□记者 苏洁
随着勒索软件的发展和演变,其种类越来越多,传播病毒、逃避检测、加密文件以及迫使用户支付赎金的能力也越来越强大。相应的网络安全保险愈加受到关注。
勒索软件攻击事件
勒索软件对于企业来说是致命的威胁,当然最可怕的是,如果遭遇擦除式勒索软件攻击,支付赎金将无济于事。例如,Ryuk勒索软件。一家公司遭遇Ryuk勒索软件攻击,攻击是以向该公司员工发送一系列恶意电子邮件的形式进行的。该公司的邮件安全系统发出了外来邮件警告,并多次检测到和阻止了恶意附件。但是,由于攻击者采取了相应措施,一名员工访问了该文档并执行了一个恶意软件即服务加载程序。这些“无文件型”恶意软件几乎没有给防病毒软件留下任何痕迹,从而穿过了该公司的防火墙,出现在员工的收件箱中。此类恶意软件在合法脚本上运行,在执行合法程序的同时发动恶意攻击。由于员工人数众多,无法保证所有人不会点击该链接。
再如远程访问木马病毒(RAT)。在远程访问木马(RAT)恶意软件攻击中,员工试图打开一份图像文件,导致公司的防御系统受损。攻击者没有使用传统的文件附件格式(如Word和PDF),而是使用了不在排除列表中的文件格式:图像。在这起事件中,攻击者被发现试图将恶意代码隐藏在图像文件中,诱骗受害者安装远程访问木马程序。远程访问木马病毒可使网络犯罪分子完全控制受感染的计算机,同时避免受到检测。
网络安全保险迎蓝海
对于企业来说,如何规避以上勒索软件攻击风险?
显然,仅仅依靠网络防御是不够的。达信(中国)保险经纪有限公司首席执行官李铭表示,要实现网络安全,公司应重点关注防御系统中处于最薄弱环节的个人,并强化检测和恢复机制。虽然市场上的网络防御工具在不断升级,但网络犯罪分子的技术也在持续进步。
李铭强调,企业在受到攻击时经常会措手不及,这十分常见,尤其是在网络犯罪分子的施压和威胁手法日趋娴熟时更是如此。因此,应采取系统性的应对方法和多种措施。而通过优化保险资金分配,做好网络风险管理是有效措施之一。“百分之百防范风险是不可能的,因此,通过保险在风险缓释和风险转移之间取得平衡,不失为一种可行的好方法,有助于确保第一方和第三方财务损失得到保险保障。”李铭指出。
在金融行业,网络安全风险同样引发关注。
原中国保监会副主席周延礼在日前举办的第二届中关村论坛金融科技平行论坛上指出,网络攻击已经成为企业最大的风险。网络安全风险的特点包括频次高、范围大、损失大、防范难等,网络攻击的方式也是多样的,并且一旦出现网络安全事件,影响非常严重,近几年来保险赔偿的金额也在增加。以金融行业为例,存在的网络安全风险和挑战包括:金融科技创新对网络安全提出高要求,事件型漏洞威胁持续增加,网络攻击种类、规模与方式不断增加,数据安全和隐私保护需求与难度加大,金融行业风险冲击的传导性愈演愈烈,金融行业信息科技外包风险形势严峻。
周延礼强调,网络安全保险是风险管理的重要手段,“网络安全风险防不胜防”可以通过保险来进行风险转移。网络安全保险是以投保人信息资产安全性为保险标的,对由于网络空间内的事件给企业造成的负面影响进行赔偿,负面影响既包括企业本身财产损失(第一方),也包含第三方赔偿责任(第三方)。
“由于网络风险的动态变化和不可避免性,企业只能通过网络安全产品和服务来降低风险,并接受与风险长期共存的状态,但作为风险处置手段之一,风险转移始终在网络安全领域没有得到充分应用。”周延礼指出,企业始终面临着已知风险和未知风险,与此同时企业购入安全服务的预算有限,会有残余风险,因此,网络安全保险能帮助企业形成风险管理的闭环。
难题待解
虽然近几年我国网络安全保险快速发展,但与国外市场相比仍存差距。根据达信的观察,现国内市场上需要的是更加贴近中国客户需求的产品,需要将海外的产品进行本地化的调整。例如, 海外产品包含第一方及第三方的损失, 但国内客户一般只寻求将第一方的自身损失作为主要投保内容。保险公司对于网络安全保险产品的开发持保守态度,网络安全保险产品趋同性严重。主要因素在于,网络安全保险的开发与定价面临一定的技术难题。比如,随着网络风险的不断变化,新兴风险不断涌现,都对网络安全风险的可保边界带来了挑战,对保险公司在风险评估、建模定价、理赔定损等方面提出了非常高的要求。
对于任何规模的企业而言,网络安全和信息保护都可能成为难题。如今,企业依赖互联网服务,在管理、在线营销、库存管理、信用卡处理、配送控制等方面都可能面临网络安全风险,任何能中断这些服务的入侵都可能会导致品牌和声誉损失、监管审查、利益相关者不满和财务损失。
当然,我们也看到,随着越来越多有国际背景的保险公司及国内大型保险公司将网络安全产品引入国内并进行改良升级,越来越多的企业开始意识到传统责任险和财产险已经无法应对网络攻击事件,而通过独立的网络安全保险产品来完善企业风险管理。
可以预见,随着网络安全风险的增加,网络安全保险将会迎来新的发展机遇。
□记者 苏洁
随着勒索软件的发展和演变,其种类越来越多,传播病毒、逃避检测、加密文件以及迫使用户支付赎金的能力也越来越强大。相应的网络安全保险愈加受到关注。
勒索软件攻击事件
勒索软件对于企业来说是致命的威胁,当然最可怕的是,如果遭遇擦除式勒索软件攻击,支付赎金将无济于事。例如,Ryuk勒索软件。一家公司遭遇Ryuk勒索软件攻击,攻击是以向该公司员工发送一系列恶意电子邮件的形式进行的。该公司的邮件安全系统发出了外来邮件警告,并多次检测到和阻止了恶意附件。但是,由于攻击者采取了相应措施,一名员工访问了该文档并执行了一个恶意软件即服务加载程序。这些“无文件型”恶意软件几乎没有给防病毒软件留下任何痕迹,从而穿过了该公司的防火墙,出现在员工的收件箱中。此类恶意软件在合法脚本上运行,在执行合法程序的同时发动恶意攻击。由于员工人数众多,无法保证所有人不会点击该链接。
再如远程访问木马病毒(RAT)。在远程访问木马(RAT)恶意软件攻击中,员工试图打开一份图像文件,导致公司的防御系统受损。攻击者没有使用传统的文件附件格式(如Word和PDF),而是使用了不在排除列表中的文件格式:图像。在这起事件中,攻击者被发现试图将恶意代码隐藏在图像文件中,诱骗受害者安装远程访问木马程序。远程访问木马病毒可使网络犯罪分子完全控制受感染的计算机,同时避免受到检测。
网络安全保险迎蓝海
对于企业来说,如何规避以上勒索软件攻击风险?
显然,仅仅依靠网络防御是不够的。达信(中国)保险经纪有限公司首席执行官李铭表示,要实现网络安全,公司应重点关注防御系统中处于最薄弱环节的个人,并强化检测和恢复机制。虽然市场上的网络防御工具在不断升级,但网络犯罪分子的技术也在持续进步。
李铭强调,企业在受到攻击时经常会措手不及,这十分常见,尤其是在网络犯罪分子的施压和威胁手法日趋娴熟时更是如此。因此,应采取系统性的应对方法和多种措施。而通过优化保险资金分配,做好网络风险管理是有效措施之一。“百分之百防范风险是不可能的,因此,通过保险在风险缓释和风险转移之间取得平衡,不失为一种可行的好方法,有助于确保第一方和第三方财务损失得到保险保障。”李铭指出。
在金融行业,网络安全风险同样引发关注。
原中国保监会副主席周延礼在日前举办的第二届中关村论坛金融科技平行论坛上指出,网络攻击已经成为企业最大的风险。网络安全风险的特点包括频次高、范围大、损失大、防范难等,网络攻击的方式也是多样的,并且一旦出现网络安全事件,影响非常严重,近几年来保险赔偿的金额也在增加。以金融行业为例,存在的网络安全风险和挑战包括:金融科技创新对网络安全提出高要求,事件型漏洞威胁持续增加,网络攻击种类、规模与方式不断增加,数据安全和隐私保护需求与难度加大,金融行业风险冲击的传导性愈演愈烈,金融行业信息科技外包风险形势严峻。
周延礼强调,网络安全保险是风险管理的重要手段,“网络安全风险防不胜防”可以通过保险来进行风险转移。网络安全保险是以投保人信息资产安全性为保险标的,对由于网络空间内的事件给企业造成的负面影响进行赔偿,负面影响既包括企业本身财产损失(第一方),也包含第三方赔偿责任(第三方)。
“由于网络风险的动态变化和不可避免性,企业只能通过网络安全产品和服务来降低风险,并接受与风险长期共存的状态,但作为风险处置手段之一,风险转移始终在网络安全领域没有得到充分应用。”周延礼指出,企业始终面临着已知风险和未知风险,与此同时企业购入安全服务的预算有限,会有残余风险,因此,网络安全保险能帮助企业形成风险管理的闭环。
难题待解
虽然近几年我国网络安全保险快速发展,但与国外市场相比仍存差距。根据达信的观察,现国内市场上需要的是更加贴近中国客户需求的产品,需要将海外的产品进行本地化的调整。例如, 海外产品包含第一方及第三方的损失, 但国内客户一般只寻求将第一方的自身损失作为主要投保内容。保险公司对于网络安全保险产品的开发持保守态度,网络安全保险产品趋同性严重。主要因素在于,网络安全保险的开发与定价面临一定的技术难题。比如,随着网络风险的不断变化,新兴风险不断涌现,都对网络安全风险的可保边界带来了挑战,对保险公司在风险评估、建模定价、理赔定损等方面提出了非常高的要求。
对于任何规模的企业而言,网络安全和信息保护都可能成为难题。如今,企业依赖互联网服务,在管理、在线营销、库存管理、信用卡处理、配送控制等方面都可能面临网络安全风险,任何能中断这些服务的入侵都可能会导致品牌和声誉损失、监管审查、利益相关者不满和财务损失。
当然,我们也看到,随着越来越多有国际背景的保险公司及国内大型保险公司将网络安全产品引入国内并进行改良升级,越来越多的企业开始意识到传统责任险和财产险已经无法应对网络攻击事件,而通过独立的网络安全保险产品来完善企业风险管理。
可以预见,随着网络安全风险的增加,网络安全保险将会迎来新的发展机遇。