數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊不僅對財務(wù)造成損害，而且對聲譽造成損害，對企業(yè)而言可能造成巨大的損失。

不足為奇的是，越來越多的公司希望通過購買網(wǎng)絡(luò)保險政策來抵消這些成本。我們與AttackIQ的CISO和客戶成功副總裁Chris Kennedy進行了交談，以了解更多有關(guān)網(wǎng)絡(luò)保險和潛在陷阱的信息。

BN：網(wǎng)絡(luò)保險政策涵蓋哪些類型的事件？

CK：網(wǎng)絡(luò)保險政策旨在抵消因以下原因而產(chǎn)生的成本：事件遏制和根除攻擊，第三方幫助，公共關(guān)系和災(zāi)難通信計劃，客戶賠償，監(jiān)管罰款和贖金成本。

不幸的是，沒有網(wǎng)絡(luò)保險費能幫助彌補與知識產(chǎn)權(quán)(IP)損失，第三方支持或因客戶對公司品牌的信任度下降而導(dǎo)致的市場份額損失有關(guān)的成本。

BN：企業(yè)在投資網(wǎng)絡(luò)保險之前應(yīng)該考慮什么？

CK：企業(yè)必須首先了解其關(guān)鍵的數(shù)字資產(chǎn)和風(fēng)險，以及網(wǎng)絡(luò)保險政策是否真正有幫助。事實是，組織必須承認網(wǎng)絡(luò)保險政策存在局限性，約束條件和要求。這意味著甚至在獲得網(wǎng)絡(luò)保險單之前可能需要某些安全功能，并且組織必須確保適當(dāng)?shù)目刂拼胧┮呀?jīng)到位。

下一步，公司必須能夠確保正確配置了必要的安全工具。新興的自動化技術(shù)能夠針對實際攻擊者的戰(zhàn)術(shù)，技術(shù)和程序(TTP)測試安全控制，以確定它們是否按預(yù)期工作，并確保組織網(wǎng)絡(luò)安全計劃中沒有薄弱環(huán)節(jié)。

BN：企業(yè)投資網(wǎng)絡(luò)保險的主要動機是什么？

CK：安全性故障開始影響企業(yè)的盈利，組織開始注意到這一點。即使公司合規(guī)，這也不是擺脫困境的免稅卡。遵守數(shù)據(jù)隱私法規(guī)并不意味著公司是安全的，違反合規(guī)業(yè)務(wù)的公司仍會根據(jù)相應(yīng)法律(例如GDPR)處以罰款。

最重要的是，事件響應(yīng)(IT)活動并不便宜，清理成本可能會非常昂貴。公司一直在尋求網(wǎng)絡(luò)保險，以抵消這些費用。

BN：為什么網(wǎng)絡(luò)保險索賠有時會被拒絕？

CK：遭受違約是個壞消息，但是如果得知您的保險公司沒有為您承擔(dān)此事件，那就更糟了。網(wǎng)絡(luò)保險政策可能包括限制和隱藏的語言，使運營商無法承保，組織必須意識到這一點。

首先，如果被保險企業(yè)未能維持足夠的安全標(biāo)準(zhǔn)，一些保險公司將拒絕承保。即使公司安裝了安全工具，也可能未正確配置它們，因此必須連續(xù)測試它們以確保安全。

其次，網(wǎng)絡(luò)保險提供商一直拒絕或限制與支付卡信息(PCI)相關(guān)的罰款和評估的覆蓋范圍。保單持有人必須注意保單本身所包含的措辭，因為可能會排除PCI或自我監(jiān)管罰款，并且可能會排除合同責(zé)任，這使保險公司可以避免支付保費。

第三，勒索軟件攻擊引起的勒索金額，潛在收入損失和資產(chǎn)恢復(fù)成本之間的差異是一個熱門話題。保險公司可能會向組織償還勒索軟件要求的特定比例的勒索金額，但是，并非總是能彌補因收入損失而產(chǎn)生的損失。

其次，并非總是涵蓋由被保險組織的網(wǎng)絡(luò)中發(fā)現(xiàn)的零日類型漏洞引起的與違規(guī)前有關(guān)的訴訟。網(wǎng)絡(luò)保險保單往往包含只允許被保險組織要求對未經(jīng)授權(quán)的入侵和其他安全事件進行索賠的語言，因此，尚未證明確實導(dǎo)致違規(guī)的缺陷的發(fā)現(xiàn)可能不在所涵蓋的范圍之內(nèi)。 。

最后，由于有人認為這些攻擊的成功是由被保險公司的過失引起的，因此不一定總是涵蓋社會工程攻擊。例如，網(wǎng)絡(luò)釣魚攻擊要求組織的財務(wù)部門將資金匯入無法識別的帳戶，因此不會被覆蓋，因為沒有入侵，并且該事件是由員工自己的權(quán)限引起的。

BN：關(guān)于網(wǎng)絡(luò)保險的常見神話和誤解是什么？

CK：網(wǎng)絡(luò)保險單的承保程度越來越高，保險公司一直在提高被保險組織的安全成熟度。此外，過度依賴其網(wǎng)絡(luò)保險政策的企業(yè)在遭受安全事件并得知并非每筆費用都將由保險公司抵消的情況下會感到失望。