原标题:【业界观察】资安险询问多购买少,为何企业主不买单?
华亚产物保险代理人顾问陈贤德表示,因为现今台湾经济环境不太好,愿意投资资安险的客户都来自于大型科技业和金融业,很多中小型企业的老板为了节省企业成本,不仅是节省资安险费用,甚至对资安的投入也省下来。(摄影/洪政伟)
资安险从2012年推出5年多来,总是询问者多、愿意投资者少,根据行政院主计处统计,台湾在2016年上市上柜总数高达1,624家,但投保资安险的公司在2016年才41家仅占全台的0.02%左右。为何企业经常询问资安险内容,但后来企业又却步,而那些愿意购买资安险的企业,又拥有何种共同特质才投保资安险,身为第一线与客户接触的华亚产物保险顾问陈贤德,分享以他担任保险顾问20几年的经历,以及这5年经常与意愿购买资安险企业互相交流的心得,从企业角度说明企业对资安险的顾虑和需求。
决策者的资安意识,决定企业是否愿意投入资安险
一般来说,企业真正遭遇到网络攻击后,才会意识到公司网络系统的安全不足,发现资讯安全的重要性,正所谓“不打不相识”。
台湾多数中小企业在业务决策上面都是企业直接决定,拥有资安意识企业主与没有资安意识的企业主相比,较愿意购买资安险,陈贤德解释,虽然前来咨询资安险都是公司内部的资讯人员,但资讯人员本来就已经拥有了资安意识,能够判断公司需要资安险来提供保障,可是能够决定购买资安险的决策者都是企业主。
通常愿意购买资安险的企业主不仅有资安意识,也有风险管理的概念,他们能理解公司就算已经投入了资安方面的措施和设备,但仍然会发生不可预期的资安事件,资安公司不一定能够防护到所有资安问题,才选择投保资安险,来弥补目前无法预测的资安问题。
举例来说,陈贤德揭露过去有一名具有资安意识的客户,其公司有建置资安措施,但仍发生几十万笔资料外泄事件。起初客户无法找到骇客利用何种漏洞来入侵,后来陈贤德邀请了国内资安团队进入公司,针对公司整个资讯系统来做完整检查,发现该公司客服主机系统在2年前早已遭骇客入侵,主要原因是骇客在安装客服主机系统的光碟片内植入木马程式,1年多前木马才开始被骇客唤醒,暗中偷窃公司内部资料,甚至还偷了公司所有系统的帐密。
同时陈贤德安排的资安团队也发现到,虽然公司已经在每个电脑安装防毒软件,但很多电脑都有中毒情形。
这些会考虑投保资安险的公司规模,除了拥有专门资讯部门的大公司之外,其他大部分都落在30人至50人以上的中型企业,而且资料数量都超过上千笔。
台湾经济环境差,企业节省成本拒绝使用资安险
在台湾购买资安险的企业仍是极少数,企业主多数认为,用经费来投入资安等同把钱丢进水中,除了增加经济负担也无法为公司带来实质收入,尤其是中小企业。陈贤德表示,因为现今台湾经济环境不太好,愿意投资资安险的客户都来自于大型科技业和金融业,很多中小型企业的老板为了节省企业成本,不仅是节省资安险费用,甚至对资安的投入也省下来。
虽然蛮多企业与保险公司询问关于资安险的内容,企业希望能够在先前要求保险公司提供报价单来参考,但是企业看完报价单结果后,大多数企业主最后还是不采用。陈贤德承认,通常不愿意投保因素都是老板对成本的考量,很多老板认为资安风险造成的严重性不会太大,如果没有投保资安险也不会影响任何营运。
而且,陈贤德进一步强调,在意资安风险的人都是资讯部门的人员,只要该公司资讯部门采购新的产品,或者有资讯建置政策的改变,资讯人员会告诉他,希望他能够为此估价,了解新措施的执行会造成的风险有多少,但因为企业主对资安风险不了解,经常都是有去无回的结果。
另外,虽然台湾已经有个资法,但是投保个资险的企业也不多,过去认为能够推动资安险的发展,但除了金管会根据其他金控法,惩罚资料外泄的金融机构需要支付几百万的罚款,其他产业惩罚金额却不高,例如,一般公司或电商个资外泄的话,一般也只会罚款6万元左右,企业普遍认为,罚款数目如此少,根本也不会影响企业营运。
陈贤德提到,因为欧盟在2018年提出个人资料保护规范(GDPR),直接冲击在欧盟有设点的跨国企业,包括科技业、服务业和金融业等,现在有许多企业担心这种法律风险,最近又再度有企业咨询资安险相关内容。
除此之外,企业购买其他一般产险时,保险公司会利用填表方式来评估企业状况,并且进一步提供合适的保单给企业参考,而且很多产险保费都是投保人与保险公司相互喊价而决定,充满了不确定性,但是,资安险需要检验投保公司内部资安措施现况,无法只是利用填表单方式来评估保单服务,必须亲自进入公司检测才能评估。
资安险在台湾是新兴的险种,无法利用过去大量的客户资料来得知不同程度资安措施,需要投资保费的价格范围,陈贤德谈到,因为每个人认知不同,如果使用填问券方式,同样题目勾是或否,每个客户理解可能有差距,造成评估资安状况时,会有所严重误差,企业前来咨询资安险内容时,多数都想要知道资安做到何种程度,需要投资多少保费,但这需要根据不同产业特性、规模大小与资安措施程度来评估,而不是利用列表方式的结果来了解。
资安顾问加入强化资安险专业性,也增进企业使用资安险可靠性
保险公司在评估企业资安状况时,一定会邀请资安顾问锁定企业资讯系统来执行初步的资安健诊,企业这时比较信任保险公司审查的结果报告,保险公司也能够告诉企业需要改善资安措施的项目,直到达到合理的资安标准,保险公司更可以根据评估结果告诉企业适合的保费。
这类评估方式对保险公司与投保企业能够造成双赢的效果,一方面保险公司可以协助该公司达到标准的资安措施,也能够让公司理解内部资安措施不足的地方,另一方面,保险公司根据结果报告提出适合该公司的保单,也能够凸显保险公司在资安险的专业性。
陈贤德举例指出,先前他拜访了一家最近发生资料外泄事件的准客户,首先,他邀请资安顾问了解该电商的资安情况,在顾问公司还未进入电商公司内部之前,保险公司先把该电商的网站网址交给资安顾问调查。资安顾问点击网址之后,马上就可以观察出该电商隐含多项重大资安问题,必须立刻解决,这就能够利用资安顾问的身份,增加资安险的可靠性,企业的投保意愿也较高。
不仅如此,资安顾问也会给客户短、中、长期的建议,如首先建议客户在网站上先做权限控管,之后根据ISO△27000标准来建议客户遵循,但如果企业本身规模不大,无法遵循所有内容,可以选择几项要点来实施。
企业需要建立信任与客观评估,才愿意投资资安险
资安险毕竟是个新兴的险种,台湾过去没有丰富的经验,造成企业目前还无法信任保险公司能够确实协助处理资安事件的善后。陈贤德表示,如果企业无法信任的话,也很难推动资安险,只有少数投保资安险客户都是互相彼此有建立信任关系才愿意购买。
至于如何取得企业信任?陈贤德认为,他们去跟客户谈资安险,一定要直接跟用户说资安险的保障范围,以及不保范围,特别是不保范围与定义一定要跟客户说清楚,不能让客户只听到防护面,而没了解无法防护的地方,甚至也需要把过去的案例跟客户分享。
如果一旦用户发生了资安事件,客户才发现哪些部分不是承保范围,不仅对保险公司失去信任,更是影响资安险的推动。
不仅如此,资安险不只企业需要信任保险公司,保险公司也要信任客户的选择,其中,资安险保单中有提供保险公司信任的资安团队来处理,但是仍有客户希望能够使用自己信任的资安团队,陈贤德表示,保险公司为了守住客户自行挑选资安团队的品质,避免客户网络仍经常遭到攻击,客户需要等待保险公司评估审核通过后才能够使用。
因此,企业愿意购买资安险,保险公司与企业之间就要先前建立信任,保险公司需要和客户想法一致。
保险公司不仅要邀请专家来强化资安险可信度,也必须把资安险承保范围的模糊地带向企业厘清,逐步地解释给企业,让企业能够真正理解资安险内容,避免发生事情当下造成保险公司和企业两者之间的误差,而破坏客户和保险公司的信誉。
iThome△Security
相关:
资料来源:保发中心,iThome整理制表,2017年9月 去年7月第一银行总共41台自动提款机遭植入木马程式,骇客在英国利用远端控制程式,窃取了超过8千万元的用户存款,这是台湾近年来窃贼利用网络工具,锁定银行系统来
与MXIC OctaFlash 相结合韩国首尔2017年8月16日电/美通社/--OctaRAM 在汽车仪表板、汽车资讯服务、工业应用和高性能消费类产品(如SSD 控制器和显示时序控制器)上是一个非常理想的解决方案。专业Low-Power 记忆体解
地方中心/综合报道?台电大潭电厂下午的无预警停电,也造成桃园桃音工业区出现局部跳电,厂商损失情况仍有待统计。桃园市议会邱奕胜议长为这些厂商抱屈说,这样无预警停电已经造成市民很多不便及企业的伤害,这些人真
各银行为抢夺行动支付“疆土”,纷纷释出新一波绑卡优惠。像是华南与安泰银行新加入Android Pay,祭出首刷最高100%回馈;台新强打Samsung Pay大送20%刷卡金;台北富邦请卡友喝星巴客咖啡;第三方支付业者欧付宝不
悲剧再现,父母外出儿子坠亡,实在令人心痛!租住在厚街出租屋的一对夫妻临时外出,留下4岁的儿子小文(化名)独自在4楼的房间里睡觉。没想到半小时后回来,夫妻俩却找不到儿子了。两人到处寻找,最终在出租屋楼下找到