网络保险是一项正在进行的工作,许多现有客户实际上是老鼠。
网络保险业的基本问题很容易陈述,但很难解决。收入(保费)必须超过支出(索赔)的30%(运营成本 利润)。如果索赔增加,保险模式的保费也必须增加才能维持。
然而,网络犯罪的成本正在急剧上升,多年来一直如此。不断增加保费以应对不断增加的索赔最终是不可持续的。迟早,原本是企业风险管理有效形式的保险成本会过高。因此,如果网络保险想要继续下去,就必须找到一种平衡成本和收入的方法。
一个可能的解决方案是降低成本(索赔)比增加销售(保费)更快地提高损益率。这是保险业目前正在考虑的解决方案。首先,成本可以通过增加保险单中的除外责任来降低。当然,这将降低保险作为风险管理工具的价值,保险范围有限。其次,如果客户的安全状况能够得到充分改善,以减少索赔,保险成本也可以降低,或者至少保持在当前水平。
当前网络保险问题
根据研究机构Moody勒索软件的激增已经导致了网络保险策略的损失,保险公司的损失可能会在2021年增加,2021年10月19日声称。尽管保险公司已经看到了勒索软件的激增,并逐高了网络保险的定价,降低了保单限额,增加了免赔额,同时收紧了条款和条件。
勒索软件是行业和保险公司面临的一大难题。但这并非唯一的威胁。BEC(商业邮件欺诈)也会造成巨大而不可预测的损失。许多研究人员认为,随着技术的进步(如典型)Deepfake),BEC2022年将继续扩大。
在大多数保险市场,保险公司拥有数百年的航海、汽车、家庭和人寿保险损失及其原因。作为精算表,这些数据提供了准确的证据,可以作为案件保费的基础。但是对于网络空间来说,没有这样的精算表,也不太可能编成表。
我认为保险业无法创建网络安全精算表,风险是不可预测的。攻击者很聪明,一直在寻找利用受害者的新方法。是的,我们正在变得更好,我们有更多的数据——但三年前的损失经验与今天无关。保险业会像汽车行业一样获得精算表吗?我不认为会发生这种情况。--Cowbell克里斯是保险主管·里斯
由于没有历史数据的帮助,保险公司不能主动设定准确的保费,而是被动地做出反应。通过设定更高的保费和保险条件来处理不断增加的索赔。简而言之,购买保险变得越来越昂贵,续保变得越来越困难,有时甚至不可能。
但另一方面,尽管网络保险成本上升,覆盖范围缩小,但市场仍在迅速扩张。2021年5月,美国政府问责制办公室(GAO)全球保险经纪公司发布MaSH数据显示,客户购买网络保险的比例从2020增加到47%,2016年的比例为26%。
主要原因是网络犯罪的持续增长。根据一些调查报告,网络犯罪给全球经济造成了数万亿美元的损失,并将在未来几年继续增长。如果保险业想在更大的市场上覆盖越来越多的索赔,它不仅需要反复增加保费,而且还需要通过提高客户的网络安全来减少索赔。问题是,保险公司应该怎么做,而不是网络安全公司?
网络保险的可能路径
支付卡行业有安全标准(PCIDSS),所有公司在接受银行卡支付之前必须遵守该标准。提高被保险人安全性的一个途径是制定类似的安全标准并要求其合规。
英国汽车保险业有先例。在司机为机动车投保之前,车辆必须先通过交通部(MoT)并获得设计测试MoT证书。保险是法律要求的,所以测试也是法律要求的。在受益的同时,保险业也会因为客户有证书而降低保费。美国的一般做法是要求汽车保险覆盖第三方责任。
没有法律要求企业购买网络保险——但这种情况在未来并非不可想象。
强制保险的价值可以反映在证书上,如上述MoT证书,通过此验证证明了客户的高安全性,因此保险公司将提供更低的保费。但这只是一个假设,在网络保险领域,安全证书是否可以减少被保险人的索赔概念,最终保险业将保费保持在当前或更低的水平,答案仍然未知。
“PCI毫无疑问,了许多公司的网络安全基准,但它并没有神奇地解决这个问题。你可以通过PCI审计,但仍将被入侵。支付卡行业的问题是,攻击成本能否大于收入?--趋势科技市场战略和企业发展主管Eric Skinner
也许只有时间才能证明保险业能否发展、维护和遵守有效的可靠安全标准。
特殊控制是否可行
保险业的另一种做法是不同地控制不同的客户,这将比单一的通用标准更灵活。不同行业、不同用户、不同时期的风险不同,因此不同用户可以有不同的规定,也可以在续保期间或每年更改和修改。
但这意味着保险公司将参与客户的安全评估。例如,在线保险业务人员将要求客户提供一份关于其安全状况的声明。就像年度合规审计问卷一样,但这种问卷在降低风险方面没有什么作用。例如,您已经部署了它EDR一些保险经纪人说,如果客户的回答是?No他们被拒绝或不续签的风险很高。
但根本问题是,安全不是通过部署安全产品来增强的,而是通过正确的实施和充分的使用来增强的,这不能通过问卷调查来衡量。因此,这要求保险人了解保险公司的业务和公司CISO所掌握的安全状况。更不用说保险人员是否有这种能力或意愿愿意吗?
实施持续监控
第三种方法是保险业根据第三方安全评估公司的建议支付保费。这一建议是基于持续的安全监测,更容易被客户接受。保险公司可以简单地说,我们的扫描显示你在某些方面很弱,加固这些方面可能会得到较低的保费。
然而,这种评估的缺点是,大多数扫描只能看到客户基础设施的外部视图,但仍然有效,因为绝大多数黑客也这样做。收敛攻击面和脆弱加固可以增加黑客的攻击成本,使其难以找到切入点。
然而,如果能够逐步从外部监控升级到整个基础设施的持续内部监控,保险公司无疑可以更智能地评估客户投保所需的保费。从某种意义上说,提供安全评估服务的公司就像保险经纪人的助手,为经纪人提供必要的信息,以确定与客户协商中最具成本效益的保费。
网络保险业的未来
网络保险是一种正在尝试的新型保险,这意味着许多现有客户实际上是一种实验性的产品。此外,上述增加的保费和除外责任抵消不断上升的索赔模式是不可持续的。保险公司已经意识到这一点,并积极寻求解决方案。双方的目的是提高安全性,减少网络攻击造成的损失。
Resilience首席执行官Vishaal Hariprasad认为解决方案将伴随着投保人、网络安全和保险公司之间的新关系。Hariprasad2016年进入保险业,此前曾担任过Palo Alto威胁情报架构师。他也是美国空军预备队的网络作战官。
2016年,你可以购买价值100万美元的网上保险。经纪人会问,你有IT人员吗?你买了防火墙吗?但他们从来没有问过防火墙是否打开过,因为整个保险业都不在乎。但这必须改变。保险公司需要知道你的防火墙打开了吗?它一直在更新吗?正确的数据源是否不断引入?监控吗?保险人和被保险人之间需要新的合作关系。
换句话说,保险公司应该通过与威胁信息共享机构的关系成为客户的网络安全顾问。投保人和保险人都在寻求相同的目的——更好的网络安全,这可以通过双方都可以接受的方式实现,而不是官方强制的方式。
Hariprasad认为成功的网络保险业务最重要的是共同参与和持续监控,即投保人与充分了解威胁的保险公司的共同参与,以及对网络安全缓解措施的持续监控。
网络保险和网络安全必须学会协调,而不是被视为彼此的替代品。保险公司必须成为投保人董事会值得信赖的顾问。董事会还必须学会与保险公司合作,提高网络安全措施,提高企业安全能力,尽可能降低保费。