近年來金融業者遭受駭客惡意攻擊的事件層出不窮,也讓國內相關企業對於資安保險議題的關注度大幅提高。但是大多數企業對於資安保險的概念仍不是很清楚,究竟資安保險涵蓋的範圍有哪些?對企業將有什麼益處?本文將為您進一步揭開資安保險的神秘面紗。
近年來金融業者遭受駭客惡意攻擊的事件層出不窮,從2010年玉山銀行遭駭客入侵,超過16,000筆客戶個資外洩;2016年第一銀行ATM遭駭客盜領8,327萬餘元;2017年十多家券商集體遭駭客發動DDoS勒索攻擊、遠東銀行國際匯款交易系統(SWIFT)遭駭客盜匯高達6,000萬美元鉅款…等,也讓國內相關企業對於資安保險議題的關注度大幅提高。但是大多數企業對於資安保險的概念仍不是很清楚,究竟資安保險涵蓋的範圍有哪些?對企業將有什麼益處?本文將為您進一步揭開資安保險的神秘面紗。
什麼是資安保險?
資安保險發展至今已經有超過20年的歷史,初期是以個人資料保險為主軸。美商安達產物保險金融保險部協理賴繡蓉表示,資安保險的起源是為了因應美國嚴謹的資料保護法而產生,早期的保單主要針對隱私權責任提供單一的承保保障,早期的資安保險購買者主要是收集大量可辨識個人身分資料(姓名、生日、地址等等)的大型公司,產業主要集中於大型零售業、醫療院所及金融機構。
目前的資安保險則是一種綜合性的保險,可針對網路安全、隱私權及其他需求提供保障,在數位時代為企業提供第一人以及第三人損失的保障。其中,資安保險提供包括第一人損失費用、營業中斷損失和危機處理費用,以及第三人責任部分,主要是為了補充傳統保險的缺口,如:財產保險、產品責任險、專業責任保險及犯罪保險的不足之處,是符合數位時代需求而產生的全面性綜合保險。
破解資安保險的迷思
許多企業對於資安保險仍有許多常見的迷思,其中包括:認為企業的資訊部門已完全掌握網路風險、企業的系統服務都外包所以沒有責任,或是資訊安全應該是大公司的問題…等。事實上,造成資安事件的原因當中有超過50%以上是人為因素,例如內部人員點擊了不安全的網路連結被植入木馬,或是外部的前員工挾怨報復,犯罪組織、駭客組織也會經常對一些重要標的進行攻擊。至於企業的外部供應商、服務提供者、資訊外包廠商、網路服務提供者等合作夥伴若遭受網路攻擊,與之合作的企業也會連帶遭受影響,並有相關的法律責任。
賴繡蓉表示,許多企業認為自己公司的規模不大,所以比較不會遭受網路攻擊。這種觀點在以前或許適用,但是隨著大企業的資安環境建置相對完整,駭客攻擊的目標已經逐漸轉移到組織規模較小的公司,且通過與大型公司進行合作的周邊公司做為網路攻擊滲透的入口。因此,企業的規模大小不再能夠去推測是否會成為網路攻擊對象的因素之一。再舉一個因為資安事件對於企業傷害極大的例子——美國第三大消費者信用報告業者Equifax公司,於2017年洩漏了多達1.43億筆美國消費者的個人詳細信息,導致該公司的股價在3個交易日內,市場價值的損失就超過30億美元。
法律責任與企業營運息息相關
資安事件對企業除了造成經濟層面的影響外,法律層面這幾年也相繼嚴格要求企業要承擔不輕的法律責任。除了歐盟的GDPR法案於2018年開始執行之外,新加坡、澳大利亞、中國、台灣、菲律賓、越南、日本、美國等地區都制定了跟資訊安全相關的法案,其中也牽涉到罰則的部分。企業若發生資安事件,將會有相關的法律責任,並對企業自身的營運造成重大的經濟損失。
每家保險公司對於資安保險的合約各不相同,也可以針對客戶進行客製化,主要涵蓋隱私責任、網路安全責任、媒體責任等第三方責任,以及網路勒索、數據損失、營業中斷、事故應變費用等第一方損失。
台灣資安險投保 2019成長近4倍
據了解,2017年全球資安保險保費約為35億元美元,其中以北美地區為主,佔比達86%左右;亞洲地區投保率仍偏低,預估低於1%。但隨著來自合約或主管機關要求,著重於事故應變及損失預防服務的需求明顯增加。
以台灣來說,根據保發中心統計,資安保護險和資訊系統不法行為保險等,2019年總投保件數為417件,總保費近新台幣8,300萬元,平均每一件的保費約20萬元。與2018年的88件、5,238萬元、平均保費近59.5萬元相比,2019年投保件數雖然有將近4倍的成長,但平均保費卻大幅降低66%。相信在企業資安觀念成熟、保費愈趨「親民」的因素下,未來資安險投保將有更大的成長空間。
素材提供:《資安人》