原标题:【学界观点】企业要先落实资安,才需用资安险转嫁风险
政治大学风险管理与保险系教授林建智强调,资安险不是银行、电商或科技公司等拥有大量客户资料,以及使用资讯科技比例较重的产业所专属,各行各业都会面临资安风险。(摄影/洪政伟)
去年一银ATM遭骇事件发生之前,谁能料想得到位处英国伦敦分行的电话录音伺服器,竟然化身为骇客盗取ATM钞票的控制台,打破了银行长期认为,采用较封闭金融系统不易遭入侵的神话,过去一直被当作资安模范生的一银,瞬间失去了人民的信任。“企业一旦有资安事件爆发出来,损失都会很严重,企业是否要想办法管理企业可能面对的风险,管理之后如果还有疏漏、不足之处就需要靠保险转嫁出去。”政治大学风险管理与保险系教授林建智表示。
林建智谈到,金融业一直存在着一个迷思,认为金融业的资讯系统已经拥有很强的资安防护,但是他总是带着质疑的心态询问金融业者:“你的防护真的很强吗?可以达到滴水不漏的强度吗?”。他提到,在尚未爆发资安事件之前,银行业者都信心满满肯定自家的资安防护,但发生资安事件之后,才发现原来还有过去从未发现的漏洞。
保险主要核心概念是风险管理,林建智认为,资安险不是万能,前提是企业要先做资安方面的风险管控和缓解措施,降低资安意外发生的频率与幅度,也即保险业常说的损害防阻,“保险公司主要是帮忙检验,企业损害防阻做得如何,如果真的漏洞还是出去的话,企业造成的损失,保险公司才能依照约定再补给受影响企业。”
另外,林建智举例指出,他在英国参加会议听到,许多会计事务所宣称投资大量经费来建置自动化措施,为企业带来便利性、节省经费等好处,但他会进一步询问:“员工会不会用USB把资料下载出去?或者是骇客是不是很容易利用员工配备的iPad和笔电入侵至公司内部?这些设备是不是容易造成资料的流出?”企业运用这些新的资讯技术同时,也带来新的资安风险因子。
但是,资料是无形的事物,所以资安风险与其他险种,如火险、水险等灾害险相比,难以直接利用实际物品来评估风险,但林建智认为,虽然资料是看不见的事物,但仍然可以利用其他方式,来评估资安风险,他举例解释:“我们不需要资料本身有多少钱,但我们应该谈的是,我们拥有这些资料,一天能够做多少生意,这就能够推估这些资料外泄的话,企业会损失多少钱。”
不仅如此,林建智也利用企业发生资料外泄后,可能遭到罚款的罚金来评估资安风险。例如,欧盟GDPR和台湾个资法针对资料外泄的罚金就是具体的数字,这些数字就可以做为参照的风险评估。另外,他也表示,诉讼损失和律师费用也能成为企业评估目前资安风险的方式。
因此,林建智认为,企业需要在购买资安险之前,必定要先了解企业本身存在的风险,甚至还进一步表示:“只要企业风险管理建立完善,企业也不需要把资源配置在保险,有漏洞时候再买就好。”
然而,林建智强调,资安险不是银行、电商或科技公司等拥有大量客户资料,以及使用资讯科技比例较重的产业所专属,各行各业都会面临资安风险。例如,保险公司与医院也储存了客户的医疗资料,一旦受到骇客攻击而造成网络瘫痪,医生无法利用病人过去医疗纪录,来做正确的诊断,“这不仅仅是客户个资隐私的保护,而是真正在营运上的重要资料流失了。”
林建智认为,企业如果要降低受到网络攻击得损害,关键仍然是企业愿不愿意积极管理企业存在的资安风险,如何分配适当地分配企业的风险控管,这也是企业设置风险长(CRO)的目的。
资安风险中的隐性风险
企业面对资安风险,不仅是针对企业资讯系统运作上的损害来思考,林建智指出,资安风险里面隐藏著无声、隐性的其他风险,资安风险也会连动其他风险的发生。例如,他谈到,企业如果发生资安事件,也会影响到,近日保险公司积极推动的董监事责任险(DMO),因为投资者可以控告企业“因为公司在资安管理不当,这是上位者的监督不周”。
换言之,资安风险增加,也带动了董监事责任风险揭露的增加。林建智表示,这就属于沉默风险。除此之外,资安风险增加也会带来航空风险的增加,例如骇客入侵了飞航系统,造成飞机失控乱飞,也间接造成航班大乱、营业中断和商誉损失,更带来企业损害赔偿增加。所以,企业发生资安事件,同时也揭露了企业内部管理的失当。
国外资安险内容照单全收,不一定适合台湾企业
资安险还有另一个潜在问题,虽然台湾不少保险公司都开始提供资安险,但这个资安险对台湾企业而言仍是新兴险种,一开始也大多由外商保险公司引进,目前,大部分保单都是直接移植国外资安险的内容,林建智指出:“一方面,资安风险态样过于复杂,目前资安险太多不保事项,造成企业认为,有保跟没保一样,另一方面,保险公司直接复制国外内容,保险公司也不清楚资安险内容。”
林建智表示,现在资安险很多都不是企业需求,企业用户在资安方面需求可能有10项,但保险公司缩减到2、3项,而且还提供很多的但书,影响企业投资安险意愿。他表示,“保险公司美其名是为企业提供资安保险,实际上保险公司不应该只保护自己。”
在这样情况下,林建智认为,一旦出了资安事件后,保险公司与企业都各说各话,双方都告上法院。他建议,保险公司必须清楚承保项目,一开始需要向企业表达准确。而且,在保费计算上面,保险公司不应该认为,当下刚好发生重大资安事件,就向企业乱喊高价,造成资安险无法客观化。
所以,林建智认为,保险公司需要认知,资安险产品设计必须符合企业的要求,而且资讯科技发展迅速,资安险的保单内容也应该要与时俱进。
资安意识不足,也是风险管理观念不足
目前,台湾购买资安险企业不多,林建智认为:“这种情况也代表着台湾资安意识,以及资安风险管理观念普遍不足。”他表示,很多产业大多数都只意识到最明显的风险,如金融机构重视洗钱造成的风险、旅游业重视恐怖主义造成的飞航风险、能源业重视天灾、气候变迁的天气风险,这些风险在这些产业都很显著。但是,资安风险是每个企业都可能面临风险,因为每个企业都使用资讯科技来执行业务,资安风险便隐藏在企业内部中,这些产业可能都没有意识到资讯科技带来的风险。
林建智表示,多数人通常都是在发生事情后,开始有风险管理的意识,也才想到需要投保相关保险。他举出,台湾很多农民的农作物在台风期间受到严重毁损后,意识到需要为农作物来保险,才能索取理赔金,但是,在平常状况下,大部分农民都认为这些保费太贵,不愿意投保相关保险。
这种情况在资安险部分特别容易出现,林建智说明,企业主购买资安产品时都会考虑成本效益,但是资安上的投资无法实际看出来,企业经常认为,投资经费建置资安设备是浪费钱,因为长期以来都没有资安事件发生,企业主也不清楚资安设备是否有用,而且每年又一直投资几百万元经费来维护,以及购买新的软硬件。“更何况是保险,没出险、没事情发生,每年又要投资资安险保费,企业主也没办法看到实际成效。”林建智表示。
现在全球推行工业4.0理念,企业迈向数位化、网际网络化、自动化和无纸化的趋势,企业也会把资料资讯化,以及加上物联网、互联网的发展迅速,风险也开始增加。
林建智认为,虽然现在台湾资安险保单尚未成熟,但是随着网际网络重要性越来越高时,资安风险面向越来越广时,企业肯定有资源来投保资安险,对资安险未来趋势仍采取乐观态度。
iThome△Security
相关:
国际油价周五(9月1日)盘中小幅回落,受哈维影响的墨西哥沿岸部分炼油厂已经开始恢复生产,令燃油短缺忧虑情绪得到缓解,同时美元上扬也增加了油价的回调风险。美国WTI原油期货价格盘中最低触及46.56美元/桶,布伦特原
可以肯定地说,今年迄今金价走势良好,但目前为止,金价今年仅3次突破了1290美元,分别是4月中旬、6月初和8月中旬,随后下跌。黄金 加拿大皇家银行资本市场(RBCCapitalMarkets)的ChristopherLouney在2月对黄金价格走
(优活健康网新闻部/综合报道)越来越多幼童因半夜喝奶、不刷牙,引发奶瓶性齲齿,整口都是烂牙!牙科医生发现,过去门诊较少出现奶瓶性齲齿病例,但近几年来,每星期都会遇到一、两名2、3岁严重奶瓶性齲齿幼童,这
美国WTI原油9月期货周三(8月16日)收跌0.77美元,或1.62%,报46.78美元/桶。布伦特原油10月期货周三收跌0.53美元,或1.04%,报50.27美元/桶。美国原油库存大降未能打消投资者供应过剩担忧,需求面疲软迹象展现令油价
示意图,与新闻事件无关。 图片来源: DJI 中国无人机业者大疆科技(DJI)周二宣布正在开发本地资料模式(local△data△mode),可阻断无人机通过网络传输资料,免除资料外泄的疑虑。新功能预计今年9月通过更新发布