核心观点与关键数据
- 勒索软件对网络保险业的挑战:自 Covid-19 以来,勒索软件攻击增加近 150%,索赔成本在 2018-2019 年占保险公司网络账簿的 40%,2019 年支付需求是前一年的三到四倍。美国企业勒索软件支出从 2020 年第二季度的不到 $10K 激增至每场活动超过 $178K,大型企业平均支出超过 100 万美元。
- 达尔文适应理论的应用:网络保险业面临灭绝、栖息地追踪(价格溢价)或进化(重新定义价值主张、风险模型)三种潜在结果。当前保费上涨和承保挑剔未能满足市场需求。
- 分层节奏模型:该模型将环境分为市场(自然)、政府(治理)、技术、行业(商业)和个别保险公司五个层次,强调不同层次需以不同速度适应变化,以避免系统崩溃或停滞。
当前环境特点
- 损失率:勒索软件损失率增加 10%。
- 攻击向量:远程桌面协议(RDP)、电子邮件钓鱼和垃圾邮件、未打补丁的漏洞是最常见的攻击来源。
- 备份恢复:超过一半的企业没有备份,60% 的备份不完整,导致保险公司倾向于支付赎金而非恢复成本。
- 风险管理协调:保险公司需与信息安全专业人士协调,制定安全风险指标,并利用激励措施改善网络安全状况。
- 控制故障报告:缺乏对攻击向量和控制失败的记录,导致对勒索软件风险的理解不足。
- 数据驱动的预测模型:需结合历史数据和专家知识,以更准确地预测风险,推动更稳健的定价模型和承保指南。
- 敲诈勒索支付政策改革:加密货币在勒索软件生态系统中扮演关键角色,政府可能需要介入限制支付。美国财政部和司法部已提出相关建议,但效果有限。
适应措施与激励机制
- 风险管理指导:保险公司应提供指导,帮助投保人实施安全控制。
- 强制性披露规定:要求企业披露勒索软件事件和漏洞信息。
- 安全控制失效报告:建立标准化的 DFIR 报告,记录攻击向量和控制失败。
- 信息安全预防和缓解控制激励措施:通过保费减免、拒保等手段激励企业改善安全状况。
- 数据驱动的风险模型:结合历史数据和专家知识,预测风险并验证模型准确性。
- 敲诈勒索支付政策改革:行业可自行采取政策立场,拒绝支付赎金,除非遇到例外情况。
研究结论
- 网络保险业需在个体公司、行业和政府层面进行创新和演变,以适应勒索软件风险。
- 保险公司应积极管理网络安全风险,超越传统的赔偿和风险分散模式。
- 通过协调风险管理、改进预测模型和改革支付政策,网络保险业才能保持韧性,并最终影响勒索软件风险本身。
