去年網路勒索病毒數量暴增七五二%,加上金融科技、物聯網、無人車、智慧居家系統等逐漸普及,資安風險無孔不入,國外資安保險的投保率也逐步增加。台灣企業與保險業者反應如何?
網路勒索暴增7.5倍 資安維護成本逐年飆升
資安風險甚囂塵上,趨勢科技發布二○一六年資安總評時指出,去年網路勒索病毒家族數量暴增七五二%,造成全球企業損失金額高達十億美元;而另一種網路勒索「變臉詐騙」,近兩年不法獲利總金額更高達三十億美元。趨勢科技另一項報告指出,「企業資料防護長(DPO)的人力編制更加迫切需要,因為企業資料外洩事件已成了家常便飯。」
隨著駭客攻擊無孔不入,不論企業或個人的資安風險也日益拉高,安全軟體開發商McAfee引用研究機構Gartner的預測,全球花費在物聯網的資安防護成本,將從二○一六年三.四八億美元,增為一八年的五.四七億美元。
美國折扣零售業「目標百貨」(Target),曾在二○一三年因支付系統遭駭事件,四千多萬筆信用卡、簽帳卡資料外洩,賠付高達二.九億美元,所幸透過保險的轉嫁,至少獲得約九千萬美元的理賠。
歐美資安法規周全 亞洲資安保單買氣冷淡
目前全球來說,對於資安的風險預防及事後的降低損失,美國算是策略最為周全的國家。怡安風險管理顧問集團資深業務經理林鴻諭說,除了美國,歐盟也將於一八年實施「資料保護規範」(General Data Protection Regulation,簡稱GDPR),凡是持有歐盟境內國人資料的企業,若發生資料外洩事件,必須通知主管機關,違者將罰「全球總營業額」的四%或二千萬歐元。透過這項法律規範,資安保險的投保率將可能增加。
而在亞洲,對資安的注重度仍低,亦少有相關保險需求,林鴻諭指出,回顧過去一年,第一銀行、第一金證券,及今年二月有五家券商及期貨商,都面臨駭客的攻擊而造成損失或影響商譽;像金融業及醫療產業,擁有最多個資的行業,應該要比其他行業更加有資安風險意識。而像IT產業,則可能因資安威脅而導致營業中斷,若透過保險的轉嫁,至少能彌補部分因資安危機產生的損失。
林鴻諭透露,目前台灣僅賣出約三十張資安保險,且多為電商投保,沒有金融業者或醫療業者投保;所幸經過去年以來駭客、勒索病毒的洗禮,聽聞有金融業者開始向產險公司詢問資安保險資訊。
外商搶食資安險大餅 本土保險業開發相對緩慢
富邦產險新種保險商品部資深經理王範萱表示,目前相關的資安保險有電子及電腦犯罪險、資料保護責任險及資訊安全防護險,共三大類。
其中,電子及電腦犯罪保險承保對象只限於銀行、券商及投顧等金融機構,補償被保險人因其電腦系統遭第三人入侵並詐欺性輸入、竄改、銷毀電子資料,而直接遭受的資金或財產損失。例如,日前一銀ATM被駭事件損失八三○○萬元,即可由這類保險轉嫁。
而資料保護責任保險,只就個資外洩的第三人責任賠償做保障,包含抗辯費用及和解金,或法院判決金。此商品適用所有產業,主要是因應《個資保護法》的實施而推出的。
資訊安全防護保險則為資料保護責任保險的升級版,除包含第三人的求償金及訴訟費用,還可擴大承保網路中斷保險、電腦勒索保險、媒體內容責任及其他費用(電子資料修復、重置費用、鑑識服務費及名譽修復等費用),以及營業中斷損失,都適用這張保單。
目前台灣賣出約三十張資安保險,多半是資料保護責任險,而資訊安全防護險卻只賣出五張,至於電子及電腦犯罪險則仍無金融業者投保。
林鴻諭坦言,外商保險公司,較多這種比較新興的險種,相較國外保險公司搶進資安保險這塊大餅,台灣對於資安保險的開發,仍相對不足。
且若要涵蓋所有資安風險,似乎沒有一張保單能全攬,林鴻諭呼籲,隨著全球資安風險劇增,台灣的保險業應與時俱進,開發更多符合趨勢的保單。企業則應注重資安風險,及早做足資安維護,或透過保險,降低被駭的威脅。
.jpg_1140x855.jpg_280x210.jpg)