網絡保險又稱為網絡風險保險,企業可以投保以減低因進行網上業務而帶來的風險。網絡保險承保範圍包括因網絡保安事故引發的大部份資料洩漏事件。
網絡罪行正在持續增加,令更多機構都在面對資料洩漏、勒索程式及其他網絡保安事故的風險。雖然在網絡保安平台上的不同工具及方案都可以協助機構保護及在事件發生前防止洩漏情況,但機構仍須為網絡風險事件而導致的敏感資料被盜負責。
透過網絡保險,機構因網絡攻擊而導致的財務損失將減至最低,令機構免於災難性後果。你可以將網絡保險視為對應日漸增加的網絡風險的一個選擇。
任何會影響業務的損失、入侵或電子資料失竊。這可以包括因客戶群不再信任機構而導致的信心損失,或是因要從攻擊復原所引致的潛在支出。網絡保險可以協助降低這些財務風險,而機構亦無須自掏腰包支付這些開支。
網絡保險可以協助支付:
隨著更多機構在網上進行交易,亦為網上歹徒提供了更多目標。投資在網絡保險是一個明智及有效的方法,在出現洩漏事故時減低機構的風險。
任何在網上創建、儲存或管理電子資料的機構都會受惠於網絡保險。敏感的客戶資料如聯絡號碼、銷售紀錄、個人識別資訊及信用卡號碼等都是網絡歹徒在數碼世代的主要目標。電子商務也會受惠於網絡保險,因為由勒索程式及其他網絡攻擊導致的停運時間也會影響機構的收入。
網絡保險的保障範圍視保險種類及承保機構而定。不過,有部份情況是不在網絡保險的保障範圍內:
現時,機構投保網絡保險的難度可能比以前更大,因為越來越多資料已儲存在網上,而保險公司也會就一些慣常的保單要求昂貴的保費。很多保險公司甚至會要求投保機構在網絡保安平台採用某一特定系統,例如用戶端偵測與回應(EDR)。
根據不同變數,保險公司很難為您提供一份價格相宜並實質的保單。不過,機構仍然可以採取一些行動協助減低保費。
機構可確保自己已符合保險公司的要求,包括在網絡保安平台採用某些功能。
保險公司在決定網絡保險的保費時也會考慮不同因素:
在投保網絡保險時,必須要考慮這些資料。
降低機構網絡保險開支的一個可行方法就是維持一個緊密的網絡健康狀態。您可以透過主動方式減低網絡攻擊的風險,令保險公司提供更好的條款及更低保費。這對機構帶來好處,因此在尋找合適的網絡保險合約時應優先考慮此點。
時刻留意您的資產,確保您有方法審核事件及事故記錄。您亦需要識別任何可以存取這些資產的裝置及軟件,無論是獲授權或不獲授權的存取。此舉可協助確認您的資產有否被未獲授權人員存取。
您的機構可能希望可以配置及監控所有管理及存取權限,您必須依循特權規則進行設定,以確保存取重要資料的權限不會授予未獲授權員工或外人。此外,還須小心謹慎地管理硬件及軟件的配置。而監管網絡協定、通訊埠及裝置的使用也是維持網絡健康的好方法,可查明任何未獲授權的流量及在資料被入侵前將之關閉。您亦可以在所有防火牆及路由器配置及實施保安協定,以協助緩解網絡風險。
當發現事件或漏洞時,應馬上進行補丁。利用風險為本的補丁管理策略來將嚴重的漏洞列為優先項目。確保所有軟件及應用程式都更新至最新版本,以避免可能的入侵。
資料復原及防護是機構網絡保安程序的另一重要部份,您需要適當保存備份及執行資料保護措施。多重認證是保護資料及限制存取重要資產的好方法。
實施沙盒分析協定有助檢查及阻截任何惡意電郵及其他通訊系統。在各層面採用最新版本的保安方案可避免入侵及舊版本的漏洞。利用您的網絡保安平台來辨識攻擊或入侵的早期徵兆,並在這些攻擊入侵資料與資產前已進行補救行動。您亦可利用最新的機器學習及人工智能系統來增強監控能力,讓您的保安專業人員可以有更大機會比歹徒更早察覺漏洞,並盡早進行補丁。
最後,您需要培訓及測試您的系統及保安專業人員,讓他們了解最新的網絡風險及全球出現的事故,因為他們需要配備充分知識來處理容易影響機構的網絡保安事件。機構亦要定期進行演習以加快反應時間,及令保安團隊時刻準備面對真正攻擊。
將這些因素考慮在內有助降低網絡保險保費,亦同時緩解機構可能面對的整體風險。
不能。網絡保險不能取代有效率的網絡風險管理政策。雖然機構投保網絡保險是一個好建議,但這只應被視為一個選項,而非必須。
反之,網絡保險應被視作補充及平衡已經包含在機構風險管理計劃中的保安措施。
網絡保險是一個有效的策略來支持全新或預先建立的網絡防禦計劃,而不是一個完全的取代或交替的選擇。