Overseas Experienee
把控日趋复杂的互联性: 网络安全风险趋势
安联全球企业及特殊风险(AGCS )
7年前,网络安全风险在安联风险指数
的排名还低位游走在第15位,而近年来,网 络安全风险几乎年年排名居首或接近榜
首。该指数是一项年度调研,统计来自100 个国家超过2700名风险专家对企业未来12 个月及以后面临的首要风险的预测判断。
网络安全方面索赔的明显增加,不仅源于网 络保险市场发展的推动,还受到包括数据泄
露、分布式拒绝服务攻击、网络钓鱼活动以 及软件增多等事件的影响。人为错误 和技术故障也是主要因素之一。
与此同时,当今企业及保险人还面临快
速演变的风险环境,新冠疫情的暴发又进一
步加剧了这种态势。虽然新冠疫情的暴发 并不是网络安全相关索赔增长的直接原因,网络安全保险索赔分析
我的世界怎么联机400------------------------------------N
年度相关赔案数
1<000
,800—----------------- ------------✓
-----------------------------------------------9----------/ 770
f 2020年前九月
0 2015* 2016 2017 2018
2019 2020
•AGCS 从201拜开他网络安全保所以相关有限
费料来源:安JR 全球企业及特殊风验公司
但由于远程工作变多、家庭办公的网络安全 保障措施可能不够健全,在疫情大流行期 间,网络安全风险一直在上升,特别是 软件和商业类事件。虽然
AGCS 已开始观察到一些索赔可间接归因于
新冠疫情导致的商业格局转变,但要断定这
是一个更广泛的趋势还为时过早。
然而,不管出于外部网络攻击、人为错
误还是技术故障,所造成的营业中断损失是
网络安全索赔发生的主要原因,赔案金额占 到所统计的赔案总金额的60%左右,紧随其
后的是处理数据泄露产生的损失所需的支 出。尽管近年来企业在网络风险意识方面
取得了巨大的进步,但仍有许多公司往往在
事故发生之后才意识到自己的数字资产有
图片打不开季度平均索赔数量
2018 2019 2020
•S 于202。年码三季度效擔
多么重要。本研究重点介绍了目前主要的
网络风险趋势,以及企业如何更好地避免或
降低此类风险事件的影响。
―、后疫情时代的安全措施松懈加
剧了网络风险
新冠疫情的暴发导致了历史上最大规
模的居家办公,这也给了犯罪分子利用漏洞 的新机会。为了应对疫情突发事件,许多企 业通常在很短的时间内就扩大了远程工作
部署,为尽可能多的员工提供访问公司软件 和系统的权限便利,不得不降低甚至暂停执 行IT 安全标准,迫使网络安全承受前所未有
的新压力。根据网络安全公司Arceo 的研
究,受访的250家企业(年营收在2.5亿美元 至20亿美元之间)的首席信息安全官几乎一 致认为,远程工作时的安全措施不可能像在
办公室时那样严格。
安全措施松懈的潜在后果就是网络犯 罪分子和黑客更容易渗透到原先受到有效
保护的企业系统中,造成数据泄露、网络勒
索入侵和IT 系统故障:受访的首席信息安 全官们表示,居家办公期间,云使用、个人设 备使用以及未经审查的应用程序及平台是
当前面临的最大威胁。同时,50%到90%的
数据泄露是由员工自身的工作失误,抑或是
被网络钓鱼或社交工程导致的。
国际刑警组织仃NTERPOL )的数据显
示,在2020年,恶意软件和软件事故已 经增加三分之一以上,同时网络钓鱼、
和欺诈行为也增加了 50%。急于采用新的
Overseas Experience
损失原因■赔案金额口径
•系銃外1»纵行为(例如:来自互联网或软8SX
件、恶意软件等恶意内容的直接攻击)
•内部恶奪行为(例如:雇员的不法行为)9%
内部倉外(例如:人为错误、技术/系统故障或6%
停机)
蓦于对2015年至2020年9月报吿的1736«.Bf付总離6604亿耿元(#
安联全球企业及特殊风险公司
S H A N G H A is u R A N C E
M O N T H L Y •
J A N 云系统和远程访问解决方案也会造成数据
泄露案件增加在四个月的时间内,国际刑
警组织的一个私营部门合作伙伴监测到了
约907000封垃圾邮件、737起恶意软件事件
以及48000个恶意URL—
—皆与新冠病毒主
题有关。
特定行业也报告了相关事件的增加
在美国,由于数以百万计的员工居家办公,
其中包括那些负责维护关键基础设施的工
作人员,这导致疫情期间针对电网的网络攻
击激增35%.这种攻击可能引发的最坏后
果是停电或重要设备的损坏。2020年5月,
英国的电网数据系统遭到黑客攻击,不过电
力供应并未受到影响’2020年3月,欧洲电
网运营商协会ENTSO-E遭到攻击,其内部办
公系统受到影响有报告称,自疫情大流行
开始以来,针对海洋和海上能源领域的网络
攻击增加了400%o
迄今为止,AGCS仅看到少量与新冠疫
情有关的网络索赔,但随着犯罪分子继续
加大活动力度且开发出更成熟的技术,网络
犯罪导致的索赔可能在不久的将来进一步
加大,
损失原因-赔案数量口径
O•内部育:外(例如:人为错俣、技术/系统故障或54%停机)
•系统外操纵行为(例如:来自互联网或软件、43%
恶意软件尊恶意内容的亶接攻击)
•内部恶意行为(例如:雇员的不法行为)3%
分析.总金顒是包括MCS及其他參与份测保险人在内的总敷°
随着远程丁作兴起和经济衰退下的商
业环境转变,再加上网络钓鱼、软件攻
击和不安全的远程网络访问带来的损失成
本,商业事件或将继续增加。
以新冠病毒为主题的网络和旨在利用
公众对疫情大流行的关注的网络钓鱼活动
将继续作恶。
疫情大流行对企业的数字化发展、远程
办公以及更多依赖在线销售等都将产生长
期影响,企业为应对新冠疫情采取的这些措
施也意味着网络安全风险将以不同的形态
和形式演变。
二、营业中断和数字供应链更加脆弱
由于对技术的日益依赖,供应链中的网
络风险也越来越大,数字化中断已成为网络
安全损失中不容忽视的因素。
网络安全事件发生后的营业中断(BI)
已成为企业的主要关注点。AGCS通过分析
网络安全赔案,发现在大多数情况下,营业
中断是造成企业经济损失的主要原因。无
论是软件、人为错误还是技术故障,关
键系统或数据的丢失都会让一家企业在当
今数字化经济中陷入困境。
新冠疫情暴发前进行的“安联风险指数
2020”调研显示,网络安全和营业中断现已
成为企业面临的最首要的两类风险,而且它
们之间的关联性越来越高。在包括银行和
航空公司在内的多个行业发生大规模中断
事件后,这种观点更是深入人心。与此同
时,软件攻击,如2017年NotPetya恶意
软件和Ryuk事件,已经给制造业、服务
业以及公共部门组织造成了严重的破坏,
数据或“商业情报”的丢失正在成为主
要的损失原因。长时间无法访问数据可能
会对企业收入产生重大影响,例如,一家公
司无法接收订单。值得关注的大型营业中
断赔案之一就是2019年欧洲媒体公司遭遇
的火灾事件,该起案件中索赔金额的很大一
部分与数据失效和为恢复数据所产生的成
本有关。
数字供应链为提供服务及货物都带来
了巨大好处技术化的共享平台使数据能
够在各方之间交互,使行政事务和订单自动
化,并按需运输产品。但是,此类平台可能
会产生连锁反应,使得营业中断遍及整个部
门。如果平台由于技术故障或网络事件而
无法使用,则可能给所有依赖并共享同一系
统的公司带来巨大的营业中断损失。2019
2022延迟退休表格最新年6月,谷歌部分云服务发生的故障给包括
YouTube、Uber和Snapchat在内的多家大型
在线服务提供商造成了数小时营业中断的
灾难性后果。2017年,亚马逊网络服务在北
美地区发生4个小时的故障,给标准普尔
500强企业造成了约1.5亿美元的损失。
就在五年前,AGCS等保险公司的网络
安全保险理赔团队还主要关注数据泄露以
及由此产生的第一方损害和对第三方承担
的责任。但随着企业对技术的日益依赖,对
第一方和营业中断保障的关注越来越多,
理赔部门需要逐渐具备跨学科的职业能力
(包括但不限于业务持续性、法务、会计等专
业知识)。
三、软件是如今最突出的网络犯罪威胁
软件攻击正日益成为网络安全损失的最大原因之一。事实上,欧盟的执法机构EUROPOL正将其视为最突出的网络犯罪威胁。
已然髙发的频率,加之越来越大的破坏性,软件攻击以其复杂的攻击手段和巨额要求正更多瞄准大型企业。五年前,典型的软件赎金约数万美元,如今这一数字可以达到数百万美元网络攻击的后果可能使企业陷入瘫痪,特别是那些依靠数据提供产品和服务的企业同时对供应链中的其他环节,如关键基础设施,也会造成重大损失。
根据安全软件供应商Emsisoft的估计,2019年全球有近50万次软件入侵报告,仅在赎金方面就给企业组织造成了至少63亿美元的损失。据估计,处理此类事件的总成本远远超过1000亿美元。赎金只是其中一部分,软件导致的营业中断经济损失才是最严重的。随着停机时间越来越长,恢复系统和数据的相关成本会非常高昂。一项关于欧洲网络安全保险损失的最新分析显示•修复支出的成本与索要的赎金相近;而营业中断损失的占比是前二者的4到5倍。
在某些情况下,软件仅仅是真实目的下的烟幕弹•例如以个人数据窃取为目的的案件在2020年1月至6月期间,ID Ransomware网站收到的100001份上传信息是与软件团伙攻击企业和公共部门组织有关的,其中11642个(约11%)实际上是与公开窃取数据的团伙相关联,且真实数字可能更高。
攻击方式上也已经超越了前几年常见的散兵游勇式的大批量网络钓鱼攻击,资金雄厚的有组织的网络犯罪团伙对大公司发起更加复杂和有针对性的攻击,以期索取高额赎金。
近年來,网络保险索赔的主要案例有诸
如Ryuk恶意软件等事件•以及2019年针对
全球铝生产商Norsk Hydro的攻击,苴员工一
度不得不依靠笔和纸办公、Ryuk于2018年
8月首次见诸报端,发动多次对全球大公司、
医院和地方政府的网络袭击。此类攻击计
划周密,黑客花时间识别和瞄准关键网络系
统,力求最大限度地提高攻击的影响层面和
赎金数额
考虑到受疫情影响居家办公人数上升,
而家庭网络安全保障措施可能不如工作场
所,可以预计到未来会出现更多的恶意软件
和软件攻击,新冠疫情大流行的背景也
加剧了这种威胁一自2020年初以来,各地所
报告的恶意软件和软件事件已经增加
了三分之一以上。
“网络照客商业化”也导致了更多安全事
件发生°越来越多的网络犯罪分子采取“特
许经营”模式,将恶意软件卖给其他攻击者,
然后针对企业要求支付赎金。这使得高端黑
客工具能够更加广泛地利用网络漏洞犯罪
《安联风险指数》
Q:企业最担心的营业中断的原因是什么?
©
门然
灾;*
火灾/
爆炸
网络安全
衣所竹调审対si(共讣iow人)选幵昨的门别t.允rnnmibitz*大hook.
四、商业攻击激增
一段时间以来,商业
(BEC),或称网络欺诈攻击的频率一直在增
加,且由于经济衰退和新冠疫情暴发推动的
商业环境转变•这种情况仍会持续激增:更
多的人居家工作意味着会滋生新的犯罪活
动机会根据FBI的数据,在疫情大流行之
前,BEC事件自2016年以来已经在全球范围
内造成了至少260亿美元的损失2018年5
月至2019年7月,全球BEC事件数量翻了一
番,平均经济损失约27万美元。
BEC攻击通常涉及社交工程和钓鱼式
,以欺骗员工或公司的高级管理人
电脑开机密码员,使其透露登录凭证或进行欺诈性交易
随着时间的推移,EEC攻击已经变得越来越
复杂,犯罪分子现在多使用欺诈性
和伪造账户来模仿高级管理人员、供应商或
客户,以获得对公司IT系统的访问权限:在
过去,BEC攻击的重点是欺诈性的资金转
移,但如今它们也被用来窃取有价值的数据
或进行账户接管的攻击。
豇豆种植技术Overseas Experienee
五、特大数据泄露的代价更大
随着IT系统和网络世界变得越来越复杂,以及云计算和第三方服务的增长,大型数据泄露事件的应对成本正在上升。监管问责是推高成本的关键因素,同时第三方责任和潜在的集体诉讼风险的增加也是
驱动因素’尤其是所谓的特大数据泄露事件(涉及超过100万条记录),发生频率和付出的代价也更大。2019年7月‘Capital One遭遇了银行业史上规模重大的一次泄露事件,美国约有1亿客户受到影响,超过全国人口的30%。美国银行监管机构也对其8000万美元。然
S H A N G H A 二N S U R A N C E
M O N T H L
Y •J A N 而此次事件还不是近年来最大的一次。
据报道,2018年万豪酒店集团和信用
评级机构Equifax在2017年发生的数据泄露
事件,分别涉及超过3亿和1.4亿客户的个
人数据。两家公司都面临着多个司法管辖
区的诉讼和监管行动。英国数据保护监管
机构宣布计划对万豪酒店集团的数据泄露
事件1亿英镑(约1.3亿美元)。此外,英
国航空2019年7月宣布,其因2018年数据泄
露事件(50万名客户受到影响)被处以1.83
亿英镑(约2.4亿美元)罚金。然而,在考虑
到新冠疫情造成的经济冲击后,英国航空最
终只支付了2000万英镑(约2600万美元),
但这仍是英国信息专员办公室仃CO)开出的
最大罚单。
尽管如此,根据Ponemon研究所的数据,
现在一个特大泄露事件的平均成本为5000
万美元,比2019年增加了近20%。对于超过
5000万条记录的数据泄露,成本估计为3.92
亿美元,较2019年略有上升。
六、国内外监管力度趋严
数据保护和隐私监管的范畴和地域范
围都在不断扩大,这对收集和使用个人数据
的组织提出了更严格的要求,对消费者权益
的保护力度和对违规行为的处罚力度都得
中国银行营业时间以提高。
在美国,数据泄露后企业须履行通知义
务早已成为网络保险损失及购买网络保险
的重要推动因素。2002年,美国加利福尼亚
州出台了第一部这样的法律,而阿拉巴马州
则在2018年成为第50个制定数据泄露通知
法案的州。近年来,其他国家和地区也纷纷
效仿,澳大利亚和加拿大在2018年出台了数
据泄露通知法,而其他一些国家的步子则走
得更远。
2018年5月生效的欧洲《通用数据保护
条例》(GDPR)改变了游戏规则:这项法律
远远超出了向监管机构和个人通报数据泄
露的义务标准,并大大提高了消费者权益的
保护力度。它规定企业在使用数据之前需
获得同意,解释如何使用数据,并在收到要
求时删除数据,此后,其他司法管辖区皆效
仿GDPR并起草了类似的法律,以美国加利福
尼亚州和巴西最为典型,亚洲、拉丁美洲和中
东的一些国家也在朝着类似的方向发展。
这些都意味着企业需要更多考虑其在
国内外面临的监管风险。例如,GDPR可适
用于处理欧盟公民数据的美国公司,而《加
州消费者隐私法》将适用于持有当地公民数
据的欧洲公司。
GDPR催生了更多保险索赔的报案。如
果从监管处罚的角度观察,根据Pinsent
Masons律师事务所的数据,在2019年3月至
2020年5月期间,欧洲数据保护当局(DPA)
共开出190张GDPR罚单,金额近5亿美元。
欧盟法院于2020年7月对Schrems II案
件作出的判决也使情况更加复杂。这表明,
依据欧盟一美国隐私保护框架(Privacy
Shield Framework,又称"隐私盾”)从欧盟向
美国传输个人数据已不再合法有效。作为
回应,美国商务部和欧盟委员会已经开始有
关讨论,以期建立一个符合判决要求的隐私
保护措施强化框架。
上述所有都体现了对数据泄露责任的
强化以及对数据收集和使用的规范,这对现
代企业的存续发展有着重要影响,可期的是
监管法规未来将得到更加严格的执行
七、集团诉讼呈发展态势
如今,许多大型数据泄露事件都会引发
监管处罚,同时可能遭受来自消费者、商业
伙伴和投资者的起诉。一旦发生这样的情
况,法律费用会大幅增加事件总成本。
美国的数据泄露诉讼呈上升态势,一些
大型违规事件引发了消费者或投资者的集
体诉讼。2019年7月,Equifax就其2017年的
特大违规事件和起诉方达成了7亿美元的和
解美国法院一直在应对“法律地位”问题的争议,即索赔人是否有权起诉,但趋势似乎有利于原告。监
管法规的变化也有助于主张数据泄露的赔偿。例如,《加州消费者隐私法》为消费者提供了起诉企业的相关法律依据,并开创了美国历史上为数据泄露设定法定损害赔偿的先河。
除美国以外的一些国家已经扩大了集体诉讼的权利。例如,在欧洲,《通用数据保护条例XGDPR)使数据或隐私泄露的受害者更容易寻求法律救助。此外,原告代理公司和诉讼投资人正积极寻求在欧洲和其他地区提起数据泄露的集体诉讼。
八、公司并购也会带来网络风险
在一些大型数据泄露事件发生后,网络
安全风险已经成为并购中的热门话题。例如,2018年万豪酒店集团的数据泄露事件,导致其面临监管机构近1亿英镑(约1.3亿美元)的,该事件的起因是其2016年收购的喜达屋酒店集团在2014年发生过数据泄露。
即使是保护措施完善的公司,如果他们收购了一家网络安全薄弱或存在漏洞的公司,也会遭遇风险。由此带来的结果是收购方仍可能要对并购前发生的事件承担损害赔偿责任。
归根结底,潜在的网络漏洞和风险暴露需要成为企业在并购中更为优先考虑的事项,许多公司在这方面并没有进行足够的尽职调查。同时,交易完成后,很多企业也没能快速处理被并购方网络安全系统
中的薄弱环节。
九、国家政治因素也增加了网络安全风险
对企业而言,国家政府卷入网络攻击成为一项日益增长的风险,这些攻击以企业的知识产权为目标,或意图对企业自身造成营业中断或物质损失。大型事件,诸如选举和新冠疫情等,则为网络攻击提供了“良机”。谷歌表示,他们在2020年的每个季度都不得
不阻止超过11000次以政府资助做掩护的潜
在网络攻击,包括网络钓鱼活动及不太常见
的分布式拒绝服务攻击。
近年来,港口、码头、油气设施等重要基
础设施也频繁遭到网络和活动的攻击。
随着国家的介入为黑客提供更多的资
金,先进的网络攻击技术和恶意软件也可能
会流入网络犯罪分子手中。正如NotPetya恶
意软件攻击事件,即使企业原不是直接的攻
击目标,国家支持的网络攻击也会造成附带
损害。
十、风险防范:预备、落实、预防
筹备和培训是最有效的降低风险的方
法,可以大大减少网络事件发生的可能性或
损害后果。对于很多人为错误导致的事件,
可以通过培训来减轻风险,这尤其适用于网
络钓鱼和欺诈等最常见的网络攻
击形式。
培训还能有效减轻软件的攻击,当
然维护安全备份也是必不可少的二业务恢复
和持续性计划也是降低网络事件影响的关
键,但应对计划进行测试、实践和定期审查
企业应考虑借此机会与保险公司和经
纪人配合,组织内外部关键人员进行模拟演
练。这样不仅可以建立信任,也能降低危机
事后之痛。
要成功减轻网络事件的影响,还需要对
企业整体的IT系统和流程进行良好的监督和
了解。整体管控机制有利于更快掌握局
面。明确的职责分工和沟通,调动所有部门
一致执行总体规划,将使应对措施更加有效。
疫情大流行后的格局为企业带来了新的
挑战。随着家庭办公的普及,针对网络接入
点和潜在软件攻击风险部署安全措施至
关重要。同时,因为网络中断对于营业收入
会产生重大影响,也要同时定期监测并确保
有充足的网络容量。当许多员工进行视频会
议时,企业还应该注意带宽的可用程度。
购买网络安全保险是公司提高其网络
恢复能力的最后防线之一。如果其他所有
措施都不够充分,保险在帮助公司恢复重建
方面可发挥至关重要的作用,但它不能代替
战略性的风险管理机制.培养员工风险防
范意识,以及对系统进行更新和持续监控,
毫无疑问应该在任何企业的网络安全工作
清单中排在首位駆
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论