本周末,一次幾十年不遇的“浩劫”席卷全球互聯(lián)網(wǎng)。包括英國、意大利、俄羅斯、中國在內(nèi)的近百個國家受到了一種名為“比特幣病毒”的攻擊,損失慘重,其利用NSA黑客工具包中的“永恒之藍”0Day漏洞,通過445端口(文件共享)在內(nèi)網(wǎng)進行蠕蟲式感染傳播,如果用戶沒有及時安裝Windows補丁,這個病毒基本上處于無解狀態(tài)。
截止昨日,已經(jīng)有上百個國家和地區(qū),數(shù)十萬臺電腦被感染,包括我國部分高校和大型企業(yè)的內(nèi)網(wǎng)也遭受到病毒的波及。然而,勒索病毒W(wǎng)annaCry還在繼續(xù)蔓延。
路透社援引保險公司消息稱,因網(wǎng)絡安全保險相對較少,美國以外的許多公司可能會因近日爆發(fā)的網(wǎng)絡攻擊承受數(shù)百萬美元的損失。
歐亞企業(yè)損失數(shù)十億美元
怡安集團網(wǎng)絡保險業(yè)務全球負責人凱文·卡林尼奇(Kevin Kalinich)表示,全球范圍內(nèi)網(wǎng)絡安全保單幾近九成在美國。年均網(wǎng)絡安全保費市場高達25億至30億美元。
就網(wǎng)絡安全保險在美國有如此高的滲透率的原因,保險經(jīng)紀公司Marsh的網(wǎng)絡保險產(chǎn)品負責人鮑勃·帕里斯(Bob Parisi)在接受路透社采訪時表示,“這是因為美國在過去十年間施行了網(wǎng)絡安全漏洞通知法(state breach notifiCATion laws)。”此法律規(guī)定,若發(fā)生可識別個人的信息泄露,企業(yè)和政府必須發(fā)布通知。
路透社稱,公開透明的規(guī)范讓公司樂于為需要上報的網(wǎng)絡安全問題投保,以彌補類似事件對他們造成的損失。
凱文·卡林尼奇稱,那些沒有為“想哭”的攻擊做好準備的公司,因業(yè)務中斷造成的損失,可能會遠遠超過300美元贖金。
“如果你是一家醫(yī)院,遭到攻擊后無法為病人看??;如果你是一家全球性的物流公司,無法進行派件;如果你是西班牙或者俄羅斯的一家電信公司,業(yè)務中斷所造成的損失都遠遠超過300美元的贖金?!笨帜崞嬲f道。
據(jù)路透社報道,受到“想哭”勒索軟件攻擊的公司包括英國國家健康中心、法國汽車制造商雷諾(Renault)和西班牙電信(Telefonica)等,這些企業(yè)的計算機系統(tǒng)都被“想哭”鎖死,需要繳了贖金后才能恢復使用。
另據(jù)西班牙電信的知情人士表示,該公司有購買相關的網(wǎng)絡安全保險,但目前對經(jīng)濟損失的評估還為時尚早。美國網(wǎng)絡風險建模公司Cyence估計,在上周五的病毒事件中,個人平均贖金為300美元,業(yè)務中斷所造成的總經(jīng)濟損失高達40億美元。
美國網(wǎng)絡影響部門(The U.S. Cyber Consequences Unit,一家非盈利性研究機構,為政府和企業(yè)可能受到的網(wǎng)絡攻擊做經(jīng)濟和戰(zhàn)略評估)則認為,“想哭”勒索軟件造成的累計損失在幾億美元的范圍內(nèi)浮動,不太可能超過10億美元。
網(wǎng)絡保險利潤高
路透社稱,通常來講,典型的網(wǎng)絡保險是針對公司遭受的如勒索軟件一類的攻擊,保險公司稱此類保險的銷售量在過去的一年半內(nèi)飆升。帕里斯還透露稱,此類網(wǎng)絡保險不僅將支付案件的調(diào)查費用,還為客戶支付贖金。
然而,那些沒有下載微軟在今年三月份發(fā)布的補丁的公司就沒有那么走運了,因為許多網(wǎng)絡保險公司并不會對此類情況進行理賠??帜崞孢€表示,那些使用盜版軟件的公司也不可能獲得保險公司的理賠。
帕里斯則表示,大多數(shù)網(wǎng)絡保險公司最高的理賠金額為5000萬美元,其中大部分損失與公司的業(yè)務中斷有關;少數(shù)的網(wǎng)絡保險最高的理賠金額甚至可能達到5億至6億美元。
路透社報道中稱,網(wǎng)絡保險還涵蓋如下事項產(chǎn)生的費用:通知信息被泄漏了的受害人、雇傭公關機構處理公司聲譽受損問題、安排對受影響人員進行信用監(jiān)控,處理潛在的法律訴訟等。
網(wǎng)絡保險是一個高利潤的行業(yè)。ScieMUs保險公司曾表示,為價值1000萬美元的數(shù)據(jù)泄露投保費用約為10萬美元,這一保費是人身傷害投保的7倍。
除了上述已經(jīng)提到的提供網(wǎng)絡保險服務的公司外,其他同類公司還包括安聯(lián)保險(Allianz)、美國國際集團(AIG)、美國丘博保險(Chubb)以及蘇黎世(Zurich)等等。
在上周末“想哭”的攻擊中,有多少損失是可以通過保險公司理賠來做補償?shù)?,仍是一個未知之數(shù)??帜崞孢€表示,保險公司會更加仔細地評估他們會承擔的風險,擬定保單和免賠事項時也會更加審慎。
“保險公司想選擇那些最不可能遭到黑客攻擊的公司來為其承保?!笨帜崞嬲f道,如果客戶在沒有通知保險公司的情況下,自行繳了贖金的話,保險公司也許會拒絕理賠。
網(wǎng)絡安全險國內(nèi)罕見
從公開信息看,國內(nèi)只有有限幾家險企推出網(wǎng)絡安全保險,對客戶因網(wǎng)絡攻擊而遭受的經(jīng)濟損失進行彌補。
國內(nèi)首批提供互聯(lián)網(wǎng)安全保險的險企是美亞保險和安聯(lián)財險,兩家公司都在2015年推出相關產(chǎn)品。美亞保險產(chǎn)品的承保范圍包括敏感數(shù)據(jù)外泄(個人及企業(yè)數(shù)據(jù))、黑客入侵、計算機病毒、雇員惡意破壞數(shù)據(jù)或處理數(shù)據(jù)失當、數(shù)據(jù)盜竊、網(wǎng)絡保安系統(tǒng)失效、計算機系統(tǒng)事故所引發(fā)的第三方索賠或?qū)е碌臉I(yè)務中斷,以及網(wǎng)絡勒索相關贖金的保障。
安聯(lián)財險的網(wǎng)絡安全險則針對各種原因引起的數(shù)據(jù)丟失、網(wǎng)絡被加插惡意軟件、網(wǎng)絡盜竊與網(wǎng)絡敲詐等風險事件作出理賠,保障范圍包括營業(yè)中斷損失、設備損壞費用、贖金等。
2016年初,眾安保險推出數(shù)據(jù)安全險,產(chǎn)品只面向阿里云用戶。若因黑客攻擊導致用戶云服務器上的數(shù)據(jù)泄露并造成經(jīng)濟損失,眾安保險將為投保用戶提供最高100萬元的賠付。
其他互聯(lián)網(wǎng)保險公司和大型財險公司官網(wǎng)展示的,更多的是手機賬戶、銀行卡賬戶資金安全險,這類產(chǎn)品主要保障的是個人賬戶被盜刷、盜用等導致的資金損失。而支付寶等平臺的賬戶安全險明確將“由于黑客攻擊等原因造成的服務中斷或者延遲”列為除外責任。