數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊不僅對財(cái)務(wù)造成損害，而且對聲譽(yù)造成損害，對企業(yè)而言可能造成巨大的損失。

不足為奇的是，越來越多的公司希望通過購買網(wǎng)絡(luò)保險(xiǎn)政策來抵消這些成本。我們與AttackIQ的CISO和客戶成功副總裁Chris Kennedy進(jìn)行了交談，以了解更多有關(guān)網(wǎng)絡(luò)保險(xiǎn)和潛在陷阱的信息。

BN：網(wǎng)絡(luò)保險(xiǎn)政策涵蓋哪些類型的事件？

CK：網(wǎng)絡(luò)保險(xiǎn)政策旨在抵消因以下原因而產(chǎn)生的成本：事件遏制和根除攻擊，第三方幫助，公共關(guān)系和災(zāi)難通信計(jì)劃，客戶賠償，監(jiān)管罰款和贖金成本。

不幸的是，沒有網(wǎng)絡(luò)保險(xiǎn)費(fèi)能幫助彌補(bǔ)與知識(shí)產(chǎn)權(quán)(IP)損失，第三方支持或因客戶對公司品牌的信任度下降而導(dǎo)致的市場份額損失有關(guān)的成本。

BN：企業(yè)在投資網(wǎng)絡(luò)保險(xiǎn)之前應(yīng)該考慮什么？

CK：企業(yè)必須首先了解其關(guān)鍵的數(shù)字資產(chǎn)和風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)保險(xiǎn)政策是否真正有幫助。事實(shí)是，組織必須承認(rèn)網(wǎng)絡(luò)保險(xiǎn)政策存在局限性，約束條件和要求。這意味著甚至在獲得網(wǎng)絡(luò)保險(xiǎn)單之前可能需要某些安全功能，并且組織必須確保適當(dāng)?shù)目刂拼胧┮呀?jīng)到位。

下一步，公司必須能夠確保正確配置了必要的安全工具。新興的自動(dòng)化技術(shù)能夠針對實(shí)際攻擊者的戰(zhàn)術(shù)，技術(shù)和程序(TTP)測試安全控制，以確定它們是否按預(yù)期工作，并確保組織網(wǎng)絡(luò)安全計(jì)劃中沒有薄弱環(huán)節(jié)。

BN：企業(yè)投資網(wǎng)絡(luò)保險(xiǎn)的主要?jiǎng)訖C(jī)是什么？

CK：安全性故障開始影響企業(yè)的盈利，組織開始注意到這一點(diǎn)。即使公司合規(guī)，這也不是擺脫困境的免稅卡。遵守?cái)?shù)據(jù)隱私法規(guī)并不意味著公司是安全的，違反合規(guī)業(yè)務(wù)的公司仍會(huì)根據(jù)相應(yīng)法律(例如GDPR)處以罰款。

最重要的是，事件響應(yīng)(IT)活動(dòng)并不便宜，清理成本可能會(huì)非常昂貴。公司一直在尋求網(wǎng)絡(luò)保險(xiǎn)，以抵消這些費(fèi)用。

BN：為什么網(wǎng)絡(luò)保險(xiǎn)索賠有時(shí)會(huì)被拒絕？

CK：遭受違約是個(gè)壞消息，但是如果得知您的保險(xiǎn)公司沒有為您承擔(dān)此事件，那就更糟了。網(wǎng)絡(luò)保險(xiǎn)政策可能包括限制和隱藏的語言，使運(yùn)營商無法承保，組織必須意識(shí)到這一點(diǎn)。

首先，如果被保險(xiǎn)企業(yè)未能維持足夠的安全標(biāo)準(zhǔn)，一些保險(xiǎn)公司將拒絕承保。即使公司安裝了安全工具，也可能未正確配置它們，因此必須連續(xù)測試它們以確保安全。

其次，網(wǎng)絡(luò)保險(xiǎn)提供商一直拒絕或限制與支付卡信息(PCI)相關(guān)的罰款和評估的覆蓋范圍。保單持有人必須注意保單本身所包含的措辭，因?yàn)榭赡軙?huì)排除PCI或自我監(jiān)管罰款，并且可能會(huì)排除合同責(zé)任，這使保險(xiǎn)公司可以避免支付保費(fèi)。

第三，勒索軟件攻擊引起的勒索金額，潛在收入損失和資產(chǎn)恢復(fù)成本之間的差異是一個(gè)熱門話題。保險(xiǎn)公司可能會(huì)向組織償還勒索軟件要求的特定比例的勒索金額，但是，并非總是能彌補(bǔ)因收入損失而產(chǎn)生的損失。

其次，并非總是涵蓋由被保險(xiǎn)組織的網(wǎng)絡(luò)中發(fā)現(xiàn)的零日類型漏洞引起的與違規(guī)前有關(guān)的訴訟。網(wǎng)絡(luò)保險(xiǎn)保單往往包含只允許被保險(xiǎn)組織要求對未經(jīng)授權(quán)的入侵和其他安全事件進(jìn)行索賠的語言，因此，尚未證明確實(shí)導(dǎo)致違規(guī)的缺陷的發(fā)現(xiàn)可能不在所涵蓋的范圍之內(nèi)。 。

最后，由于有人認(rèn)為這些攻擊的成功是由被保險(xiǎn)公司的過失引起的，因此不一定總是涵蓋社會(huì)工程攻擊。例如，網(wǎng)絡(luò)釣魚攻擊要求組織的財(cái)務(wù)部門將資金匯入無法識(shí)別的帳戶，因此不會(huì)被覆蓋，因?yàn)闆]有入侵，并且該事件是由員工自己的權(quán)限引起的。

BN：關(guān)于網(wǎng)絡(luò)保險(xiǎn)的常見神話和誤解是什么？

CK：網(wǎng)絡(luò)保險(xiǎn)單的承保程度越來越高，保險(xiǎn)公司一直在提高被保險(xiǎn)組織的安全成熟度。此外，過度依賴其網(wǎng)絡(luò)保險(xiǎn)政策的企業(yè)在遭受安全事件并得知并非每筆費(fèi)用都將由保險(xiǎn)公司抵消的情況下會(huì)感到失望。