什么是网络保险，为什么它很重要？

为什么网络保险很重要？

电子数据的丢失、泄露或被盗会对企业造成负面影响，导致客户和收入的损失。企业主可能要为窃取第三方数据造成的损失负责。

2011年，黑客入侵了索尼的PlayStation网络，暴露了个人身份信息(血浆无机碘)的7700万PlayStation用户账户。这次入侵导致PlayStation用户在23天内无法访问该服务。索尼公司在这次入侵中花费了超过1 . 71亿美元。网络保险本来可以支付部分费用，但索尼公司没有一个合适的政策。一个法庭案例裁定，索尼的保险政策只涵盖物理财产损害，让索尼承担与网络损害相关的费用。

同样，2017年9月，消费者信用报告机构Equifax遭遇数据泄露，暴露了1.47亿人的个人信息。2019年，Equifax与美国美国联邦贸易委员会达成和解。作为和解的一部分，Equifax同意花费4.25亿美元提供免费的信用报告，为已经注册信用监控服务的人支付现金，补偿从身份盗窃中恢复所花费的时间或金钱，以及免费的身份恢复服务。一份网络保险本可以支付Equifax和解的部分费用，前提是该保险涵盖了其数据泄露的情况。

网络保险提供以下好处:

• 防范网络风险。网络责任保险对于保护企业免受网络事件(包括与恐怖主义相关的事件)的风险非常重要。网络保险可以提供网络安全保障，并有助于及时补救网络攻击和其他事件。
• 财务保护。网络保险针对网络安全事件造成的损害提供财务保障。这包括调查费用、信用监控服务和法律责任，以及与数据泄露相关的其他成本。此外，它还可以为业务中断、收入损失和计算机系统恢复提供补偿。
• 法律支持。网络保险通常包括法律援助，这有助于企业在围绕网络安全事件的复杂法律体系中游刃有余。它可以支付法律顾问的费用服从数据泄露和隐私侵犯带来的法规和潜在诉讼。
• 安心。网络保险通过保证企业和个人在网络危机中的财务稳定，为他们提供安全感。这使得企业可以专注于核心业务运营，而不必担心网络攻击可能带来的财务和声誉后果。
• 对安全的承诺。网络保险强调组织致力于保护客户数据并积极主动地进行网络防御。对网络安全的承诺可以提高企业在客户中的声誉和信心，利益相关者还有合伙人。

网络保险是如何运作的？

大多数提供商业保险的保险公司，如E&O、商业责任险和商业财产险，也出售网络保险。保单通常包括第一方保险，适用于直接影响公司的损失。他们还可以拥有第三方保险，根据第三方与该公司的业务关系，适用于其他人因网络安全事件或事故而遭受的损失。

作为网络安全事件响应工作的一部分，网络保险单可以涵盖网络安全事件造成的财务损失。此外，网络风险保险通常涵盖与补救相关的成本，包括法律援助、调查人员、危机沟通人员以及客户信用和退款的费用。

谁需要网络保险？

虽然每个组织的风险状况都是独特的，但大多数公司都可以从购买网络保险中受益，将其作为整体风险管理战略的一部分。一系列行业都是网络保险的理想选择:

• 各种规模的企业。在线创建、存储和管理电子数据(如客户联系、客户销售、PII和信用卡号码)的组织可以从网络保险中受益。此外，电子商务企业可以从网络保险中受益，因为与网络安全事件相关的停机时间会导致销售和客户的损失。类似地，任何在网站上存储客户信息的组织，包括小型企业，都可以从网络保险单提供的责任范围中受益。
• 医疗保健提供商。医疗保健公司处理一系列敏感信息和患者数据，经常成为数据泄露和网络威胁的目标。根据IBM的年度数据泄露报告，医疗违规的平均年成本接近1000万美元。降低与数据泄露相关的财务和法律风险健康保险流通和责任法案违规，网络保险对医疗机构至关重要。
• 金融机构。银行和信用社是网络犯罪分子的主要目标，因为它们处理敏感数据，如社会安全号码、账号和其他PII。网络保险可以帮助这些机构从网络攻击造成的经济损失中恢复过来。
• 政府机构。政府机构处理大量的私人信息。网络保险可以帮助政府机构防范网络攻击，确保公共服务的连续性。
• 教育机构。教育机构，如学校、学院和大学，为员工和学生存储了大量的个人和学术记录，使他们成为网络保险的良好候选人。
• 收入高的公司。收入丰厚的公司是黑客的目标。为了防范网络攻击和数据泄露造成的经济损失，这些组织应该考虑网络保险。

网络保险覆盖和不覆盖哪些内容？

许多主要的美国保险公司为客户提供网络保险政策选项。根据保单的价格和类型，客户有望获得因IT资产的物理破坏或失窃而产生的额外支出的赔偿。

通常包括哪些内容？

很多入门级的网络安全保单只保第一方损失；更广泛的政策涵盖第三方责任损失。网络保险涵盖的支出通常包括以下相关费用:

• 满足勒索软件攻击的勒索要求。
• 发生安全违规时通知客户。
• 支付因侵犯隐私而征收的法律费用。
• 雇用计算机取证恢复受损数据的专家。
• 恢复PII受损客户的身份。
• 恢复已被更改或窃取的数据。
• 修复或更换损坏或受损的计算机系统。
• 为受数据泄露影响的客户提供信用监控服务。

通常不包括什么？

以下是网络安全政策没有涵盖的排除和问题:

• 可预防的人为安全问题，如贫困结构管理或者对数字资产的不当处理。
• 先前存在的问题和以前的违规以及网络安全事件，如购买保单前发生的事件。
• 由员工或内部人员发起并导致的网络安全事件。
• 不是由有目的的网络攻击造成的基础设施故障。
• 未能纠正已知的漏洞，例如当公司知道存在漏洞，但未能解决它，然后出现与该漏洞相关的危害情况。
• 改进技术系统的成本，包括系统或应用程序的安全强化。
• 知识产权价值的损失，如专有信息、商业秘密或其他无价的无形资产。

网络保险要多少钱？

通常，网络保险的定价基于被保险实体的年收入、行业、覆盖范围和类型以及组织的规模。组织规模很重要，因为更多的员工意味着恶意行为者的攻击面更大，并且需要更多的保险。行业是一个重要因素，因为医疗保健和金融等行业管理大量敏感数据，并应对更多风险。

在过去的几年里网络保险费激增这种趋势归因于攻击面的扩大和对手技术的发展。根据Progressive Casualty Insurance Company的数据，一份典型的保单每年的费用可能在500美元至5000美元之间，甚至更多。

为了获得网络保险的资格，个人或实体通常必须接受保险公司的安全审计，或者提供来自经批准的评估工具的文档，例如由国家标准和技术研究所提供的评估工具网络安全框架。来自安全审计的结果或来自批准的评估工具的文档可以作为保险公司提供的保险类型以及保费成本的因素。

如何选择网络保险

网络安全政策因供应商而异。要选择一项政策，公司应审查政策的细节，以确保它包含必要的保护和规定。此外，公司应该评估保险产品是否可以防范已知的和新出现的风险网络安全事件和威胁概况.

一项计划可能涵盖的各种费用包括法医、法律和公共关系费用。在发生违规或攻击的情况下，需要进行取证调查，而且违规导致的任何法律或监管费用通常都包括在内。各种计划还包括雇佣公共关系机构来维护投保人声誉的费用。一些计划可能会概述特定类型攻击的覆盖范围，如勒索软件，在这种情况下，企业可以报销向恶意行为者支付的赎金。

网络保险与网络防御

网络防御和网络保险并不是同义词。网络防御是一个宽泛的术语，指的是企业为应对网络威胁而选择实施的任何安全工具和策略安排。网络保险计划是企业购买的一种政策，用于在网络攻击后提供补救和财务补偿。网络保险是对其他安全工具和程序的补充。

建立网络安全基础设施先于购买网络保险。缺乏安全工具和政策的企业可能会为网络保险支付更多费用，因为这将被视为风险更高。但是，如果在购买之前就建立了基础设施，风险就会降低，保险计划覆盖的范围也会减少。网络保险只是企业全面网络防御战略的一个组成部分。