保险公司对 CISO 的期望越来越高,网络安全保险价格涨幅趋于稳定
近年来,网络保险费用经历了一段上涨期,主要是因为勒索软件攻击频发导致,但在过去一年中已趋于稳定。保险公司过去几年的赔付额曾超过保费的 70%,导致商业环境艰难。为了应对索赔增加的压力,保险公司不得不提高保费,并实施更严格的承保要求、承保范围等。
据惠誉评级数据显示,2022 年保险费上涨了 50%。尽管成本仍在上升,但 CISO 遇到的网络保险费用增幅最近有所放缓。
GTA Bloom 的网络安全专家迈克尔·罗伯特指出,勒索软件事件和支付数量的下降有助于稳定成本。业内专家报告称,保险公司的严格承保要求以及对潜在客户更好的工作习惯的坚持也在稳定市场方面发挥了作用。
网络保险旨在保护企业免受勒索软件或其他形式的网络攻击和数据泄露造成的财务损失和责任。保险政策通常涵盖业务中断损失、恢复系统的成本、法律费用、信息安全顾问费用、通知客户的成本,甚至勒索软件支付。
IBM 的研究显示,去年数据泄露的平均成本上升了 10%,达到 488 万美元。慕尼黑再保险公司的网络保险趋势报告显示,勒索软件是造成网络保险损失的主要原因,制造业是勒索软件索赔数量最多的行业、其次是医疗保健、技术和教育。
根据Chainalysis 在 2024 年的研究结果,2023 年的赎金加密货币支付额几乎翻了一番,达到 11 亿美元,高于 2022 年的 5.67 亿美元。其他代价高昂的攻击媒介包括商业电子邮件泄露 (BEC) 和供应链攻击。
企业通常需要展示强大的网络安全实践才能获得网络保险保障。随着网络事件变得越来越频繁和昂贵,保险公司对客户的安全能力要求也在提高。
Panaseer 的安全宣传员Keith Povey 表示,保险公司在巨额赔付中吃了不少苦头,因此要求客户提供更多保证,有些公司甚至不会给出报价,除非公司能证明其具有一定的安全能力。
商业数据分析公司Dun & Bradstreet主管詹姆斯哈里森 (James Harrison)表示,勒索软件攻击迫使保险公司实施更严格的承保流程,许多保险政策不再为勒索软件事件提供全面保障,而是限制赎金支付的保障范围。数据驱动的风险评估现在是保险公司的关键工具,使他们能够识别企业内部的网络漏洞。这意味着个性化政策可以根据公司的具体风险敞口进行调整。
全球网络保险市场规模在 2023 年达到 140 亿美元,预计到 2027 年将翻一番,达到 290 亿美元。不过,各地区在保险覆盖范围以及监管和法律背景方面仍然存在差异。
例如,美国投保网络安全风险保险的公司数量估计为20%,德国为 12%,英国为 10%。美国网络保险金额更高,是因为美国市场非常成熟,且美国公司面临的集体诉讼风险比欧洲公司更大。主要是诉讼和法律风险处理方式、监管环境、网络意识以及保险市场成熟度方面的差异。
随着网络威胁的增加以及通过保险进行风险管理的意识的增强,美国和欧洲的网络保险市场预计将继续增长。欧洲市场正在发展中,GDPR 是增长的主要驱动力,但由于感知风险较低且市场成熟度较低,接受度较慢。在美国越来越普遍采购网络保险,这可能意味着其他大型企业可以采用更多的保单。
监管,尤其是 NIS2 框架的扩展,是推动欧洲网络保险扩张的关键因素。NIS2 将于 2024 年 10 月生效,扩大欧盟范围内法规涵盖的行业和实体的范围。
NIS2对15个关键行业的组织实施了更严格的网络安全要求和风险管理措施,并更加重视安全供应链和供应商的整体安全。欧洲多个行业的更多企业(其中许多是中小型企业)将需要遵守该指令。组织可以求助于网络保险来帮助管理与 NIS2 涵盖的潜在不合规或安全事件相关的财务风险。
此外,网络保险提供商通常提供风险管理服务,可以帮助组织提高安全成熟度。
任何要求披露信息的规定(包括但不限于 NIS2 和GDPR以及《加州消费者隐私法案》等美国法规)或要求事件响应的规定,都为公司投资网络保险提供了理由,作为其改善整体网络安全成熟度计划的一部分。
最近,美国联邦立法和美国证券交易委员会的监管执法将首席信息安全官置于危险之中,如果他们所在组织的实际安全态势与向投资者报告的保证不符,他们将面临法律诉讼的威胁。
Panaseer 的 Povey 表示,这增加了风险,网络保险正在演变,涵盖个人及其雇主。许多 CISO 正在考虑个人赔偿保险,并要求将其作为合同的一部分,以便在发生诉讼时得到保障。