网络安全保险的未来在于主动扫描和持续监测网络风险以提高损失率。随着网络攻击趋势和技术变化极为迅速,传统的网络安全保险承保方法(如实施覆盖限制、提高费率等)已无法有效应对日益频繁、严重和昂贵的网络攻击。据报告,选择网络安全保险的大型和中型美国企业的比例在过去几年从约25%上升到接近50%,但同期美国保险公司遭受网络攻击的成本几乎翻了一番。
核心观点:
- 传统方法的局限性: 传统的网络安全保险承保方法依赖于组织准确报告自身的数字基础设施,但这种方式存在信息不对称和报告不准确的问题。许多传统的网络安全保险申请表并未收集关于潜在组织所使用软件和工具的重要安全信息,且往往错误地假设小型企业主能够准确回答有关其技术及安全配置的技术问题。
- 主动扫描的价值: 主动网络风险需要主动扫描和持续网络风险监控。网络保险承保商应在承保时主动进行扫描,以确定每个申请人的数字资产和整体安全状况,从而更好地进行风险选择和定价决策。
- 持续网络风险监测的重要性: 在整个保险期间,组织对其数字基础设施进行持续的网络风险监控是必要的,以跟上不断变化的威胁 landscape 和公司技术演进的步伐。
关键数据和案例研究:
- 企业选择网络安全保险的比例: 从约25%上升到接近50%。
- 网络攻击成本: 美国保险公司遭受网络攻击的成本几乎翻了一番。
- 案例研究: At-Bay 是一家领先的网络保险提供商,通过其主动的风险监控服务,在承保时和整个保单期间不断扫描投保人的数字资产,以检测安全漏洞并建议投保人采取缓解策略。结合 Guidewire 的 Cyence 风险建模技术,At-Bay 展示了持续扫描和监控的组合文件夹具有可量化的较低风险,相较于类似的企业属性分布。
- 损失减少: 在百年一遇的回报期内,At-Bay 投资组合损失下降了15%,表明在承保时使用主动扫描进行风险选择的好处。
- CAT 风险降低: 通过主动 CAT 管理和持续的网络风险监控,损失比额外降低了20%。
研究结论:
积极的风险扫描和持续的网络风险监控是管理网络风险的自然且必要的进展。通过将 At-Bay 的主动 catastrophe(CAT)管理与 Cyence 风险模型相结合,有助于从财务角度量化这一过程。此外,At-Bay 的主动 CAT 管理结合了承保时的风险选择和在整个保期内持续的网络风险监控,展示了在大规模事件发生之前显著减少潜在损失的初步成果。这有效地降低了 CAT 暴露和综合超越概率(AEP)曲线。Guidewire 和 At-Bay 预期其先进的风险管理方法将在未来十年成为网络安全保险公司的标准做法。
