網路問題可以導致財務風險,但是網路安全仍然被認為是技術問題而不是業務問題。隨著網路安全風險的激增和對應成本的上升,網路風險評估以及這些威脅的預算將成為日益重要的業務功能。
什麼是數據洩露成本?
大數據洩露的總成本可能令人驚訝地難以計算,網路攻擊的影響範圍廣泛,可影響到公司運營的許多領域,並可以長期持續積累,所以絕不能掉以輕心。
數據洩露會對品牌價值、銷售額和客戶群產生強烈的負面影響,這也可能觸犯法律而引起訴訟, 不幸的是,這個風險越來越大。根據歐盟提出“一般數據保護條例”(GDPR)可能會受到高達2000萬歐元或全球年收入的四分之一的罰款,以較大者為準。另外,數據洩露會導致違約,員工時間、外部供應商、新基礎設施及向客戶強制性通知的成本,也可能是一項重大的開支。
在美國大多數州郡,如!公司受到網絡攻擊,必須通知國家機構以及受影響的客戶,所需的資料因州而異,並且可能需要對成本的評估。企業不願透露關於他們所遭受的違規行為的許多細節 - 與這些違規行為有關的成本在長期訴訟中可能會累積很長時間,甚至數年。
數據洩露的有甚麼風險?
風險往往是根據歷史數據和過去的事件來計算的,但網路安全的未來將不會像過去一樣。攻擊正在不斷變化,以前安全的企業成為目標,隨著所有業務持續電子化,每個過程可能存在風險,隨著安全風險的增加,網路犯罪的成本也會增加。
公司也必須意識到使用第三方基礎設施構成的威脅,這些都是難以監督的風險,可能來自意想不到的地方,例如2013年的目標數據洩露來自公司的HVAC供應商。隨著連接設備的數量的增加,企業很可能沒有為所有有機會被攻擊的地方作好評估。
你應該投資多少於風險管理?
信息安全已成為整個IT預算的一個重要組成部分,但是,企業很難接受每年需要花費大量金錢來減少漏洞,因為這很可能會佔公司預算中的重大比例。
企業需要付出不少金錢來保護用戶數據,防止攻擊,隨著顧客對風險的意識變得越來越普遍,能安全保護客戶數據這一環將愈來愈有價值,因為此舉可以提高客戶忠誠度。
所以,我們必需做好網路保險!
網絡保險的作用是什麼?
網絡安全保險是一個新興且快速增長的市場,許多新公司進入該領域,它從現有的錯誤和遺漏(E&O) 保險衍生出來,並且減少了從安全漏洞中恢復的成本,從而承擔了一些風險。
網路保險公司將面臨綜合風險問題,如果同一個網絡犯罪分子同時針對大量的受保的業務,那麼保險公司將會全部掛鉤,所以其實風險並沒有分散,反而集中了。
保險涉及隨機風險,但網路安全保險需要主動處理黑客的行為,恐怖主義保險是另一種具有相似風險結構的保險類型,保險由政府計劃支持。目前的預測模型還沒有含概處理網路威脅、響應和故意修改的網絡攻擊威脅的複雜性。
預計在這個市場將會出現重大的演變,一些高風險保險公司的失敗將揭示此類風險模型的缺陷。
報告的重要性
數據洩露時需要一個集中和標準化的報告,包括當中細節和成本,這可以通過保險公司之間、第三方標準組織,甚至通過政府授權來達成協議來共享數據。
如果現有數據沒有得到改善,網路安全風險的估算和定價將變得越來越困難。
Alex Jablokow
Alex Jablokow is a freelance writer who specializes in technical and healthcare business. He blogs about the Internet of Things, software, inertial guidance systems, and other topics for business clients. Sturdy Words, his freelance content business, is at www.sturdywords.com.