政治大學風險管理與保險系教授林建智強調,資安險不是銀行、電商或科技公司等擁有大量客戶資料,以及使用資訊科技比例較重的產業所專屬,各行各業都會面臨資安風險。(攝影/洪政偉)

去年一銀ATM遭駭事件發生之前,誰能料想得到位處英國倫敦分行的電話錄音伺服器,竟然化身為駭客盜取ATM鈔票的控制臺,打破了銀行長期認為,採用較封閉金融系統不易遭入侵的神話,過去一直被當作資安模範生的一銀,瞬間失去了人民的信任。「企業一旦有資安事件爆發出來,損失都會很嚴重,企業是否要想辦法管理企業可能面對的風險,管理之後如果還有疏漏、不足之處就需要靠保險轉嫁出去。」政治大學風險管理與保險系教授林建智表示。

林建智談到,金融業一直存在著一個迷思,認為金融業的資訊系統已經擁有很強的資安防護,但是他總是帶著質疑的心態詢問金融業者:「你的防護真的很強嗎?可以達到滴水不漏的強度嗎?」。他提到,在尚未爆發資安事件之前,銀行業者都信心滿滿肯定自家的資安防護,但發生資安事件之後,才發現原來還有過去從未發現的漏洞。

保險主要核心概念是風險管理,林建智認為,資安險不是萬能,前提是企業要先做資安方面的風險管控和緩解措施,降低資安意外發生的頻率與幅度,亦即保險業常說的損害防阻,「保險公司主要是幫忙檢驗,企業損害防阻做得如何,如果真的漏洞還是出去的話,企業造成的損失,保險公司才能依照約定再補給受影響企業。」

另外,林建智舉例指出,他在英國參加會議聽到,許多會計事務所宣稱投資大量經費來建置自動化措施,為企業帶來便利性、節省經費等好處,但他會進一步詢問:「員工會不會用USB把資料下載出去?或者是駭客是不是很容易利用員工配備的iPad和筆電入侵至公司內部?這些設備是不是容易造成資料的流出?」企業運用這些新的資訊技術同時,也帶來新的資安風險因子。

但是,資料是無形的事物,所以資安風險與其他險種,如火險、水險等災害險相比,難以直接利用實際物品來評估風險,但林建智認為,雖然資料是看不見的事物,但仍然可以利用其他方式,來評估資安風險,他舉例解釋:「我們不需要資料本身有多少錢,但我們應該談的是,我們擁有這些資料,一天能夠做多少生意,這就能夠推估這些資料外洩的話,企業會損失多少錢。」

不僅如此,林建智也利用企業發生資料外洩後,可能遭到罰鍰的罰金來評估資安風險。例如,歐盟GDPR和臺灣個資法針對資料外洩的罰金就是具體的數字,這些數字就可以做為參照的風險評估。另外,他也表示,訴訟損失和律師費用也能成為企業評估目前資安風險的方式。

因此,林建智認為,企業需要在購買資安險之前,必定要先了解企業本身存在的風險,甚至還進一步表示:「只要企業風險管理建立完善,企業也不需要把資源配置在保險,有漏洞時候再買就好。」

然而,林建智強調,資安險不是銀行、電商或科技公司等擁有大量客戶資料,以及使用資訊科技比例較重的產業所專屬,各行各業都會面臨資安風險。例如,保險公司與醫院也儲存了客戶的醫療資料,一旦受到駭客攻擊而造成網路癱瘓,醫生無法利用病人過去醫療紀錄,來做正確的診斷,「這不僅僅是客戶個資隱私的保護,而是真正在營運上的重要資料流失了。」

林建智認為,企業如果要降低受到網路攻擊得損害,關鍵仍然是企業願不願意積極管理企業存在的資安風險,如何分配適當地分配企業的風險控管,這也是企業設置風險長(CRO)的目的。

資安風險中的隱性風險

企業面對資安風險,不僅是針對企業資訊系統運作上的損害來思考,林建智指出,資安風險裡面隱藏著無聲、隱性的其他風險,資安風險也會連動其他風險的發生。例如,他談到,企業如果發生資安事件,也會影響到,近日保險公司積極推動的董監事責任險(DMO),因為投資者可以控告企業「因為公司在資安管理不當,這是上位者的監督不周」。

換言之,資安風險增加,也帶動了董監事責任風險揭露的增加。林建智表示,這就屬於沉默風險。除此之外,資安風險增加也會帶來航空風險的增加,例如駭客入侵了飛航系統,造成飛機失控亂飛,也間接造成航班大亂、營業中斷和商譽損失,更帶來企業損害賠償增加。所以,企業發生資安事件,同時也揭露了企業內部管理的失當。

國外資安險內容照單全收,不一定適合臺灣企業

資安險還有另一個潛在問題,雖然臺灣不少保險公司都開始提供資安險,但這個資安險對臺灣企業而言仍是新興險種,一開始也大多由外商保險公司引進,目前,大部分保單都是直接移植國外資安險的內容,林建智指出:「一方面,資安風險態樣過於複雜,目前資安險太多不保事項,造成企業認為,有保跟沒保一樣,另一方面,保險公司直接複製國外內容,保險公司也不清楚資安險內容。」

林建智表示,現在資安險很多都不是企業需求,企業用戶在資安方面需求可能有10項,但保險公司縮減到2、3項,而且還提供很多的但書,影響企業投資安險意願。他表示,「保險公司美其名是為企業提供資安保險,實際上保險公司不應該只保護自己。」

在這樣情況下,林建智認為,一旦出了資安事件後,保險公司與企業都各說各話,雙方都告上法院。他建議,保險公司必須清楚承保項目,一開始需要向企業表達準確。而且,在保費計算上面,保險公司不應該認為,當下剛好發生重大資安事件,就向企業亂喊高價,造成資安險無法客觀化。

所以,林建智認為,保險公司需要認知,資安險產品設計必須符合企業的要求,而且資訊科技發展迅速,資安險的保單內容也應該要與時俱進。

資安意識不足,也是風險管理觀念不足

目前,臺灣購買資安險企業不多,林建智認為:「這種情況也代表著臺灣資安意識,以及資安風險管理觀念普遍不足。」他表示,很多產業大多數都只意識到最明顯的風險,如金融機構重視洗錢造成的風險、旅遊業重視恐怖主義造成的飛航風險、能源業重視天災、氣候變遷的天氣風險,這些風險在這些產業都很顯著。但是,資安風險是每個企業都可能面臨風險,因為每個企業都使用資訊科技來執行業務,資安風險便隱藏在企業內部中,這些產業可能都沒有意識到資訊科技帶來的風險。

林建智表示,多數人通常都是在發生事情後,開始有風險管理的意識,也才想到需要投保相關保險。他舉出,臺灣很多農民的農作物在颱風期間受到嚴重毀損後,意識到需要為農作物來保險,才能索取理賠金,但是,在平常狀況下,大部分農民都認為這些保費太貴,不願意投保相關保險。

這種情況在資安險部分特別容易出現,林建智說明,企業主購買資安產品時都會考慮成本效益,但是資安上的投資無法實際看出來,企業經常認為,投資經費建置資安設備是浪費錢,因為長期以來都沒有資安事件發生,企業主也不清楚資安設備是否有用,而且每年又一直投資幾百萬元經費來維護,以及購買新的軟硬體。「更何況是保險,沒出險、沒事情發生,每年又要投資資安險保費,企業主也沒辦法看到實際成效。」林建智表示。

現在全球推行工業4.0理念,企業邁向數位化、網際網路化、自動化和無紙化的趨勢,企業也會把資料資訊化,以及加上物聯網、互聯網的發展迅速,風險也開始增加。

林建智認為,雖然現在臺灣資安險保單尚未成熟,但是隨著網際網路重要性越來越高時,資安風險面向越來越廣時,企業肯定有資源來投保資安險,對資安險未來趨勢仍採取樂觀態度。


Advertisement

更多 iThome相關內容