圖片來源: 

iThome

隨著企業面臨的資安威脅態勢越來越險峻,一旦受到攻擊,就可能導致嚴重損失,因此,不少企業也開始尋求這種移轉風險的解決方案。在2019臺灣資安大會的議程中,首度有保險業者來談論對資安保險的看法,他們認為,雖然企業購買資安保險最主要的目的,是在於轉嫁資安風險所產生的損失,然而,就像車禍或是火災等事故,實際遭遇網路攻擊時,企業當下也可能會亂了陣腳,不曉得從何因應,因此,在資安保險的服務內容中,應該也要有相關的配套項目,以協助企業妥善處置所遭遇的事件。

許多一般市面上常見類型的個人保險,很多人即使在投保了之後,未必很清楚那些損失能夠得到理賠,又有什麼項目是保險公司不會受理的範圍。資安保險也可能會出現類似的現象,導致臺灣不少企業在精打細算之下,仍然抱持觀望的態度。在2019臺灣資安大會上,怡安保險(Aon)風險管理顧問香港區協理庾燕玲指出,大多數的資安保險涵蓋了5種保障面向,分別是危機處理費用、企業停止營運的補償津貼、緊急額外支應費用,企業應付責任費用、以及罰款相關費用等,而這些面向,正是企業處理資安事件中,所需面臨的重要工作框架。其中,庾燕玲認為,又以危機處理所需的部分,最為重要。

怡安保險(Aon)風險管理顧問香港區協理庾燕玲認為,大部分的資安險承保內容,包含圖中的5種費用或是損失補償,其中又以危機處理費用(Crisis Expense)最為首當其衝。(攝影/周峻佑)

事發後危機處理是資安保險首要支應項目

究竟那些事件是資安保險的承保範圍呢?庾燕玲指出,企業一旦面臨資安事件時,首先就是要緊急因應各種需要處置的層面,保險涵蓋的理賠項目,主要包括了企業聘請資安鑑識團隊、公關團隊,以及法律顧問等3種費用。

針對攻擊事件,企業通常需要委任鑑識團隊,進行調查,才能找出遭受攻擊的範圍,釐清案情,並予以處置。庾燕玲說,小型規模的事件調查,可能就要100小時以上的鑑識專家人力,每個小時計價約300美元到500美元不等,這個部分通常是資安保險理賠的範圍,甚至企業若是在事件發生時,不曉得應該從何找尋鑑識團隊,保險公司多半也會有合作的業者能夠支援。

而在調查攻擊事件如何發生之餘,另一方面,企業所需因應的部分,就是要如何對外揭露、說明。庾燕玲指出,在攻擊發生的當下,媒體甚至可能知道的比當事人還要多,企業要在什麼樣的時間點,並且派出什麼層級的主管出面聲明,還有發布什麼樣的訊息,其實也左右了公司的名聲──要是處置不當,社會大眾對於企業的觀感可能就會因此變差,例如,只由公司的法律顧問出面說明,許多人會認為企業就是單純想要撇清責任,沒有打算正視攻擊事件。因此,資安事件的危機處理,事實上也是相當重要的一環,聘請專業的公關專家協助,也是一筆可觀的費用,庾燕玲說,這種專家團隊到公司服務1至2週,企業需要支付上萬美元的費用,而這部分也可以由保險公司出險。

此外,還有企業遭駭之後,會面臨到各式的法律問題,也可能需要委託律師進行處理,所需的費用同樣是資安保險所能涵蓋的面向。

應留意保障層面與範圍,以及可能不予理賠的情況

資安保險包含了上述的3種事件危機處理費用的理賠之外,庾燕玲還有提到企業其他善後攻擊事件所衍生的費用,涵括營運中斷損失津貼、緊急救助金、企業應付責任支應,以及罰款等4項。其中,出險最普遍的部分,是企業的營運中斷所帶來的損失,以及對於客戶資料的保護承諾,一旦企業所持有的客戶資料外洩,便可能面臨求償。

雖然資安保險的出發點,主要是轉移資安攻擊事件所造成的損失,不過,庾燕玲也強調,保險公司在認定營運中斷的條件上,通常也涵蓋了各種意外情況產生無法繼續營業的情形,像是企業的網站因員工操作失誤而停擺,所導致的營業損失,或者是系統因更新出現錯誤造成停機,保險公司也會出險。

在理賠企業補償營業中斷所造成的損失外,庾燕玲說,資安險保單可能還會提供額外可彈性運用的緊急救助金(通常有上限而且額度不高)。不過,可能會面臨到與國家法律有關的限制:例如,電腦遭遇到勒索病毒攻擊,硬碟裡的資料極為重要,卻沒有其他備份時,企業也許選擇與駭客妥協,支付贖金解鎖,拿回檔案,這時所需的費用,就能透過上述的緊急救助金補貼。但若是位於新加坡的企業,基於當地政府認為不能向惡勢力低頭,庾燕玲表示,即使企業出險,這個項目的款項保險公司也不會給付。

而在攻擊事件的企業應負責任而言,最常見到的是資料保護不周,客戶要求相關的賠償。庾燕玲說,有些員工可能基於某些原因,將客戶資料列印成紙本,或是儲存於隨身碟裡,然後這些紙本文件或是儲存裝置因故遺失(例如掉在公車或是捷運上),導致資料外洩的情況,雖然與網路攻擊無關,但通常也是保單理賠的範圍內。

另一種保險公司可能會承保,卻會面臨法令要求而保單無法支應的,則是國家裁罰的理賠。庾燕玲說,在許多歐洲國家,已經明令禁止資安險保單不能將罰款納入範圍,換言之,就算保單裡有相關條款,在這些國家也形同無效。

企業應釐清資安防護工作與資安保險的意義

固然資安保險的用意,就是要分攤企業遭遇事件時所面臨的損失,但就像市面上的許多保險,有些人會抱存著僥倖的心態,以為購買了保險後,損失有保險公司負責,就不需要防範意外,例如投保車險卻不改開快車、無視交通規則的惡習,使得自己上路出現交通事故的機率大增。庾燕玲指出,同樣的情況,也發生在許多中小企業,以為購買資安險之後就不用做資安,節省相關的建置成本。

庾燕玲強調,購買資安保險不能直接改善企業的資訊安全。畢竟,保險能夠補償損失的方式,就是透過金錢,但公司若是重要機密遭到洩露,很可能導致完全無法運作,或是被競爭對手抄襲後,使得公司不再能夠生存,這樣的情況,往往難以仰賴經濟上的補償而得到復原。因此,在購買資安保險之前,庾燕玲認為,企業還是應該要儘可能維護自己的資訊安全,再向保險公司投保,反過來說,若是相關防護做得夠好,企業也能當作購買資安險時談判的籌碼,向保險公司爭取較低的保費。

一張資安險保單如何促成?首先,在保險顧問公司與企業接洽的過程中,雙方會先確認企業存在的風險範圍與大小,隨後才會進一步與承保的保險公司媒合,討論資安險保單的內容,最後才是達成協議,企業將資安防護無法防範的風險,正式轉移到保險上。(攝影/周峻佑)


Advertisement

更多 iThome相關內容