Facebook泄密門事件引擔(dān)憂網(wǎng)絡(luò)安全責(zé)任保險(xiǎn)即將崛起

普通責(zé)任險(xiǎn)的保單不承保電子數(shù)據(jù)損失，被保險(xiǎn)人或其員工的犯罪或故意行為，或索賠前發(fā)生的費(fèi)用。網(wǎng)絡(luò)責(zé)任安全保險(xiǎn)可以承保計(jì)算機(jī)因?qū)嶋H或被指稱發(fā)生安全故障而未能阻止或減輕計(jì)算機(jī)攻擊所造成的索賠等。3月18日，《衛(wèi)報(bào)》報(bào)道稱，一家名為劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司竊取了5000萬(wàn)Facebook用戶資料，根據(jù)每個(gè)用戶的日常喜好、性格特點(diǎn)、教育水平，預(yù)測(cè)他們的政治傾向，進(jìn)行新聞的精準(zhǔn)推送，達(dá)到洗腦的目的，間接促成了特朗普的當(dāng)選。

有消息稱，劍橋分析公司并不是通過(guò)侵入數(shù)據(jù)庫(kù)的方式拿到的用戶數(shù)據(jù)，而是完全基于Facebook當(dāng)時(shí)的服務(wù)條款和正常的API，用鉆空子的方式，取得了Facebook通過(guò)大規(guī)模數(shù)據(jù)監(jiān)控收集來(lái)的5000萬(wàn)用戶信息。

受此影響，F(xiàn)acebook市值在一度縮水600多億美元。Facebook CEO馬克·扎克伯格(Mark Zuckerberg)在事件發(fā)生一周之后才發(fā)表聲明，對(duì)該事件做出了解釋，稱開發(fā)者過(guò)多地收集用戶信息的問題如今已得以解決。然而這并沒有讓民眾買賬。

下文編自未央網(wǎng)?！毒W(wǎng)絡(luò)責(zé)任保險(xiǎn)：保險(xiǎn)與信息安全的協(xié)同發(fā)展》

(億歐注：本文主體內(nèi)容《網(wǎng)絡(luò)責(zé)任保險(xiǎn)：保險(xiǎn)與信息安全的協(xié)同發(fā)展》原文刊載于未央網(wǎng)2016年6月14日，作者李東霖;完整內(nèi)容的摘編為道口保險(xiǎn)觀察小編Y小R)

一次次觸目驚心的網(wǎng)絡(luò)安全事件，讓全球公民一度陷入前所未有的恐慌，也再次提醒大眾，網(wǎng)絡(luò)安全防范已迫在眉睫。

2017年以來(lái)，網(wǎng)絡(luò)安全界似乎進(jìn)入了“多事之秋”。3月，2100萬(wàn)Gmail和500萬(wàn)雅虎賬戶在黑市公開售賣;4月，黑客團(tuán)體影子經(jīng)紀(jì)人曝光NSA黑客工具;同月，安恒安全研究院檢測(cè)到全球有超過(guò)9萬(wàn)臺(tái)機(jī)器被利用曝光的黑客工具植入后門;5月，勒索病毒席卷全球，入侵150多個(gè)國(guó)家近30萬(wàn)臺(tái)電腦;6月，一款名為“暗云Ⅲ”的木馬程序在互聯(lián)網(wǎng)上大量傳播······

中國(guó)大陸近年來(lái)也發(fā)生多起電商、門戶網(wǎng)站、互聯(lián)網(wǎng)金融平臺(tái)“泄密門”事件，既有郵箱賬號(hào)、密碼泄密，更有多起銀行卡信息泄露事件，包括持卡人姓名、身份證號(hào)、持卡類別、卡號(hào)、CVV碼等所有信息，均在地下產(chǎn)業(yè)鏈中進(jìn)行明碼標(biāo)價(jià)，公開買賣。

消費(fèi)者迫切希望并且愿意從那些他們值得信賴并對(duì)他們提供足夠保護(hù)的公司獲得所需要的服務(wù)。

這種情況下，而對(duì)于各大企業(yè)而言，維護(hù)公司網(wǎng)絡(luò)安全和用戶隱私成為企業(yè)成功經(jīng)營(yíng)的一個(gè)關(guān)鍵因素。

隨著互聯(lián)網(wǎng)+的發(fā)展，因?yàn)閷?duì)信息安全不夠重視，滋生出的各種重大安全問題也慢慢暴露，個(gè)人信息泄露問題就是其中之一，也是涉及面最廣、影響最大的問題。

當(dāng)今全球范圍內(nèi)企業(yè)出現(xiàn)數(shù)據(jù)泄露事故的可能性和實(shí)際案件都在不斷上升，每家公司都在大量存儲(chǔ)企業(yè)經(jīng)營(yíng)數(shù)據(jù)、客戶信息、雇員信息，自己或商業(yè)合作伙伴的商業(yè)機(jī)密，一旦發(fā)生數(shù)據(jù)泄露，損失將難以預(yù)估。

網(wǎng)絡(luò)責(zé)任保險(xiǎn)，是傳統(tǒng)保險(xiǎn)中留下的缺口，普通責(zé)任險(xiǎn)的保單不承保電子數(shù)據(jù)損失，被保險(xiǎn)人或其員工的犯罪或故意行為，或索賠前發(fā)生的費(fèi)用。

財(cái)產(chǎn)險(xiǎn)保單通常將承保范圍限定為風(fēng)險(xiǎn)導(dǎo)致的有形財(cái)產(chǎn)損壞或用途損失以及特定地點(diǎn)的有形財(cái)產(chǎn)損失。而網(wǎng)絡(luò)責(zé)任安全保險(xiǎn)可以承保計(jì)算機(jī)因?qū)嶋H或被指稱發(fā)生安全故障而未能阻止或減輕計(jì)算機(jī)攻擊所造成的索賠等。

-國(guó)外視角-

首先，國(guó)外對(duì)安全事件強(qiáng)制公開有成熟的法律保證，在國(guó)際范圍內(nèi)網(wǎng)絡(luò)責(zé)任險(xiǎn)并非新生事物且受眾頗廣，最為成熟且滲透率最高的是美國(guó)市場(chǎng)

，美國(guó)50個(gè)州中有46個(gè)州頒布了在發(fā)生數(shù)據(jù)泄露事件時(shí)需強(qiáng)制通知客戶，英國(guó)也在起草《歐盟數(shù)據(jù)保護(hù)規(guī)定EU Data Protection Regulation》，包括了數(shù)據(jù)泄露的強(qiáng)制通知。企業(yè)為了減少這類安全事件，一般會(huì)部署相應(yīng)的安全機(jī)制，但再?gòu)?qiáng)大的系統(tǒng)也可能被攻破，一旦發(fā)生安全事件，企業(yè)就需要告知用戶，采取相關(guān)的補(bǔ)救措施。

這種情況下，對(duì)于企業(yè)自有損失包括：取證調(diào)查、危機(jī)公關(guān)、法律咨詢、通知費(fèi)用、系統(tǒng)宕機(jī)的業(yè)務(wù)損失;對(duì)于企業(yè)的客戶，則面臨重發(fā)信用卡、應(yīng)對(duì)管理機(jī)構(gòu)詢問，數(shù)據(jù)泄露等損失。這么大的損失，在現(xiàn)實(shí)社會(huì)中可以通過(guò)保險(xiǎn)補(bǔ)償全部或部分損失，而同樣在網(wǎng)絡(luò)空間，也可以通過(guò)網(wǎng)絡(luò)保險(xiǎn)解決企業(yè)在信息安全方面遇到“不可抗力”的難題。

網(wǎng)絡(luò)保險(xiǎn)覆蓋主要包含四大類

：

1、技術(shù)錯(cuò)誤、失誤（Errors and Omissions）

例如IT企業(yè)的產(chǎn)品開發(fā)延期，產(chǎn)品集成出現(xiàn)錯(cuò)誤，由此造成的經(jīng)濟(jì)損失;

2、版權(quán)、商標(biāo)等知識(shí)產(chǎn)權(quán)（Media Liability）

例如與其他企業(yè)發(fā)生了知識(shí)產(chǎn)權(quán)糾紛，需要法律方面的費(fèi)用、賠償?shù)?

3、網(wǎng)絡(luò)、信息安全

例如企業(yè)存儲(chǔ)的商業(yè)機(jī)密或用戶數(shù)據(jù)泄露、數(shù)據(jù)丟失、病毒傳播和勒索等造成的損失。

關(guān)于勒索，很多企業(yè)曾經(jīng)受到勒索，如不支付一定費(fèi)用，其網(wǎng)站就被拒絕服務(wù)攻擊;2013年出現(xiàn)的勒索軟件Cryptowall半年綁架了52.5億份文件，其v3版本造成了3.25億美元的損失。關(guān)于數(shù)據(jù)丟失，例如，規(guī)模僅次于沃爾瑪?shù)牡诙罅闶凵蘐arget公司電腦網(wǎng)絡(luò)在2013年被黑客侵入，損失高達(dá)2.64億美元。

IBM報(bào)告認(rèn)為每年會(huì)出現(xiàn)9千萬(wàn)安全事件，無(wú)論是上述哪種事件，企業(yè)很可能無(wú)法承受如此巨大的損失，此時(shí)保險(xiǎn)就成為了一種必要的補(bǔ)救手段，減少企業(yè)經(jīng)濟(jì)損失。

4、隱私數(shù)據(jù)

同樣都是數(shù)據(jù)層面的內(nèi)容，隱私數(shù)據(jù)主要是指現(xiàn)實(shí)環(huán)境中的失誤，如丟失存有敏感數(shù)據(jù)的筆記本，員工將帶有客戶信息郵件發(fā)錯(cuò)等等。

綜合這四類保險(xiǎn)類型，網(wǎng)絡(luò)保險(xiǎn)公司的賠償費(fèi)用包括有：對(duì)受影響客戶的通知和系統(tǒng)修復(fù)費(fèi)用、安全事件的調(diào)查取證費(fèi)用、危機(jī)管理費(fèi)用、業(yè)務(wù)中斷造成損失的費(fèi)用、支付勒索的費(fèi)用、受損數(shù)據(jù)還原的費(fèi)用、補(bǔ)償入侵造成的賬戶財(cái)務(wù)損失的費(fèi)用，以及補(bǔ)償電信詐騙造成的損失的費(fèi)用等。

網(wǎng)絡(luò)攻擊和信息泄露可能給企業(yè)帶來(lái)的影響是營(yíng)業(yè)中斷或者收入顯著下降、法律責(zé)任、監(jiān)管和行業(yè)的調(diào)查等等;而對(duì)于用戶端也會(huì)產(chǎn)生如無(wú)法享受服務(wù)或服務(wù)體驗(yàn)下降、個(gè)人隱私泄露、財(cái)產(chǎn)損失等負(fù)面影響。這就要求，各個(gè)企業(yè)在發(fā)展業(yè)務(wù)的同時(shí)，必須加強(qiáng)相關(guān)的安全防范措施。

據(jù)統(tǒng)計(jì)，每年由于網(wǎng)絡(luò)攻擊造成的商業(yè)損失高達(dá)4千億美元。

歐美成熟企業(yè)每年網(wǎng)絡(luò)安全投入占整體IT投入大約10%，而在國(guó)內(nèi)還不到3%。2015年全球網(wǎng)絡(luò)安全市場(chǎng)規(guī)模預(yù)測(cè)為770億美元，2020年將達(dá)到1700億美元，未來(lái)3~5年將保持至少10%~15%的年增長(zhǎng)率。

當(dāng)然，從某種角度來(lái)說(shuō)，互聯(lián)網(wǎng)+保險(xiǎn)——網(wǎng)絡(luò)責(zé)任保險(xiǎn)在中國(guó)的成熟普及推廣，可以在最大程度上避免企業(yè)的損失，同時(shí)避免消費(fèi)者的損失。

-國(guó)內(nèi)市場(chǎng)-

據(jù)了解，中國(guó)大陸之前尚無(wú)此類保險(xiǎn)產(chǎn)品，在整個(gè)亞太地區(qū)，也只有新加坡、澳大利亞和香港等相對(duì)發(fā)達(dá)的國(guó)家和地區(qū)有相關(guān)保險(xiǎn)。

國(guó)內(nèi)市場(chǎng)方面，蘇黎世保險(xiǎn)在中國(guó)大陸率先推出了“安全與隱私保護(hù)綜合保險(xiǎn)”，協(xié)助企業(yè)主動(dòng)加強(qiáng)信息保護(hù)方面的責(zé)任。

目前，包括各大電商、互聯(lián)網(wǎng)金融巨頭也有準(zhǔn)備甚至開始試水，大家似乎都在等待領(lǐng)頭羊的出現(xiàn)。

2016年1月中旬，眾安保險(xiǎn)開始嘗試提供數(shù)據(jù)安全險(xiǎn)，為企業(yè)虛擬資產(chǎn)數(shù)據(jù)的安全承保。

當(dāng)網(wǎng)絡(luò)保險(xiǎn)普遍被企業(yè)所接受時(shí)，如何提高企業(yè)安全水平，減少針對(duì)企業(yè)的安全事件，就是擺在保險(xiǎn)公司面前的現(xiàn)實(shí)問題。下一步，就需要保險(xiǎn)公司與安全廠商建立新的更緊密的關(guān)系。

同時(shí)，隨著網(wǎng)絡(luò)保險(xiǎn)的普及，未來(lái)安全的發(fā)展將呈現(xiàn)如下的趨勢(shì)：

首先，根據(jù)Gartner報(bào)告，自適應(yīng)安全體系，將成為未來(lái)安全的主流趨勢(shì)。

這就要求企業(yè)的安全產(chǎn)品不僅要解決當(dāng)前的安全問題，還要未來(lái)可擴(kuò)展。這就意味著，規(guī)劃安全體系一定要先考慮企業(yè)日益變化復(fù)雜的IT環(huán)境和業(yè)務(wù)變化，并可應(yīng)對(duì)專業(yè)組織化的高級(jí)攻擊行為為目標(biāo)。

所以，企業(yè)對(duì)安全防護(hù)的規(guī)劃設(shè)計(jì)上需要前瞻性地脫離對(duì)基礎(chǔ)設(shè)施的依賴，防護(hù)能力要從物理層上升到業(yè)務(wù)邏輯層次，這樣才能很好地應(yīng)對(duì)未來(lái)的安全挑戰(zhàn)。

在實(shí)際操作中，如何將安全專家的經(jīng)驗(yàn)和實(shí)施自動(dòng)化，是企業(yè)安全產(chǎn)品的一個(gè)核心課題。目前最佳解決方法是“人機(jī)協(xié)作”，在幫助安全專家從繁瑣低級(jí)工作中解放出來(lái)的基礎(chǔ)上，提供給他們智能的機(jī)器學(xué)習(xí)系統(tǒng)，用于共同構(gòu)建業(yè)務(wù)的正常行為模式，包括梳理業(yè)務(wù)單元、行為模式、訪問關(guān)系、設(shè)置行為錨點(diǎn)等，這樣的積累梳理將真正構(gòu)建企業(yè)安全以數(shù)據(jù)驅(qū)動(dòng)的強(qiáng)大能力。

其次，可度量、可視化的安全是未來(lái)安全的發(fā)展趨勢(shì)。

企業(yè)安全的工作成績(jī)和效果如何考量?是安全團(tuán)隊(duì)發(fā)展和管理的一個(gè)重要問題。當(dāng)安全團(tuán)隊(duì)內(nèi)外，特別是上級(jí)管理部門都不能清晰感知安全工作的效用時(shí)，企業(yè)安全的發(fā)展必然非常緩慢。

目前很多企業(yè)產(chǎn)品都意識(shí)到這一點(diǎn)，并紛紛構(gòu)建基于風(fēng)險(xiǎn)指數(shù)的管理視圖，綜合外部威脅情報(bào)、內(nèi)部風(fēng)險(xiǎn)薄弱點(diǎn)評(píng)估、核心資產(chǎn)價(jià)值評(píng)估、安全資源等多個(gè)因素形成全局報(bào)表，并呈現(xiàn)出可衡量、具備指導(dǎo)性的風(fēng)險(xiǎn)指數(shù)和改善建議。

目前，國(guó)內(nèi)由于法律法規(guī)不夠健全，所以企業(yè)通常沒有動(dòng)力主動(dòng)公布相關(guān)安全事件，所以網(wǎng)絡(luò)和信息安全方面的保險(xiǎn)相對(duì)落后。除了金融、運(yùn)營(yíng)商、政府和能源等行業(yè)的大型企業(yè)有安全需求外，很多中小企業(yè)沒有部署安全產(chǎn)品或安全機(jī)制，出現(xiàn)安全事件后沒有較大損失，更沒有動(dòng)力去談網(wǎng)絡(luò)保險(xiǎn)。相信如果《網(wǎng)絡(luò)安全法》正式頒布后，特別是諸如“及時(shí)向用戶告知安全缺陷、漏洞等風(fēng)險(xiǎn)”等條款的執(zhí)行，會(huì)推動(dòng)企業(yè)重視自身的安全保障。此時(shí)，安全廠商的安全產(chǎn)品和保險(xiǎn)公司的網(wǎng)絡(luò)保險(xiǎn)，可共同提供技術(shù)和資金上的保障，使企業(yè)更愿意在安全防護(hù)方面投入。

最后需要強(qiáng)調(diào)一點(diǎn)，雖然作為企業(yè)安全防護(hù)的最后一道防線，網(wǎng)絡(luò)保險(xiǎn)可以避免企業(yè)造成巨大的損失，但應(yīng)該要意識(shí)到保險(xiǎn)本身不是萬(wàn)能的，

如網(wǎng)絡(luò)保險(xiǎn)不能解決如信譽(yù)受損、未來(lái)營(yíng)收受影響內(nèi)部系統(tǒng)需改進(jìn)，以及知識(shí)產(chǎn)權(quán)丟失這些問題。所以采購(gòu)安全產(chǎn)品，部署安全方案，使用安全服務(wù)，還是企業(yè)在安全防護(hù)方面應(yīng)該考慮的第一要素。