几天前,雷锋网宅客频道编辑参加绿盟科技(以下简称绿盟)的媒体沟通会时,对方发布了一系列产品与战略合作计划。其中,有一组数据和一项合作引起了我的关注。
绿盟和平安金融联合发布了一份《2017金融科技安全分析报告》,平安金融的妹子解读了目前金融业的网络安全风险,然后表示,根据他们的调查:筹码到位的话,35%的员工愿意泄露企业内部数据。
编辑仔细翻了翻这份报告,发现这是妹子演讲时新增的料(报告中没有)。
其实,去年雷锋网宅客频道就发布了普华永道的一项调研结论:42% 的中国内地与香港受访企业认为前雇员是导致安全事件发生的重要来源,前员工比黑客和友商更危险。
按照“不写在对外资料中的信息可能更加有点意思”的定律(我自己总结的),我在朋友圈把这一调查结论发布,获取了一波业内外人士的讨论。
我们来看下主要观点是什么样的:
前同事 K:请我吃顿饭,我把上家公司所有单身男同事联系方式给你。(呸,不要!)
业内人士1:这个比例不合理,说明筹码不到位,到位了,肯定远高于50%。
某警察蜀黍:有很多现实案例。
业内人士2:这么低???人是最薄弱的环节。
业内人士3:多数企业的安全问题确实不是技术问题。
业内人士4:太保守,至少50% 。
。。。。。
总结一下:基本没有反对观点,而且大家对于“人是薄弱环节”这个观点是认同的。
提出了问题,总要有解决方案。
其实,对于心怀恶意的前员工也好,无法抗拒利益诱惑,主动或者无意识泄露企业内部机密数据的“内鬼”也罢,我们看到的,要么是法律法规和企业内部相关条例的约束与应对,要么是加强员工安全意识培训,再者就是从技术层面对企业内部行为的跟踪与规范。关于损失如何处理,还真的很少有好的解决方案。
因此,雷锋网还注意到了上述会上的另外一项合作,绿盟科技联合前海财险推出网络安全险,比较明晰地写出了承保的具体范围:
1.事故鉴定服务费用
企业聘请专业机构进行事故鉴定需要支付的服务费用。
2.数据恢复费用
企业为恢复、重建或重新收集电子数据,需要支付的费用。如:服务器数据恢复、硬件或软件数据恢复费用等。
3.计算机勒索赎金
由于遭受安全威胁而支付的勒索赎金。如:黑客攻击并窃取了网站信息,向网站提出赎金要求。
4.数据泄密责任
因个人信息或公司信息发生泄漏,受害者向泄露信息的企业提出的赔偿要求。如:酒店泄露客户信息数据,受害者向酒店及数据商提出的索赔。
5.外包商导致的数据泄密责任
因外包商原因导致信息泄漏,受害方向企业提出的赔偿要求。如:企业使用外包商维护系统,由于外包商自身的管理原因造成信息泄露。
6.数据安全责任
企业因疏忽或过失,致第三方财产损失而需要支付的赔偿金。如:企业被植入恶意代码、窃取口令或硬件被盗而造成其服务的客户遭受损失。
7.法律服务费用
企业发生数据安全事故而被提起仲裁或者诉讼而产生的仲裁费、诉讼费、律师费等。
你可以发现,这 7 项内容中,4、5、6 项都与数据泄密相关。
编辑没有轻易相信,网络安全险可以解决或者真的降低上述“问题”里的内鬼风险。但是,有没有可能,它真的是解决方案选项之一?这是我接下来主要想讨论的问题。
困境
让编辑产生疑虑的地方有:
第一,网络安全险在国外已有较长应用实践,但在国内推广不是特别多。从网搜资料看,2015年,美亚保险和安联财险推出了相关产品,2017年,蓝盾股份与平安保险广东分公司签订网络安全保险合作框架协议,众安保险与杭州安恒信息了签订战略合作协议,阳光产险也推出了网络安全综合保险。不过,也就如此了,尚未有什么轰动的“后续剧情”。
第二,出人意料的是,绿盟科技金融事业部技术总监徐特对我强调了两点:他们不是迫于友商竞争压力联合推出相关险种,他们在与客户的实际接触和调研中,也没有类似客户发出急切的需求,希望安全公司和保险公司推出这类险种。
这就有意思了。于是,我联系了徐特和前海财险的相关人员。
先来说说徐特对这个市场的态度。
观点1:一些网络安全险其实在变相收取“应急响应”的钱。
徐特认为,有些网络安全险更像换了一个方式在收应急响应的钱。
比如,网络安全公司也提供应急响应的服务。
应急响应如何收费?客户自己根据公司情况选择一年需要的应急响应的次数:四次、六次、八次、十次,安全公司基于次数或者人天收费。
很多情况下,到了年底,并没有发生这么多次的安全事件,部分客户会认为这部分服务买亏了。有些网络安全险的内容主要就是应急响应,收取较为低廉的保费协助被保险人处置安全事件。
假如保险公司有 100 个这样的客户,100 个客户平均出两次险,以 3 万块钱一家的数额来收,即使有个别的公司事故特别多,保险公司这种险种卖得多了,可以以较低的平均出险率为个别客户提供较多次的应急响应,同时保证整体的盈利水平。
“它其实就在凭运气。因此,现在网络安全险市场上没有出现很强的竞争。因为大家并没有找到好的点,即使大家都在谈网络安全险,觉得是一个蓝海,但这个东西怎么做,并没有非常明晰的路径。”徐特说。
观点2:网络安全险卖给谁,这是一个问题。
相对于旅行险等基数大、风险评估比较简单的险种,网络安全险面临劣势:第一,基数不大;第二,保险公司很难在专业领域内对一家企业的安全情况进行评估、确定保额、赔率等。这也是之前一些网络安全险种寻找“替代应急”这种简单可操作方案的原因。因此,保险公司在专业险领域,要与专业公司进行合作。
说白了,就是风险评估。
但是,问题来了。这类风险评估包括漏洞扫描、背景检查、深度测试等一堆的基础工作,可能需要花费10-20天时间、10万左右的成本。
“客户想来买网络安全险,需要先花个10万块钱测试,测试做完后,有可能机构还是不卖给你。这种商业逻辑不太现实。”徐特说。
尝试
事实上,徐特透露,在此之前,绿盟和多家财险公司有过探讨,但面临了这一问题——很难找到种子客户。
从已经接受了网络安全公司服务的公司里找种子客户,是徐特和前海认为,可能可以获取种子客户的一种最优路径——假如对方已经向网络安全公司投资了一笔100万的综合服务费用,再加上5万的保费,对他们而言,并不是多么难以下定决心的事情。
前海方面告诉我,目前在网络保险方面确实面临缺乏技术储备,数据支撑和承保理赔经验等困难,联结非常重要。“通过行业联合,与国际优秀再保人合作,打造产品,解决定价,承保和理赔的问题。”
这意味着,此次与绿盟的联手,他们可以解决上述问题。此外,他们还要和合作方绿盟一起,完成事前的信息安全评估、事中的应急响应服务、事后的成本和责任认定。在网络风险事故发生后的损失确定方面,前海表示,会与绿盟合作,在客户发生网络安全事故时,提供应急响应和恢复。“对于复杂情况的损失鉴定,必要时我们也会聘请第三方专业机构进行协助。”
其实,这样表述也许更加清晰:保险公司不用再担心自己在专业领域里的短板——他们能借助安全公司找到种子客户,他们多了一把尺子,知道应该把网络安全险卖给谁,而愿意为自己的安全大力付费的用户会更认可网络安全险的价值。对安全公司而言,他们能为客户提供更全面的服务,保险+一揽子解决方案可以帮客户消除和减轻各类残余的安全风险,将其转移给财险公司,实现对不可预知风险的财务覆盖。
这就是他们目前正在探索的路径。
面向未来的动作
回到最初的问题,两家在网络安全险进行尝试的“合作”真的能解决问题吗?
徐特告诉雷锋网,绿盟的出发点是——这是一个面向未来的动作。
我试图询问,上面承保的 7 项中,有哪几项可能是“赔付”最多的风险。倍感意外的是,徐特说,之前很多安全公司发出预警的“勒索蠕虫威胁”可能不是现阶段最可怕的点。
“勒索蠕虫不是最可怕的,蠕虫面对对象都是同一动作的,要命的是勒索的场景化,弄到隐私勒索一个小职员‘支付企业内部数据’,通过网络劫持拿到 CEO 电脑里的重要合约,问他要1000万。什么时候做电信诈骗的转行定向勒索问题就大了。”徐特认为。
另外,数据泄密责任的赔付可能是未来的重点。比如,不久前闹得沸沸扬扬的 Facebook 泄露隐私事件,用户就数据泄露起诉 Facebook,要求对所有涉及用户赔偿。
“但在中国,现在的实际状况是没人罚它,包括一些大型企业曾有泄露过大量用户数据的事件,没有哪一个被执法机构开过高额的惩罚性罚款。长期来看,早晚有一天也要跟人家一样开始罚的,这个时候就真的很需要这个险了。”徐特说。
所以,也许这能部分解决开头所提到的,无论是有心的内鬼,还是无意的员工,或是不靠谱的第三方带来的数据泄露风险及损失的问题。
不过,对绿盟和前海而言,完全解决眼前的问题“实属野心太大”。他们的目标更加现实——接下来的一段时间里获取一些种子客户,运营一段时间,积累一些经验后,才能再谈进一步的推广。
网络安全险会有“爆点”出现,只是时间早晚的问题。
徐特希望,这是扩大一家老牌网络安全企业版图上的一块重要拼图。他们想做的,就是尽早开始。
本文作者:雷锋网(公众号:雷锋网)宅客频道主笔,李勤,qinqin0511
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/113055.html