教育新闻网数据泄露和网络攻击不仅对财务造成损害,而且对声誉造成损害,对企业而言可能造成巨大的损失。
不足为奇的是,越来越多的公司希望通过购买网络保险政策来抵消这些成本。我们与AttackIQ的CISO和客户成功副总裁Chris Kennedy进行了交谈,以了解更多有关网络保险和潜在陷阱的信息。
BN:网络保险政策涵盖哪些类型的事件?
CK:网络保险政策旨在抵消因以下原因而产生的成本:事件遏制和根除攻击,第三方帮助,公共关系和灾难通信计划,客户赔偿,监管罚款和赎金成本。
不幸的是,没有网络保险费能帮助弥补与知识产权(IP)损失,第三方支持或因客户对公司品牌的信任度下降而导致的市场份额损失有关的成本。
BN:企业在投资网络保险之前应该考虑什么?
CK:企业必须首先了解其关键的数字资产和风险,以及网络保险政策是否真正有帮助。事实是,组织必须承认网络保险政策存在局限性,约束条件和要求。这意味着甚至在获得网络保险单之前可能需要某些安全功能,并且组织必须确保适当的控制措施已经到位。
下一步,公司必须能够确保正确配置了必要的安全工具。新兴的自动化技术能够针对实际攻击者的战术,技术和程序(TTP)测试安全控制,以确定它们是否按预期工作,并确保组织网络安全计划中没有薄弱环节。
BN:企业投资网络保险的主要动机是什么?
CK:安全性故障开始影响企业的盈利,组织开始注意到这一点。即使公司合规,这也不是摆脱困境的免税卡。遵守数据隐私法规并不意味着公司是安全的,违反合规业务的公司仍会根据相应法律(例如GDPR)处以罚款。
最重要的是,事件响应(IT)活动并不便宜,清理成本可能会非常昂贵。公司一直在寻求网络保险,以抵消这些费用。
BN:为什么网络保险索赔有时会被拒绝?
CK:遭受违约是个坏消息,但是如果得知您的保险公司没有为您承担此事件,那就更糟了。网络保险政策可能包括限制和隐藏的语言,使运营商无法承保,组织必须意识到这一点。
首先,如果被保险企业未能维持足够的安全标准,一些保险公司将拒绝承保。即使公司安装了安全工具,也可能未正确配置它们,因此必须连续测试它们以确保安全。
其次,网络保险提供商一直拒绝或限制与支付卡信息(PCI)相关的罚款和评估的覆盖范围。保单持有人必须注意保单本身所包含的措辞,因为可能会排除PCI或自我监管罚款,并且可能会排除合同责任,这使保险公司可以避免支付保费。
第三,勒索软件攻击引起的勒索金额,潜在收入损失和资产恢复成本之间的差异是一个热门话题。保险公司可能会向组织偿还勒索软件要求的特定比例的勒索金额,但是,并非总是能弥补因收入损失而产生的损失。
其次,并非总是涵盖由被保险组织的网络中发现的零日类型漏洞引起的与违规前有关的诉讼。网络保险保单往往包含只允许被保险组织要求对未经授权的入侵和其他安全事件进行索赔的语言,因此,尚未证明确实导致违规的缺陷的发现可能不在所涵盖的范围之内。 。
最后,由于有人认为这些攻击的成功是由被保险公司的过失引起的,因此不一定总是涵盖社会工程攻击。例如,网络钓鱼攻击要求组织的财务部门将资金汇入无法识别的帐户,因此不会被覆盖,因为没有入侵,并且该事件是由员工自己的权限引起的。
BN:关于网络保险的常见神话和误解是什么?
CK:网络保险单的承保程度越来越高,保险公司一直在提高被保险组织的安全成熟度。此外,过度依赖其网络保险政策的企业在遭受安全事件并得知并非每笔费用都将由保险公司抵消的情况下会感到失望。
