保險事業發展中心董事長桂先農表示,企業資料安全的責任應該由企業自行負擔,資安險只是在於損害填補,彌補無法預料的資安威脅,而不是都是倚賴資安險來做資安防護,企業在正常商業活動中,仍需架構足夠的資訊安全防護機制。 (攝影/洪政偉)

自從勒索蠕蟲WannaCry在今年5月重擊全球,各國企業資訊系統遭勒索加密,無法繼續執行業務頻傳,造成企業重大損失後,資安險議題在臺灣又被炒熱,大家又重新關注資安險,但熱度高、買氣低,2017年總共也只有40筆資安險保單,還比去年減少了33張。

雖然臺灣目前現行有個人資料保護法和刑法電腦犯罪專章等法律,要求企業重視資料方面的安全防護,但購買資安險的企業未增反減。過去曾從事金管會副主委,目前擔任保發中心董事長桂先農表示,臺灣訂定這些法規僅確認資安事件發生後的法律責任,而沒有從資安風險角度檢視臺灣整體企業面臨資安威脅的情況。

過去,關於資安方面的風險較不受到保險公司重視,桂先農解釋,資安風險在傳統商業責任險保單中都是除外不保。但是,現在企業執行任何作業都跟資訊科技息息相關,許多企業一旦受到網路攻擊造成資料外洩的情形,不僅業務作業被迫中斷,財物受到損失之外,更嚴重會影響企業的商譽,因此桂先農認為,現在推動資安險已經不是合宜性的問題,而是思考如何發展資安險。

政府需要求企業定期揭露資安現況

桂先農指出,企業資料安全的責任應該由企業自行負擔,資安險只是在於損害填補,彌補無法預料的資安威脅,而不是都是倚賴資安險來做資安防護,企業在正常商業活動中,仍需架構足夠的資訊安全防護機制。

企業資安風險無所不在,任何時間都可能遭到駭客攻擊,一方面,資安險能提供損害防阻服務功能給企業,可以災害發生前預防損失的發生與損失金額的擴大,甚至在災害當下,資安險也能夠執行緊急應變處理,協助企業恢復正常運作。另一方面,企業投保資安險如同取得安全保證書,消費者在投資該企業之前的參考依據,認定該企業有能力防護資料,也有能力在災害發生後有能力處理,對企業來講是加分的效果。

然而,除了臺灣多數企業尚未投保資安險外,也無法得知該企業資安建置現況。桂先農認為,陽光是最好的防腐劑,政府應該要求公開發行公司定期揭露資安險承保範圍,承保金額,以及資安措施等,才會引起投資者注意企業是否擁有足夠保險保障及資安等級,進一步督促企業需要購買足夠、合理的資安保險。

不僅如此,每個資安公司定義資安等級的條件不同,造成資安等級無法統一,影響保險公司評估企業可承保之資安風險,以及所具備的資安防護強度。桂先農為此提出臺灣需要建立第三方資安認證機構,才能夠進行風險辨識、量化與風險定價,保險公司必須採用客觀的標準,來評估企業的資安防護強度,以便正確計算保費。

桂先農舉例說明,從資料毀損觀點來談,有的企業導入ISO 27001國際標準的資安管理制度並且通過驗證,但有的企業自行建立資安管理制度,並未由第三方機構來認證,兩者對於資料毀損的資安防護強度不同。

資安險能夠降低企業資訊安全不確定風險之外,桂先農表示,資安險出現能夠促進資安產業及保險產業發展,不僅能夠降低社會風險,也可以減少資安事件發生的政府財政負擔,更可以增加國內就業機會,政策性推廣資安險也會產生企業、資訊產業、保險產業和政府四贏的機會。

熱門新聞

Advertisement