Facebook泄密門事件引擔憂網(wǎng)絡安全責任保險即將崛起

普通責任險的保單不承保電子數(shù)據(jù)損失，被保險人或其員工的犯罪或故意行為，或索賠前發(fā)生的費用。網(wǎng)絡責任安全保險可以承保計算機因?qū)嶋H或被指稱發(fā)生安全故障而未能阻止或減輕計算機攻擊所造成的索賠等。3月18日，《衛(wèi)報》報道稱，一家名為劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司竊取了5000萬Facebook用戶資料，根據(jù)每個用戶的日常喜好、性格特點、教育水平，預測他們的政治傾向，進行新聞的精準推送，達到洗腦的目的，間接促成了特朗普的當選。

有消息稱，劍橋分析公司并不是通過侵入數(shù)據(jù)庫的方式拿到的用戶數(shù)據(jù)，而是完全基于Facebook當時的服務條款和正常的API，用鉆空子的方式，取得了Facebook通過大規(guī)模數(shù)據(jù)監(jiān)控收集來的5000萬用戶信息。

受此影響，F(xiàn)acebook市值在一度縮水600多億美元。Facebook CEO馬克·扎克伯格(Mark Zuckerberg)在事件發(fā)生一周之后才發(fā)表聲明，對該事件做出了解釋，稱開發(fā)者過多地收集用戶信息的問題如今已得以解決。然而這并沒有讓民眾買賬。

下文編自未央網(wǎng)。《網(wǎng)絡責任保險：保險與信息安全的協(xié)同發(fā)展》

(億歐注：本文主體內(nèi)容《網(wǎng)絡責任保險：保險與信息安全的協(xié)同發(fā)展》原文刊載于未央網(wǎng)2016年6月14日，作者李東霖;完整內(nèi)容的摘編為道口保險觀察小編Y小R)

一次次觸目驚心的網(wǎng)絡安全事件，讓全球公民一度陷入前所未有的恐慌，也再次提醒大眾，網(wǎng)絡安全防范已迫在眉睫。

2017年以來，網(wǎng)絡安全界似乎進入了“多事之秋”。3月，2100萬Gmail和500萬雅虎賬戶在黑市公開售賣;4月，黑客團體影子經(jīng)紀人曝光NSA黑客工具;同月，安恒安全研究院檢測到全球有超過9萬臺機器被利用曝光的黑客工具植入后門;5月，勒索病毒席卷全球，入侵150多個國家近30萬臺電腦;6月，一款名為“暗云Ⅲ”的木馬程序在互聯(lián)網(wǎng)上大量傳播······

中國大陸近年來也發(fā)生多起電商、門戶網(wǎng)站、互聯(lián)網(wǎng)金融平臺“泄密門”事件，既有郵箱賬號、密碼泄密，更有多起銀行卡信息泄露事件，包括持卡人姓名、身份證號、持卡類別、卡號、CVV碼等所有信息，均在地下產(chǎn)業(yè)鏈中進行明碼標價，公開買賣。

消費者迫切希望并且愿意從那些他們值得信賴并對他們提供足夠保護的公司獲得所需要的服務。

這種情況下，而對于各大企業(yè)而言，維護公司網(wǎng)絡安全和用戶隱私成為企業(yè)成功經(jīng)營的一個關(guān)鍵因素。

隨著互聯(lián)網(wǎng)+的發(fā)展，因為對信息安全不夠重視，滋生出的各種重大安全問題也慢慢暴露，個人信息泄露問題就是其中之一，也是涉及面最廣、影響最大的問題。

當今全球范圍內(nèi)企業(yè)出現(xiàn)數(shù)據(jù)泄露事故的可能性和實際案件都在不斷上升，每家公司都在大量存儲企業(yè)經(jīng)營數(shù)據(jù)、客戶信息、雇員信息，自己或商業(yè)合作伙伴的商業(yè)機密，一旦發(fā)生數(shù)據(jù)泄露，損失將難以預估。

網(wǎng)絡責任保險，是傳統(tǒng)保險中留下的缺口，普通責任險的保單不承保電子數(shù)據(jù)損失，被保險人或其員工的犯罪或故意行為，或索賠前發(fā)生的費用。

財產(chǎn)險保單通常將承保范圍限定為風險導致的有形財產(chǎn)損壞或用途損失以及特定地點的有形財產(chǎn)損失。而網(wǎng)絡責任安全保險可以承保計算機因?qū)嶋H或被指稱發(fā)生安全故障而未能阻止或減輕計算機攻擊所造成的索賠等。

-國外視角-

首先，國外對安全事件強制公開有成熟的法律保證，在國際范圍內(nèi)網(wǎng)絡責任險并非新生事物且受眾頗廣，最為成熟且滲透率最高的是美國市場

，美國50個州中有46個州頒布了在發(fā)生數(shù)據(jù)泄露事件時需強制通知客戶，英國也在起草《歐盟數(shù)據(jù)保護規(guī)定EU Data Protection Regulation》，包括了數(shù)據(jù)泄露的強制通知。企業(yè)為了減少這類安全事件，一般會部署相應的安全機制，但再強大的系統(tǒng)也可能被攻破，一旦發(fā)生安全事件，企業(yè)就需要告知用戶，采取相關(guān)的補救措施。

這種情況下，對于企業(yè)自有損失包括：取證調(diào)查、危機公關(guān)、法律咨詢、通知費用、系統(tǒng)宕機的業(yè)務損失;對于企業(yè)的客戶，則面臨重發(fā)信用卡、應對管理機構(gòu)詢問，數(shù)據(jù)泄露等損失。這么大的損失，在現(xiàn)實社會中可以通過保險補償全部或部分損失，而同樣在網(wǎng)絡空間，也可以通過網(wǎng)絡保險解決企業(yè)在信息安全方面遇到“不可抗力”的難題。

網(wǎng)絡保險覆蓋主要包含四大類

：

1、技術(shù)錯誤、失誤（Errors and Omissions）

例如IT企業(yè)的產(chǎn)品開發(fā)延期，產(chǎn)品集成出現(xiàn)錯誤，由此造成的經(jīng)濟損失;

2、版權(quán)、商標等知識產(chǎn)權(quán)（Media Liability）

例如與其他企業(yè)發(fā)生了知識產(chǎn)權(quán)糾紛，需要法律方面的費用、賠償?shù)?

3、網(wǎng)絡、信息安全

例如企業(yè)存儲的商業(yè)機密或用戶數(shù)據(jù)泄露、數(shù)據(jù)丟失、病毒傳播和勒索等造成的損失。

關(guān)于勒索，很多企業(yè)曾經(jīng)受到勒索，如不支付一定費用，其網(wǎng)站就被拒絕服務攻擊;2013年出現(xiàn)的勒索軟件Cryptowall半年綁架了52.5億份文件，其v3版本造成了3.25億美元的損失。關(guān)于數(shù)據(jù)丟失，例如，規(guī)模僅次于沃爾瑪?shù)牡诙罅闶凵蘐arget公司電腦網(wǎng)絡在2013年被黑客侵入，損失高達2.64億美元。

IBM報告認為每年會出現(xiàn)9千萬安全事件，無論是上述哪種事件，企業(yè)很可能無法承受如此巨大的損失，此時保險就成為了一種必要的補救手段，減少企業(yè)經(jīng)濟損失。

4、隱私數(shù)據(jù)

同樣都是數(shù)據(jù)層面的內(nèi)容，隱私數(shù)據(jù)主要是指現(xiàn)實環(huán)境中的失誤，如丟失存有敏感數(shù)據(jù)的筆記本，員工將帶有客戶信息郵件發(fā)錯等等。

綜合這四類保險類型，網(wǎng)絡保險公司的賠償費用包括有：對受影響客戶的通知和系統(tǒng)修復費用、安全事件的調(diào)查取證費用、危機管理費用、業(yè)務中斷造成損失的費用、支付勒索的費用、受損數(shù)據(jù)還原的費用、補償入侵造成的賬戶財務損失的費用，以及補償電信詐騙造成的損失的費用等。

網(wǎng)絡攻擊和信息泄露可能給企業(yè)帶來的影響是營業(yè)中斷或者收入顯著下降、法律責任、監(jiān)管和行業(yè)的調(diào)查等等;而對于用戶端也會產(chǎn)生如無法享受服務或服務體驗下降、個人隱私泄露、財產(chǎn)損失等負面影響。這就要求，各個企業(yè)在發(fā)展業(yè)務的同時，必須加強相關(guān)的安全防范措施。

據(jù)統(tǒng)計，每年由于網(wǎng)絡攻擊造成的商業(yè)損失高達4千億美元。

歐美成熟企業(yè)每年網(wǎng)絡安全投入占整體IT投入大約10%，而在國內(nèi)還不到3%。2015年全球網(wǎng)絡安全市場規(guī)模預測為770億美元，2020年將達到1700億美元，未來3~5年將保持至少10%~15%的年增長率。

當然，從某種角度來說，互聯(lián)網(wǎng)+保險——網(wǎng)絡責任保險在中國的成熟普及推廣，可以在最大程度上避免企業(yè)的損失，同時避免消費者的損失。

-國內(nèi)市場-

據(jù)了解，中國大陸之前尚無此類保險產(chǎn)品，在整個亞太地區(qū)，也只有新加坡、澳大利亞和香港等相對發(fā)達的國家和地區(qū)有相關(guān)保險。

國內(nèi)市場方面，蘇黎世保險在中國大陸率先推出了“安全與隱私保護綜合保險”，協(xié)助企業(yè)主動加強信息保護方面的責任。

目前，包括各大電商、互聯(lián)網(wǎng)金融巨頭也有準備甚至開始試水，大家似乎都在等待領頭羊的出現(xiàn)。

2016年1月中旬，眾安保險開始嘗試提供數(shù)據(jù)安全險，為企業(yè)虛擬資產(chǎn)數(shù)據(jù)的安全承保。

當網(wǎng)絡保險普遍被企業(yè)所接受時，如何提高企業(yè)安全水平，減少針對企業(yè)的安全事件，就是擺在保險公司面前的現(xiàn)實問題。下一步，就需要保險公司與安全廠商建立新的更緊密的關(guān)系。

同時，隨著網(wǎng)絡保險的普及，未來安全的發(fā)展將呈現(xiàn)如下的趨勢：

首先，根據(jù)Gartner報告，自適應安全體系，將成為未來安全的主流趨勢。

這就要求企業(yè)的安全產(chǎn)品不僅要解決當前的安全問題，還要未來可擴展。這就意味著，規(guī)劃安全體系一定要先考慮企業(yè)日益變化復雜的IT環(huán)境和業(yè)務變化，并可應對專業(yè)組織化的高級攻擊行為為目標。

所以，企業(yè)對安全防護的規(guī)劃設計上需要前瞻性地脫離對基礎設施的依賴，防護能力要從物理層上升到業(yè)務邏輯層次，這樣才能很好地應對未來的安全挑戰(zhàn)。

在實際操作中，如何將安全專家的經(jīng)驗和實施自動化，是企業(yè)安全產(chǎn)品的一個核心課題。目前最佳解決方法是“人機協(xié)作”，在幫助安全專家從繁瑣低級工作中解放出來的基礎上，提供給他們智能的機器學習系統(tǒng)，用于共同構(gòu)建業(yè)務的正常行為模式，包括梳理業(yè)務單元、行為模式、訪問關(guān)系、設置行為錨點等，這樣的積累梳理將真正構(gòu)建企業(yè)安全以數(shù)據(jù)驅(qū)動的強大能力。

其次，可度量、可視化的安全是未來安全的發(fā)展趨勢。

企業(yè)安全的工作成績和效果如何考量?是安全團隊發(fā)展和管理的一個重要問題。當安全團隊內(nèi)外，特別是上級管理部門都不能清晰感知安全工作的效用時，企業(yè)安全的發(fā)展必然非常緩慢。

目前很多企業(yè)產(chǎn)品都意識到這一點，并紛紛構(gòu)建基于風險指數(shù)的管理視圖，綜合外部威脅情報、內(nèi)部風險薄弱點評估、核心資產(chǎn)價值評估、安全資源等多個因素形成全局報表，并呈現(xiàn)出可衡量、具備指導性的風險指數(shù)和改善建議。

目前，國內(nèi)由于法律法規(guī)不夠健全，所以企業(yè)通常沒有動力主動公布相關(guān)安全事件，所以網(wǎng)絡和信息安全方面的保險相對落后。除了金融、運營商、政府和能源等行業(yè)的大型企業(yè)有安全需求外，很多中小企業(yè)沒有部署安全產(chǎn)品或安全機制，出現(xiàn)安全事件后沒有較大損失，更沒有動力去談網(wǎng)絡保險。相信如果《網(wǎng)絡安全法》正式頒布后，特別是諸如“及時向用戶告知安全缺陷、漏洞等風險”等條款的執(zhí)行，會推動企業(yè)重視自身的安全保障。此時，安全廠商的安全產(chǎn)品和保險公司的網(wǎng)絡保險，可共同提供技術(shù)和資金上的保障，使企業(yè)更愿意在安全防護方面投入。

最后需要強調(diào)一點，雖然作為企業(yè)安全防護的最后一道防線，網(wǎng)絡保險可以避免企業(yè)造成巨大的損失，但應該要意識到保險本身不是萬能的，

如網(wǎng)絡保險不能解決如信譽受損、未來營收受影響內(nèi)部系統(tǒng)需改進，以及知識產(chǎn)權(quán)丟失這些問題。所以采購安全產(chǎn)品，部署安全方案，使用安全服務，還是企業(yè)在安全防護方面應該考慮的第一要素。