資料來源:AIG、臺產,iThome整理製表,2017年9月

資安公司既然已經協助企業建置資安相關設備和措施,來防護已知與未知的資安威脅,以及提供專業資安服務,然而,保險公司提供資安險內容是什麼,能夠補救企業何種損害呢?政治大學風險管理與保險系教授林建智認為,資安險是企業的後層防護,企業資訊部門已經在前端建置資安防護後,仍然出現資安漏洞,才需要來做資安險。

此外,保險事業發展中心董事長桂先農也談到,資安險一方面是損害填補,資安險提供補償企業因為資安事件發生而遭受的財物損失,另一方面是損害防阻,亦即企業透過保險機制的運作,不僅在資安事件發生之前能夠預防損失的發生,以及預防企業資產損失擴大。資安險能夠為企業取得緊急應變的費用,來補償資安損失,以利企業可以快速恢復營運。

目前在臺灣,保險公司提供了4項資安險的險種,包括資料保護保險、資料及網路錯誤或疏漏責任保險、資訊系統不法行為保險和資訊服務業專業責任保險,其中前三項主要是企業發生資安事件時,保險公司能夠轉嫁企業損失,以及提供理賠服務的險種,最後一項則是針對資訊人員因為作業疏失,而遭他人提出損失賠償,保險公司可以彌補相關損失的險種。

資安險能理賠行政罰鍰、名譽修復費用和調查費用

臺灣在2015年修正個資法後,保險公司也推出資料保護保險,著重在企業發生資安事件後,能夠提供第三責任賠償,其中也包含資料外包廠商。美國國際產險(AIG)總經理林建忠表示,因為美國比其他國家還著重隱私權,政府和企業也重視資料防護概念,美國各州還要求,企業發現資料外洩情形就需要立即通知客戶,所以他吸取了美國經驗,直接引進了美國資料保護保險的保單內容。

根據林建忠提供該公司資安險資料指出,目前AIG提供資料保護保險平均一年保費為大約落在151,310元至181,572元之間,一年一次會重新評估該公司目前的資安狀況。他進一步強調,因為目前使用人數不多,全臺也30多家客戶,但保費評估應該是要根據承保企業產業類別、承保範圍、規模大小和企業對資安控管程度等項目去評估,保費差異會很大。

至於資料保護保險能夠承保企業的那些資安風險,以及提供保險服務?根據AIG保單內容表示,資料保護保險承保事項分為3大類,分別是資料責任、資料管理和名譽修復。首先資料責任更細分為,個人資料責任、公司資訊責任、委外責任、資料安全責任,以及抗辯費用的理賠。

第二、保險公司能夠針對企業發生資料外洩事件後,企業因為調查資安事件,聘請法律諮詢及委任律師代理產生的費用來協助支付,而且企業不需要支付自負額,全由保險公司支付。此外,企業因資料外洩而遭到主管機關罰緩,保險公司也能夠理賠部分罰鍰。

第三、名譽修復方面,企業因資料外洩事件造成企業名譽損傷和個人名譽損傷,保險公司可以聘請專業公關顧問來尋求協助,其產生的費用能透過保險公司來支付。

另外,企業通知及監控費用、電子資料修復費用,以及鑑識服務費用等,也在保險公司能夠理賠條件範圍內。其中見識服務理賠條款中強調,企業聯繫鑑識顧問後24小時內需要通知保險公司,否則保險公司不負保險給付之責任。

而且,根據上述保單內容資安險牽涉面向很多,保險公司不是只有提供理賠服務,還有其他修復服務,林建忠表示,保險公司在資安險方面安排6種外部的專業團隊,包括資安公司、公關公司、法律顧問、資訊公司、鑑證公司和教育團隊。資安團隊負責為企業在投保資安險之前做資安健檢,以及資安事件後的檢測評估,公關公司負責與對外溝通和對主管機關協調,法律顧問則是提供資安相關法律諮詢,甚至擔任訴訟律師,資訊公司則是負責企業發生資安事件後的修復重建,鑑證公司即是擔任資安鑑定工作,以及教育團隊會提供公關課程、資安課程來協助企業強化相關知識。

資料保護保障險在臺灣是新興險種,林建忠解釋,企業如果要續保資料保護保障險,保險公司每一年都會去評估企業當下資安情況,如過去一年發生資安事件次數,資安措施建置程度等來調整保費費用,但如果過去一年該企業發生過多資安事件,保險公司會拒保。

銀行業綜合保單只針對內部員工疏失造成損害來理賠,資料系統不法行為保險則針對外來者經由資訊系統不法入侵來理賠,兩者結合相輔相成。——臺灣產物保險副總經理謝宏智

資料系統不法行為保險著重金融機構自身財產損失

今年資安險增加了資料系統不法行為保險,參照國外的電子及電腦犯罪險來修改,這款保險主要關注企業自身資產的損失,特別是指金錢方面損失,所以目前在臺灣只有限制金融機構能夠投保,而且全臺灣只有臺灣產物保險(簡稱臺產)提供,臺灣產物保險副總經理謝宏智解釋,由於臺產過去就專門是關注公營銀行的保險公司,臺產原先提供保險的承保範圍,僅限於銀行內部員工疏失而造成損害的賠償,但沒有關注外來入侵銀行內部的保險,所以開發資料系統不法行為保險來彌補電腦犯罪險這一塊。

謝宏智指出,去年孟加拉央行竊盜案是資料系統不法行為保險在臺灣最主要推出的動機,過去都認為銀行機構都採用封閉資訊系統,不容易出現駭客入侵的情況,但是孟加拉央行事件爆發後,才發現銀行系統也不是滴水不漏,也有被攻破的風險。

資料系統不法行為保險主要承保範圍有8大項目,包含資訊輸入竄改或銷毀、電腦指令之偽造或變造、電子資訊及媒體之毀損滅失、電子訊息之誤傳或竄改、資訊系統服務之失誤、電子傳送之導誤,電腦病毒侵害,以及口頭撥款指令之偽造。謝宏智強調,資料系統不法行為保險不同於資料保護保險,資料保護保險著重在資料不當使用,或不當利用造成名譽上損失,但不見得在資產上也有損失,但是資料系統不法行為關注金融機構資產上的損失。

很多人認為DDoS攻擊事件造成銀行業務中斷屬於資料系統不法行為保險內容,但謝宏智進一步表示,DDoS攻擊癱瘓銀行系統屬於附帶損失,則不是屬於直接財產損失,所以無法適用在資料系統不法行為保險,則是歸類在資料及網路錯誤或疏漏責任保險方面。另外,駭客向金融機構提出勒索金額也不適用在該保單內。

根據謝宏智證實,臺產目前只有第一銀行投保資料系統不法行為保險,這張保費一年需繳7、800萬元,當一銀發生駭客攻擊事件造成資產損失時,雖然一銀得到最高理賠金1.5億元,但是一銀需要支付10%自負額,其90%才由臺產負擔。他強調,自負額比例並不是固定不變,保險公司會評估被保險人狀況來設定,也會尊重被保險人的評估,被保險人自負額比例越高,保費明顯也越低。


Advertisement

更多 iThome相關內容