【學界觀點】企業要先落實資安，才需用資安險轉嫁風險

去年一銀ATM遭駭事件發生之前，誰能料想得到位處英國倫敦分行的電話錄音伺服器，竟然化身為駭客盜取ATM鈔票的控制臺，打破了銀行長期認為，採用較封閉金融系統不易遭入侵的神話，過去一直被當作資安模範生的一銀，瞬間失去了人民的信任。「企業一旦有資安事件爆發出來，損失都會很嚴重，企業是否要想辦法管理企業可能面對的風險，管理之後如果還有疏漏、不足之處就需要靠保險轉嫁出去。」政治大學風險管理與保險系教授林建智表示。

林建智談到，金融業一直存在著一個迷思，認為金融業的資訊系統已經擁有很強的資安防護，但是他總是帶著質疑的心態詢問金融業者：「你的防護真的很強嗎？可以達到滴水不漏的強度嗎？」。他提到，在尚未爆發資安事件之前，銀行業者都信心滿滿肯定自家的資安防護，但發生資安事件之後，才發現原來還有過去從未發現的漏洞。

保險主要核心概念是風險管理，林建智認為，資安險不是萬能，前提是企業要先做資安方面的風險管控和緩解措施，降低資安意外發生的頻率與幅度，亦即保險業常說的損害防阻，「保險公司主要是幫忙檢驗，企業損害防阻做得如何，如果真的漏洞還是出去的話，企業造成的損失，保險公司才能依照約定再補給受影響企業。」

另外，林建智舉例指出，他在英國參加會議聽到，許多會計事務所宣稱投資大量經費來建置自動化措施，為企業帶來便利性、節省經費等好處，但他會進一步詢問：「員工會不會用USB把資料下載出去？或者是駭客是不是很容易利用員工配備的iPad和筆電入侵至公司內部？這些設備是不是容易造成資料的流出？」企業運用這些新的資訊技術同時，也帶來新的資安風險因子。

但是，資料是無形的事物，所以資安風險與其他險種，如火險、水險等災害險相比，難以直接利用實際物品來評估風險，但林建智認為，雖然資料是看不見的事物，但仍然可以利用其他方式，來評估資安風險，他舉例解釋：「我們不需要資料本身有多少錢，但我們應該談的是，我們擁有這些資料，一天能夠做多少生意，這就能夠推估這些資料外洩的話，企業會損失多少錢。」

不僅如此，林建智也利用企業發生資料外洩後，可能遭到罰鍰的罰金來評估資安風險。例如，歐盟GDPR和臺灣個資法針對資料外洩的罰金就是具體的數字，這些數字就可以做為參照的風險評估。另外，他也表示，訴訟損失和律師費用也能成為企業評估目前資安風險的方式。

因此，林建智認為，企業需要在購買資安險之前，必定要先了解企業本身存在的風險，甚至還進一步表示：「只要企業風險管理建立完善，企業也不需要把資源配置在保險，有漏洞時候再買就好。」

然而，林建智強調，資安險不是銀行、電商或科技公司等擁有大量客戶資料，以及使用資訊科技比例較重的產業所專屬，各行各業都會面臨資安風險。例如，保險公司與醫院也儲存了客戶的醫療資料，一旦受到駭客攻擊而造成網路癱瘓，醫生無法利用病人過去醫療紀錄，來做正確的診斷，「這不僅僅是客戶個資隱私的保護，而是真正在營運上的重要資料流失了。」

林建智認為，企業如果要降低受到網路攻擊得損害，關鍵仍然是企業願不願意積極管理企業存在的資安風險，如何分配適當地分配企業的風險控管，這也是企業設置風險長（CRO）的目的。

資安風險中的隱性風險

企業面對資安風險，不僅是針對企業資訊系統運作上的損害來思考，林建智指出，資安風險裡面隱藏著無聲、隱性的其他風險，資安風險也會連動其他風險的發生。例如，他談到，企業如果發生資安事件，也會影響到，近日保險公司積極推動的董監事責任險（DMO），因為投資者可以控告企業「因為公司在資安管理不當，這是上位者的監督不周」。

換言之，資安風險增加，也帶動了董監事責任風險揭露的增加。林建智表示，這就屬於沉默風險。除此之外，資安風險增加也會帶來航空風險的增加，例如駭客入侵了飛航系統，造成飛機失控亂飛，也間接造成航班大亂、營業中斷和商譽損失，更帶來企業損害賠償增加。所以，企業發生資安事件，同時也揭露了企業內部管理的失當。

國外資安險內容照單全收，不一定適合臺灣企業

資安險還有另一個潛在問題，雖然臺灣不少保險公司都開始提供資安險，但這個資安險對臺灣企業而言仍是新興險種，一開始也大多由外商保險公司引進，目前，大部分保單都是直接移植國外資安險的內容，林建智指出：「一方面，資安風險態樣過於複雜，目前資安險太多不保事項，造成企業認為，有保跟沒保一樣，另一方面，保險公司直接複製國外內容，保險公司也不清楚資安險內容。」

林建智表示，現在資安險很多都不是企業需求，企業用戶在資安方面需求可能有10項，但保險公司縮減到2、3項，而且還提供很多的但書，影響企業投資安險意願。他表示，「保險公司美其名是為企業提供資安保險，實際上保險公司不應該只保護自己。」

在這樣情況下，林建智認為，一旦出了資安事件後，保險公司與企業都各說各話，雙方都告上法院。他建議，保險公司必須清楚承保項目，一開始需要向企業表達準確。而且，在保費計算上面，保險公司不應該認為，當下剛好發生重大資安事件，就向企業亂喊高價，造成資安險無法客觀化。

所以，林建智認為，保險公司需要認知，資安險產品設計必須符合企業的要求，而且資訊科技發展迅速，資安險的保單內容也應該要與時俱進。

資安意識不足，也是風險管理觀念不足

目前，臺灣購買資安險企業不多，林建智認為：「這種情況也代表著臺灣資安意識，以及資安風險管理觀念普遍不足。」他表示，很多產業大多數都只意識到最明顯的風險，如金融機構重視洗錢造成的風險、旅遊業重視恐怖主義造成的飛航風險、能源業重視天災、氣候變遷的天氣風險，這些風險在這些產業都很顯著。但是，資安風險是每個企業都可能面臨風險，因為每個企業都使用資訊科技來執行業務，資安風險便隱藏在企業內部中，這些產業可能都沒有意識到資訊科技帶來的風險。

林建智表示，多數人通常都是在發生事情後，開始有風險管理的意識，也才想到需要投保相關保險。他舉出，臺灣很多農民的農作物在颱風期間受到嚴重毀損後，意識到需要為農作物來保險，才能索取理賠金，但是，在平常狀況下，大部分農民都認為這些保費太貴，不願意投保相關保險。

這種情況在資安險部分特別容易出現，林建智說明，企業主購買資安產品時都會考慮成本效益，但是資安上的投資無法實際看出來，企業經常認為，投資經費建置資安設備是浪費錢，因為長期以來都沒有資安事件發生，企業主也不清楚資安設備是否有用，而且每年又一直投資幾百萬元經費來維護，以及購買新的軟硬體。「更何況是保險，沒出險、沒事情發生，每年又要投資資安險保費，企業主也沒辦法看到實際成效。」林建智表示。

現在全球推行工業4.0理念，企業邁向數位化、網際網路化、自動化和無紙化的趨勢，企業也會把資料資訊化，以及加上物聯網、互聯網的發展迅速，風險也開始增加。

林建智認為，雖然現在臺灣資安險保單尚未成熟，但是隨著網際網路重要性越來越高時，資安風險面向越來越廣時，企業肯定有資源來投保資安險，對資安險未來趨勢仍採取樂觀態度。