資誠(PwC)智能風險管理諮詢執行董事張晉睿。

企業資安事件頻繁,對管理階層來說,需要為企業策略擬定以風險為導向的資安策略,讓資安策略走在企業策略的前面,減少曝險的比例。不過,即便資安再怎麼規畫,仍不可預期潛在的風險或威脅有多大,近幾年,企業有一個新選擇,購買資安保險來分擔部分的資安風險。資誠(PwC)智能風險管理諮詢執行董事張晉睿日前在2019臺灣資安大會一場演講中,指出企業購買資安保險要注意的幾件事。

不過,張晉睿認為,企業對購買資安保險仍有不少疑慮。像是資安險很貴,自家的資安風險小,已有不少資安投資為何需要再買資安險。

昂貴和資安風險之間的拿捏,是影響企業購買保險的兩難,尤其後者衡量不易。張晉睿解釋,對保險公司來說,要承保資安保險產品之前,也想辦法先掌握企業資安風險的曝險程度。因為這也是影響保費高低的關鍵。

保險公司如何評估企業的資安風險,進而計算保費?張晉睿指出,現行臺灣資安險核保時,多半透過一份詢問表,來界定企業在資安上的成熟度。成熟度越高,意味著風險越低,保費也就可以較低。

詢問表上,大致會有公司所屬產業、公司規模、公司系統化程度、公司是否具有對外網站或對外網路服務。另外,保險公司也想了解企業已投資的資安設備與框架,但詢問表大多只會問及企業是否有使用防火牆、防毒軟體等項目,此外,詢問表也會問到,企業近年是否發生過資安事件等問題。

但這樣的詢問表,張晉睿認為還有不少不足之處,他舉例,以企業系統化程度高或低,來評估資安風險高低,其實沒有那麼準確。對社交工程攻擊來說,不管企業系統化程度高低,只要有電子郵件的功能,就可能造成企業鉅額損失。

或像是詢問表上所列的資安解決方案完整度不足,保險公司評估時,就難以全盤了解企業的資安成熟度,進而高估了企業的風險而影響保費。或像詢問表也沒有蒐集到資安事件發生之後,企業的回應和機制,比如說投入多少心力去調查資安事件,或是接下來如何去提升資訊安全,這些都沒有顯示在保險公司的詢問表中。

企業可向保險公司揭露自家資安健康狀況,提高信任度以獲得優惠保費

要讓保險公司更清楚自家資安現況來降低保費,張晉睿建議,不要只透過詢問表來評估自家資安成熟度,企業還能主動揭露自家的資安健康狀況給保險公司,讓資安投資的價值能充分展現。他舉例,保險公司可以把企業的資訊資產安全防護作為、資安防護產品的日誌、資安處理事件的記錄與潛在資安攻擊的可能等,納入考量技術的指標。

他認為,企業這麼做的話,能讓保險公司對企業的資安管理,有一定程度的信心,這樣一來,大家能互蒙其利,企業可以獲得優惠保費之外,保險公司也能降低重大風險的理賠金額,雙方可以在合理的程度上,思考企業剩餘的資安風險,要如何透過購買資安險來轉移掉。

張晉睿建議,企業以誘捕系統(Honey Pot)來蒐集資安情資,可能更為準確。他提到,若透過系統蒐集,假如駭客攻擊誘捕系統,就可以蒐集到第一手的內外部攻擊事件,也能針對攻擊誘捕系統的事件,分析駭客的攻擊手法。而企業可以透過誘捕系統蒐集情資,讓自家資安提升之外,同時也能把情資分享給保險公司,這也是一種計算資訊安全風險的方式。

對保險公司而言,若單靠詢問表,遇到企業為降低保費,而隱瞞資安事件或是不積極調查資安事件,保險公司也無法全盤了解投保公司的資安風險。

「保險公司如何衡量企業資安風險的水平,是一大挑戰。」他認為:「得有一套一致的標準或方法論,來評估企業資安的成熟度。」甚至要建立一致的產業標準,避免不同保險公司的評估結果不一樣,也才有助於企業購買保險或評估未來資安採購之用。


Advertisement

更多 iThome相關內容