保险业内大多数资产类别的数据可以追溯到几个世纪以前;然而,网络安全保险业仍处于初级阶段。由于勒索软件攻击、高度复杂的黑客和昂贵的数据泄漏事件不断增加,许多网络安全保险提供商开始感到害怕继续承保更多业务。
根据最近的路透社文章,总部位于伦敦的伦敦劳埃德公司已经劝阻其100个成员联合承保团体在2022年承保网络安全保险业务。考虑到伦敦劳埃德公司代表全球网络安全保险市场近五分之一的份额,这无疑是一则重大新闻。
在当前的远程工作环境中,网络攻击事件不断增加。大流行导致组织向远程工作模式的转变,也增加了网络风险。根据最近的一项研究,83%的IT专业人员认为远程工作者带来了增加的网络安全风险,而事实上,过去一年中网络攻击事件也有所增加。
根据最近的威胁报告,2021年第一季度的网络攻击较2020年同期增加了17%。不仅如此,组织更加脆弱,攻击者也变得更加复杂。所有这些因素使保险提供商感到不安。
保险费用、免赔额和合作保险都在上升。保险费用正在上升,损失率也在上升。在保险界,损失率是指已支付的损失与已赚保费的比例,通常以百分比表示。
今年8月,美国国际集团(AIG),美国第二大独立网络安全保险承保商,在全球范围内将其保费上调了40%,其中北美地区的保费上调最为显著。
保额在下降。虽然网络安全保险公司现在要收取比以往更多的保费,但他们也降低了愿意支付的金额。根据Optio保险的网络和技术部门负责人卡斯帕·斯托普斯的说法,保额已经下降了近一半;去年支付1000万英镑的公司今年只支付了500万英镑。
在与分析师的收益电话会议上,AIG首席执行官彼得·扎菲诺表示:“我们继续谨慎减少网络安全限额,以获取更严格的条款和条件,以应对不断增长的网络安全损失趋势、勒索软件威胁的上升以及网络风险的系统性特点。”合作保险——分散风险的方式,由客户和保险提供商共同承担——也变得越来越流行。
此外,保险公司正在发布新的排除条款。就在上周,伦敦劳埃德承保总监帕特里克·戴维森发布了新的网络战和网络行动排除条款,表示该保险集团将不再覆盖网络战争或“国家报复性攻击”。当然,攻击是否可以归因于国家可以是一个相当模糊的领域,这给了伦敦劳埃德很大的自由裁量权。可以说,这是一个相当不祥的发展,它表明网络安全保险提供商变得胆怯。
恶意行为者变得更加狡猾。勒索软件团体不再采取散弹式攻击,而是越来越多地进行有针对性的攻击。
历史上,这些团体更喜欢攻击医疗保健公司和市政机构,因为这些组织通常设有人手不足的IT部门;然而,这些目标通常也拥有较少的赔付资金。最近,勒索软件团体已将注意力转向制造业和其他行业。
这些恶意行为者通常对任何特定目标公司可以支付的金额有一个很好的了解。精明的网络犯罪分子可能正在进行社交工程攻击,以确定哪些公司购买了保险。毕竟,购买了保险的公司可能对恶意行为者特别有吸引力,因为这些公司很可能更愿意支付赎金。但需要说明的是,这并不是避免购买网络安全保险的理由。
展望未来,多年来,网络安全保险公司一直在享受保费上涨。事实上,根据美国保险专员协会的数据,自2015年以来,保费翻了一番,仅在2020年,保险公司就收取了315亿美元的保费。然而,时局正在发生变化。
不久的将来似乎将充满更多的风险评估过程、更低的赔付以及更高的保费。很可能我们将看到承保范围的收缩和限制,接着是保费结构的重组。当前我们从伦敦劳埃德公司及其他保险商那里所看到的恐慌情绪,最终将会减退。
拥有强大的网络安全基础设施至关重要。网络安全保险公司在承保之前会提出越来越多的问题。许多保险公司要求其客户采取特定的措施,如强制信息安全培训、公司范围的密码政策、所有关键访问点的双因素认证、频繁性数据备份、强化的补丁管理和强大的物理安全措施。一些保险公司甚至要求组织在提供保险覆盖之前安装足够的网络监控软件。
因此,鉴于网络安全保险承保标准正在迅速变化,拥有强大的网络卫生和适当的IT安全基础设施变得比以往更加重要。