美国网络安全保险公司 Resilience 的首席风险官 Michael Phillips 表示:“网络保险行业不仅仅是发现关键基础设施方面的网络风险,我认为,市场对系统性网络风险和关键基础设施风险的理解更加生动,现在是时候了。”
美国政府问责局上个月的一份报告显示,这一挑战让决策者想明确政府是否以及何时应该干预自己的保险形式。
(资料图片)
报告指出:“美国财政部的联邦保险办公室 (FIO) 和国土安全部的网络安全和基础设施安全局 (CISA) 都已采取措施了解日益增长的网络安全风险对财务的影响。” “然而,他们没有评估灾难性网络事件和潜在金融风险对关键基础设施造成的风险在多大程度上需要联邦保险应对。”
但正如数十年的网络保险行业研究表明的那样,想出这些答案并不容易。
“网络行业的第一个问题是过去不一定能预测未来。”
MONICA SHOKAI,GOOGLE CLOUD 商业风险和保险主管
不可预测的市场
至少从 2000 年代初开始,网络安全保险就以某种形式存在。该报道最初是作为处理网络安全问题的一种手段,例如数据泄露以及可能随之而来的诉讼和监管处罚。
这种情况在 2017 年发生了迅速变化,当时WannaCry和NotPetya攻击显示了网络攻击可能以多快的速度在全球范围内产生巨大的后果。然后是该行业的另一个危机时刻:勒索软件攻击迅速增加,勒索软件需求增加,包括对美国燃料供应商 Colonial Pipeline 的高调勒索软件攻击。
这两个转折点都暴露了该行业长期存在的问题。
“网络行业的第一个问题是过去不一定能预测未来,”谷歌云业务风险和保险负责人 Monica Shokrai 说。
大多数类型的保险,例如汽车保险,都依赖先前的数据来预测未来的风险。
另一方面,网络安全保险分析师正面临着快速变化的威胁形势,因此很难知道公司在未来一年将面临什么样的风险。以过去几年勒索软件攻击的迅速增长为例。大量高成本理赔令业界措手不及,导致保费飙升和承保范围减少。
当勒索软件和其他攻击袭击关键基础设施时,评估风险变得更加困难。
“公共部门和私营部门对关键基础设施的系统性风险和网络风险没有足够成熟的看法,”菲利普斯说。
魔鬼在数据中
专家说,部分问题在于获得好的数据来建立精算模型。网络事件通常未被报告,并且没有来自行业或政府的全面数据集。今年早些时候通过的一项法律要求关键基础设施所有者和运营商向国土安全部的网络安全和基础设施安全局报告事件可能会有所帮助,但至少要再过两年才能生效。
还有一些私营部门的举措也在寻求解决数据差距。CyberAcuView 是一个由 20 名成员组成的全球网络保险公司联盟,于去年成立,旨在汇集数据和经验,以解决评估系统性风险等行业问题。
政府应该干预吗?
一些针对网络援助的联邦保险已经存在。恐怖主义风险保险计划 (TRIP) 成立于 2002 年,旨在承保恐怖主义行为,涵盖“具有暴力或胁迫性质”的网络安全事件。
专家说,这种保险不足的部分原因是没有明确定义适用哪种网络攻击。
相反,保险公司留下了“一种模糊的感觉,如果发生真正灾难性的网络攻击,联邦政府可能会为保险提供一些支持,但没有政府定义其参数是什么,”约瑟芬沃尔夫说,塔夫茨大学网络安全政策副教授。
由于政府审计员现在要求 CISA 和 FIO 向国会报告联邦政府是否应该建立一个联邦资助机制作为该行业的支持,专家们希望政策制定者不要犯同样的错误。
保险公司表示,一个好的第一步是让政府更清楚地定义关键基础设施的含义。专家说,如果没有这种指导,行业就很难知道如何对政策进行限制。
即使定义了高风险场景,保险公司应该执行的最低标准也并不总是很明确。专家说,政府对网络安全标准的更多指导也可能有所帮助。
德勤网络风险服务负责人 Sharon Chand 表示:“保险公司或其他公司依赖的许多传统评估技术尚未出现在这些关键基础设施提供商中的一些将依赖的运营技术领域。” 因此,更难评估“采取哪些措施来防范一些高优先级的网络威胁情景”。
CyberAcuView 的首席执行官 Mark Camillo 表示,私营部门准备采取其他方式。他建议,例如,市场可以通过引入投资者支持的证券来增加容量。“我们希望尽我们所能,然后我们可以研究其他类型的公私合作伙伴关系来弥补其中的一些差距。”
来源:https://www.cyberscoop.com/cyber-insurance-gao-critical-infrastructure-ransomware/