保险公司需要在灾难性网络安全事件发生前计算出其最大保值。
在1992年,飓风安德鲁给美国佛罗里达州南海岸造成了巨大的伤害:总共有数十人死亡,以及高达250亿美元的财产损失。而事后的赔损又给美国保险业造成了重大的损失:由于当时主流保险条款对自然灾害赔偿的估值有着一些漏洞,许多保险公司不得不给出天价赔偿,还有好几家直接破产了。
而今日的保险业不得不再次面对一种价值未知的灾难,这次的灾难属于人祸:网络安全。对于保险公司来说,许多1992年的教训还可以用在网络安全上。但是在许多方面,网络安全是一种完全不同的问题。
大型保险公司,比如美国国际集团(AIG)和丘博保险集团(Chubb),自从1990年底就开始出售网络安全保险了。如今,全球大约有80家保险公司拥有网络安全保险产品,而绝大多数的产品只保数据泄露。不过,由于这几年发生了多次严重黑客入侵事件,网络安全保险的市场得到了巨大的增长。普华永道预测,在2020年,全球网络安全保险的份额将从2015年的27.5亿增长至75亿。
但是,虽然保险公司开始卖出越来越多的网络安全保险,他们还未能完全了解“网络安全”这四个字背后的性质。这意味着,他们目前还无法设计出可以避免灾难性赔偿的条款。
Cyence是一家已经运行了3年的公司,其主要业务是为保险公司提供网络安全风险模型。 其CEO Arvind Parthasarathi 表示,人们开始把网络安全归类于商业风险,而不再是一个IT问题了。这意味着,他们开始认识到这不是一个有着明确答案的问题,而是一种可以通过各种手段减少(但无法完全消灭)的风险。如今,公司高管们面对的问题就是“我可以承受多大的风险”。
而这也正是需要对网络安全保险进行标价的保险公司所面对的问题。现代的网络安全隐患十分复杂,也在正在迅速进化。所以,保险公司需要计算出一场影响巨大的的网络安全灾难的最高保值是多少。因为,这正是由于他们在飓风安德鲁之前没有做到,从而导致事后保险业尸横遍野的原因。
难处在于,由于一场可以媲美飓风安德鲁的网络安全事件还暂未发生过,保险公司很难做出其模型。不过,去年10月,我们有幸看到这场事件一种可能的开始方式:黑客启用了数百万台被感染的摄像头,数字视频录像机以及其他物联网设备,发起了一场针对域名系统提供商Dyn的DDoS攻击。这场攻击的后果就是包括亚马逊、Netflix以及Spotify等北美网民常用网站在数个小时之内无法连接上。
Dyn攻击事件的后果还未被计算出来。但是,据Cyence预测,今年2月末亚马逊云服务S3云存储系统掉线4小时为全球500强企业造成了1.5亿美元的损失(此次事件属于亚马逊员工操作失误,并非黑客攻击)。可以想象一下,如果亚马逊云服务遭遇大型黑客攻击,其后果很有可能是数十亿美元级别的。
在此之外,对民生基础设施的网络攻击也是一种可能。在去年12月份,由于黑客攻击,乌克兰首都基辅一大部分电网被迫断电。网络安全研究人员表示,这伙人与在去年美国大选中呼风唤雨的黑客很有可能是同一伙俄罗斯政府黑客。
Lloyd’s of London近日对一个假设做出了分析:黑客攻击导致美国东北部9300万人停电。他们的结果显示,该事件将会为保险公司带来210亿~710亿美元的赔偿。而这整整500亿美元的范围恰恰显示出了计算这类事件具体估值的难度。
保险业难以估算网络安全风险的原因,与他们在20世纪90年代难以估算自然灾害的原因十分相似:缺少数据和经验。Risk Management Solutions公司的产品经理Tom Harvey表示,保险业花了15年才收集足够的数据来设计出今日关于自然灾害的风险模型。
他公司的主要业务就是为保险公司提供灾害风险模型。他表示,虽然对网络安全的数据收集已经算是“迅速的”,但各公司收集的数据还是存在不一致的问题,从而增加了通过统计数据找出行业趋势的难度。
当然,自然灾害和网络安全灾害的模型之间有着巨大的区别。比如,网络安全灾害是由人类技术导致的,而不是大自然。而黑客的动机、战术、技术以及目标都可以迅速改变,从而避开防御手段。Cyence的Arvind Parthasarathi表示,对应网络安全的难度在于其需要理解一个“主动的对手”。他的公司会通过博弈论和行为经济学来为黑客行为搭建模型。
加深对互联网的理解对分析网络安全的风险也十分重要。BItSight的CTO及联合创始人Stephen Boyer表示,保险公司需要一幅高价值数据存储地点的“地图”,包括这些数据主人采取了什么手段来保护这些数据。Boyer的公司的主要业务就是创造这种互联网数据存储地图,以及对那些数据主人的安全性进行打分。
Boyer表示,保险公司必须避免重蹈网络安全版的“飓风安德鲁之错”,也就是在飓风来临之前为佛罗里达州海岸线上的所有人提供保险。具体来说,他们必须避免为大量依赖一个技术或服务商的公司们提供保险,比如使用亚马逊云服务的公司。他说道:“如果AWS(亚马逊公司旗下云计算服务平台)出事,所有人都会来索赔。