网络保险行业日趋成熟。在早期,它只是简单地接受了网络风险,几乎没有提出任何问题。它赔了钱。保险公司提出了更多问题,并增加了保费、除外责任和拒绝赔偿。
这造成了保险公司和被保险人之间的差距——保险愿望和保险现实之间的差距,以及保单请求和保单交付之间的差距。Censuswide 为 Delinea 对 300 多家美国组织进行了一项调查,旨在了解这一网络保险缺口的性质和影响,以及如何弥补这一缺口。
其背景是董事会对网络保险的强烈支持和渴望。商人了解保险的本质、风险转移的本质以及保险改善灾难性损失的能力。董事会有时要求其组织购买网络保险,有时根据合同要求拥有网络保险,并且大多愿意为其提供资金。
也就是说,自去年以来,董事会预算支持率已从 94% 下降到 81%,下降了 13%。这可能部分是由于当前经济的不确定性,但也可能是由于网络保险行业的要求增加。
67% 的受访者表示,2023 年他们的网络保险成本增加了 50% 至 100%。
购买的复杂性:保险公司现在要求在提供保险之前采取特定的安全控制措施。如果未安装,则必须购买。其中许多都围绕访问管理,包括 IAM、PAM、MFA 和密码管理。55% 的受访者表示,他们需要使用保险公司认可的解决方案,而一些保险公司拥有自己的设备,希望安装在公司的 IT 环境中。
排除的复杂性:经验导致保险公司增加了他们不承保的情况的数量和复杂性。最著名的是NotPetya/Merck事件所强调的战争排除条款,但其他条款还包括缺乏适当的安全协议、内部不良行为者、某些人为错误、未能遵守合规程序、恐怖主义行为以及未能及时报告保险公司。所有这些都有可能使任何保险失效。
未能首先向保险公司报告事件是一件有趣的事情,因为它可能与某些合规要求相冲突。“我已经与许多保险公司讨论了如何应用这一点,”Delinea 的首席安全科学家兼顾问 CISO Joseph Carson 告诉《SecurityWeek》。“他们的意思是,如果您在通知保险公司索赔之前产生了费用,那么您在此之前产生的费用可能不会包含在保险索赔中。”
基于保单内的排除条款而拒绝索赔可能会导致法庭诉讼,就像默克公司通过战争排除条款来否认其 NotPetya 索赔一样。最终,法院永远是最终的仲裁者。
保单成本和复杂性的增加对达成保单所需的时间产生连锁反应。45% 的受访者预计需要一到三个月的时间才能获得或更新保单(低于去年的 60%);30% 预计需要四到六个月(与去年相同);7% 的人预计需要六个月以上(高于去年的 0.46%)。
“在过去的一年里,很明显,网络保险公司正在从他们的数据中学习,并且现在正在走向成熟。在网络保险的早期,他们只是试图满足巨大的需求,但现在他们意识到必须减少自己面临可避免和不可控情况的风险,”卡森说。
“我们的调查 (PDF) 结果发现,大多数组织并没有以同样的态度对待网络保险——他们只是希望获得保险。他们没有检查去年的保单是否是他们现在需要的,或者他们的保单在续保时是否发生了变化。当网络安全事件发生时,这种‘网络保险缺口’可能会让许多组织陷入困境,而他们希望利用这个金融安全网。”
这项调查的总体信息是,网络保险不再是可以简单地附加到网络安全之上的东西。如果组织决定将网络保险纳入其总体网络风险管理态势,则该网络保险必须与组织的网络安全态势完全整合。这将涉及对风险接受(免赔额)的详细了解,以及避免任何可能导致基于细则排除的索赔被拒绝的情况。最重要的是,这需要被保险人和保险公司之间建立伙伴关系,但保险公司是主要合作伙伴。