你的公司回到正常运营的轨道上。这一过程中,你希望能够减少网络保险相互作用的不确定性。作为一个风险经理,关键在于知道你公司的保险将会在损失产生之前如何发挥作用。
5.你是否能够帮助在我的公司内开展网络风险相关的讨论?
作为一个风险经理,你在帮助你的公司更好地理解网络风险及其对于公司的影响上发挥着重要的作用。你的保险公司应当能够提供给你网络迅速恢复的方法,使你能够和你的首席信息安全官合作或者理解网络风险对你公司所产生的商业影响。