網路問題可以導致財務風險,但是網路安全仍然被認為是技術問題而不是業務問題。隨著網路安全風險的激增和對應成本的上升,網路風險評估以及這些威脅的預算將成為日益重要的業務功能。
大數據洩露的總成本可能令人驚訝地難以計算,網路攻擊的影響範圍廣泛,可影響到公司運營的許多領域,並可以長期持續積累,所以絕不能掉以輕心。
數據洩露會對品牌價值、銷售額和客戶群產生強烈的負面影響,這也可能觸犯法律而引起訴訟, 不幸的是,這個風險越來越大。根據歐盟提出“一般數據保護條例”(GDPR)可能會受到高達2000萬歐元或全球年收入的四分之一的罰款,以較大者為準。另外,數據洩露會導致違約,員工時間、外部供應商、新基礎設施及向客戶強制性通知的成本,也可能是一項重大的開支。
在美國大多數州郡,如!公司受到網絡攻擊,必須通知國家機構以及受影響的客戶,所需的資料因州而異,並且可能需要對成本的評估。企業不願透露關於他們所遭受的違規行為的許多細節 - 與這些違規行為有關的成本在長期訴訟中可能會累積很長時間,甚至數年。
風險往往是根據歷史數據和過去的事件來計算的,但網路安全的未來將不會像過去一樣。攻擊正在不斷變化,以前安全的企業成為目標,隨著所有業務持續電子化,每個過程可能存在風險,隨著安全風險的增加,網路犯罪的成本也會增加。
公司也必須意識到使用第三方基礎設施構成的威脅,這些都是難以監督的風險,可能來自意想不到的地方,例如2013年的目標數據洩露來自公司的HVAC供應商。隨著連接設備的數量的增加,企業很可能沒有為所有有機會被攻擊的地方作好評估。
信息安全已成為整個IT預算的一個重要組成部分,但是,企業很難接受每年需要花費大量金錢來減少漏洞,因為這很可能會佔公司預算中的重大比例。
企業需要付出不少金錢來保護用戶數據,防止攻擊,隨著顧客對風險的意識變得越來越普遍,能安全保護客戶數據這一環將愈來愈有價值,因為此舉可以提高客戶忠誠度。
所以,我們必需做好網路保險!
網絡安全保險是一個新興且快速增長的市場,許多新公司進入該領域,它從現有的錯誤和遺漏(E&O) 保險衍生出來,並且減少了從安全漏洞中恢復的成本,從而承擔了一些風險。
網路保險公司將面臨綜合風險問題,如果同一個網絡犯罪分子同時針對大量的受保的業務,那麼保險公司將會全部掛鉤,所以其實風險並沒有分散,反而集中了。
保險涉及隨機風險,但網路安全保險需要主動處理黑客的行為,恐怖主義保險是另一種具有相似風險結構的保險類型,保險由政府計劃支持。目前的預測模型還沒有含概處理網路威脅、響應和故意修改的網絡攻擊威脅的複雜性。
預計在這個市場將會出現重大的演變,一些高風險保險公司的失敗將揭示此類風險模型的缺陷。
數據洩露時需要一個集中和標準化的報告,包括當中細節和成本,這可以通過保險公司之間、第三方標準組織,甚至通過政府授權來達成協議來共享數據。
如果現有數據沒有得到改善,網路安全風險的估算和定價將變得越來越困難。