資料來源:保發中心,iThome整理製表,2017年9月

去年7月第一銀行總共41臺自動提款機遭植入木馬程式,駭客在英國利用遠端控制程式,竊取了超過8千萬元的用戶存款,這是臺灣近年來竊賊利用網路工具,鎖定銀行系統來發動攻擊事件,損失最嚴重的一次。此外,今年2月,臺灣首次發生13家證券商的下單系統遭DDoS攻擊,導致當天營運服務中斷,影響了206億元交股票交易安全。

甚至今年5月,勒索蠕蟲WannaCry襲擊全球企業資訊系統和個人電腦,造成全球約80億美元的損失,臺灣成為了駭客攻擊目標,包括臺電行政電腦、牙醫診所電腦、學校電腦,甚至恩主公醫院行動醫療車電腦等都遭到勒索攻擊,造成臺灣民眾人心慌慌,深怕下一個中招就是自己。

全球開始重視個資防護,2018年歐盟將推出個資保護規範

在大部分企業都在戒慎恐懼的同時,沈睡已久的資安險突然又受到關注,保險業者和國內媒體開始探討企業投資資安險的重要性,甚至保發中心董事長桂先農也強調,政府應該要政策性推動資安險,促成每家企業都能夠重新檢視企業內部資安狀況,並且投保資安險來取得保障。

尤其是臺灣近來資料外洩事件、詐欺事件、駭客入侵的新聞不斷,其中旅遊業和電商經常受到駭客攻擊,造成客戶名單外洩,大部分民眾個資恐早在暗網市場不斷流竄,同時也造成駭客為此來謀取利益。

除此之外,2015年政府修正新的個人資料保護法,強調資料保護的重要性,也懲罰企業發生資料外洩事件時,需要繳交罰款來警惕企業未善盡資料保護的責任。

更重要的是,歐盟即將在2018年頒布資料保護規範(General Data Protection Regulation,GDPR),強調歐盟國家內任何一位公民資料外洩出去,就需要立即通報,否則罰款該企業在全球總交易額4%,或者是2,000萬歐元(約新臺幣7億元)。這項規範正式頒布後,衝擊最大是跟歐盟國家有進行貿易交流的臺灣跨國企業。

如此天價的罰款金額,恐怕會造成很嚴重的損失,企業也需要重視資料的保護。美國國際產險(AIG)總經理林建忠認為,GDPR規範出來後,會提高大家對於資安險的了解,甚至有部分公司會開始建立資料保護長(Data Protection Officer,DPO),來強化企業從事敏感資料的防護。

現在,不只歐盟針對資料保護頒布相關規範,連已經脫離歐盟的英國也頒布了個資法,比較歐盟GDPR規範來制定。所以,現在全球各國都開始重視個資的防護。

駭客行為從竊取資料轉變中斷營運

趨勢科技臺灣暨香港區總經理洪偉淦指出,過去駭客為了在駭客圈能夠打響名氣,才發動網路攻擊,但近年來駭客發現了新的獲利模式,已經改變了駭客行為,加上全球經濟環境不景氣影響,越來越多人開始擔任駭客來賺錢,也造成網路勒索攻擊不斷出現新的手法。

而且,洪偉淦進一步強調,現在駭客攻擊目的逐漸轉向讓企業營運中斷,而不再只是竊取資料,因為竊取資料僅鎖定擁有大量資料的企業,但是營運中斷則沒有任何限制,駭客能瞄準任何公司發動DDoS攻擊,癱瘓公司的網路系統,中斷正常服務來勒索。

今年6月勒索軟體Petya攻擊歐洲多個國家,不僅廣告業者受到攻擊,丹麥最大貨櫃海運公司快桅集團、日本本田汽車工廠也遭受到嚴重攻擊,這種現象能夠說明,任何產業都會是駭客攻擊的目標。一旦企業因受網路攻擊而造成營業中斷,損失了交易金額。

資安險沉寂30年再度被喚醒

臺灣資安險概念早就在1987年就已經出現,當時臺灣產險公會鎖定金融機構研發資安相關保險產品,並且由臺產提供,2016年為了順應目前科技的發展,引用美國電子犯罪險的內容,升級改良原有的保單,針對駭客入侵銀行系統而造成資產損失,可以提供保險轉嫁,訂名為「資訊系統不法行為保險」。

另外,2015年臺灣修正「個人資料保護法」後,保險公司也順勢開發了「個人資料保護險」,減緩企業遭受網路攻擊時,造成資料外洩而造成的損失。另外,保險公司也提供「資料及網路錯誤或疏漏責任保險」,可以補償企業服務中斷造成的損失。

然而,臺灣企業購買資安險數量仍然處於低迷狀態,根據保發中心提供資料顯示,2016年企業購買資料保護保險數量只有41筆、購買資料及網路錯誤或疏漏責任保險有32筆,以及購買資訊服務業專業責任保險有66筆,總共有139筆。另外,在2017年企業購買資料保護保險有19筆、購買資料及網路錯誤或疏漏責任保險有19筆、購買資訊系統不法行為保險企業有2筆,以及資訊服務業專業責任保險有75筆,全部總共也只有115筆。

全臺上市上櫃公司數量超過1,500家,但購買資安險企業卻不到7%,企業似乎還不願意買資安險的單。近日剛從倫敦參加保險會議的政治大學風險管理與保險系教授林建智認為,除了國際化程度高的新加坡、香港地區外,亞洲國家在資安意識方面比較薄弱,在歐洲國家,保險公司經常在會議上提供資安險理賠個案來討論。

然而,林建忠指出,目前全球資安險市場一年高達30到35億美元(約新臺幣907億元到1,058億元),一年保費收入大約是13.5億美元(約新臺幣408億元)。他認為,雖然現在資安險與其他險種相比較,還是屬於偏低的情勢,但是未來2020年資安險市場可能會增加到70億美元(約新臺幣2,117億元)。

而在亞洲,新加坡、香港和日本資安險推動情況都很順利,其中日本企業在2016年承保情況,與2015年相比已經成長了3倍,反映出其他亞洲國家對資安險需求仍持續增加。

雖然,臺灣過去30年也曾推出電子電腦犯罪險,但是經過不斷修正後,在今年改變資訊系統不法行為險,而且再加上跨國保險公司在近年來才剛從美國引進了個人資料保護險,資安險仍是新興險種,還有很大空間能夠修正開發,林建智認為,臺灣在開發和移植資安險的時間確實比較慢,相較歐美國家對資安險發展成熟度已經進入高中、大學階段,臺灣仍然還處於牙牙學語、幼稚園階段。

當一個新興產業在發展時候,必然產生出新興的風險,同時該產業的風險管理和保險需求也應運而生,對此,林建智針對臺灣資安險發展也抱著樂觀想法表示,隨著科技進步,資安風險會更顯著,資安風險管理重要性也會共同凸顯出來。

儘管,資安險推動時間已經有一陣子,無論是全球或臺灣購買資安險風氣不盛,但是,近年來全球網路攻擊規模逐漸擴大,甚至掃到臺灣企業,再加上各國或跨國組織也重視個人資料保護的概念,開始訂定了相關的規範,以及高額的罰款來保護資料。

這些因素讓資安險議題再度燃起,促使各國再度重視資安議題,加強資安意識,企業也必須開始了解資安風險管理的概念,保障企業受攻擊造成服務中斷,還有能力恢復企業運作,以及向投資者顯示出該企業擁有負責保護個資的能力。

資安險不單單只是風險轉嫁概念,更重要的是企業對資安意識重視程度,企業願意投資資安險,也代表該企業願意付出經費來建立資安建置。


Advertisement

更多 iThome相關內容