网络勒索肆虐,保险公司竟是幕后推手
保观 | 聚焦保险创新
6月24日,美国佛罗里达州莱克城(Lake City) 的紧急会议上,市长和议会成员们聚在一起,商讨该如何解决该市迫在眉睫的勒索软件攻击问题,在过去两周里,大量电脑系统被恶意锁定。最终,莱克城官员选择向黑客“屈服”并支付赎金。
该市的网络安全保险公司Beazley,伦敦劳合社旗下的专业保险公司,为此支付了42个比特币的赎金(价值约46万美元)。 而对于该市的纳税人,他们只需偿付1万美元的免赔额,向黑客“购买”了解锁文件的密钥。
城市经理Joseph Helfenberger表示:“如果这个过程有效,它将大大节省时间和金钱。”
在Joseph的简报中未提及的是,该市的IT专家与外部供应商一直在竭力恢复备份文件。不过,根据Beazley的建议,该市选择了支付赎金,因为延长的恢复成本将超过其100万美元的最高保额,并且该市也希望尽快恢复正常运营。
市长在接受采访时说,从更低的城市成本来说,他更愿意让保险公司支付赎金。这不是一个令人愉快的决定,但这是唯一的选择。
网络安全风险日益严峻
早在2015年初,英国劳合社表示,网络犯罪每年给全球企业造成的损失高达4000亿美元。几个月后,Juniper Research发布了一份报告,指出到2019年,网络犯罪将对企业带来超过2万亿美元的损失。 而随着5G、物联网的进一步发展,以及联网设备的增加,网络安全风险将更加严峻。
在勒索软件狂欢中,一个角色不可忽略:保险业。据美国信用评级机构AM Best的副总监Fred Eslami称,近年来,仅美国公司,在国内外销售的网络安全险预计已达到70至80亿美元的市场规模。虽然保险公司没有发布有关支付赎金方面的信息,但非盈利性调查网站ProPublica发现,他们经常能够满足网络攻击者的要求,即使可能存在备份文件等备选方案。
“支付赎金”的背后
监管机构表示,保险公司批准或建议支付赎金,这样做很可能会通过快速恢复运营来最大限度地降低成本。与上述的莱克城网络勒索事件一样,从备份中恢复文件可能是艰巨而耗时的,可能会让保险公司面临高昂的成本,从员工加班到危机管理公关工作。
业内人士表示,对于保险公司而言,直接支付赎金的方式颇具财务意义。通过避免企业长时间的收入损失,数据恢复的费用支出等,保险公司极大地降低了索赔成本。而且,“奖励”黑客的行为,无形中为更多的勒索软件攻击起到推波助澜的作用。这反过来又会刺激更多企业和政府机构争相购买网络安全保险。
“保险公司没有责任阻止罪犯,这不是他们的使命。他们的目标是帮助被保险人恢复业务。但这也提出了一个问题,当你向这些罪犯付款时,未来会发生什么?“ 纽约保险信息研究所发言人Loretta Worters对此表示深深的担忧。
联邦调查局和安全研究人员表示,支付赎金将助长网络犯罪的牟利性和传播性,并且在某些情况下可能会资助恐怖主义政权。
杀毒软件提供商Emsisoft的首席技术官Fabian Wosar表示,他最近为一家遭到勒索软件攻击的美国公司提供了咨询服务。 他说,在确定从备份中恢复文件需要数周后,该公司的保险公司却向其施加压力,坚持支付赎金。 Wosar表示,保险公司希望避免在恢复备份文件期间,由于服务中断而出现收入损失,因为这正是它的承保范围。 最终,该公司同意让保险公司支付大约10万美元的赎金。 但是从攻击者那里获得的解密器并没有使系统恢复正常工作,而Wosar则被要求完成修复工作。 出于保密服务要求,他无法透露客户和保险公司的身份。
“支付赎金对保险公司来说要便宜很多。” Wosar评价道,“网络安全险沦为了勒索软件的助燃剂。 这是一种变态的关系。保险公司愿意支付任何费用,只要比他们必须承担的索赔便宜。”
是保险,还是帮凶
在过去一年中,由于保险公司批准的赎金不断攀升,从几十万到上百万美元,犯罪分子的“胃口”也越来越大。康涅狄格州一家专门从事勒索软件案件公司Coveware报告,其客户支付的平均赎金约为3.6万美元,比去年10月增加了六倍。 研究公司Forrester的首席分析师Josh Zelonis表示,这两年来,勒索软件的复苏与网络安全险公司的赎金增加有着很大的关系。
一位网络安全公司的高管表示,黑客们尤其会勒索他们知道有网络安全险的公司。 之前,一家小型保险公司在网站上宣传网络安全险,并着重列举了几家投保公司,其后,三家投保公司遭到了勒索软件攻击。 另外,黑客还可以通过公开文件识别被保险目标。对此,美国证券交易委员会建议上市公司考虑报告“与网络安全事件有关的保险”。
保险公司何去何从
最初,许多保险公司不愿意承保网络风险,部分原因是缺乏可靠的精算数据。当他们保护客户免受火灾、洪水和汽车事故等传统风险时,他们会根据国家和行业来源的权威信息对保单进行定价。但是,正如劳合社在2017年的一份报告中指出的那样,“没有相应的网络风险来源”,用于设定保费的数据是从互联网上收集的。 这些公开数据可能会低估勒索软件对保险公司的潜在财务影响。 根据全球咨询公司普华永道(PwC)的一份报告,保险公司和受害公司都不愿透露网络安全事故详情,因为担心影响竞争优势或声誉受损。
尽管定价存在不确定性,但仍有数十家保险公司开始涉足网络安全领域。前监管人士Nordman表示,预计其他保险领域将在未来几十年内出现业务萎缩。 例如,自动驾驶汽车预计将使车祸严重性降低,保费也会相应下降。 保险公司正在寻找新的机会领域,而网络保险正是为数不多的高增长细分市场。
的确,网络保险市场正在迅速发展。数据显示,2015年至2017年间,在网络安全领域,美国保险公司的保费收入翻了一番,估计达到31亿美元。
对于保险公司来说,网络安全险比其他保险更加有利可图。根据全球专业服务公司怡安保险(Aon)的报告,2018年美国网络安全险的损失率仅为大约35%。 而根据NAIC的保险业数据,所有财产和意外险的损失率约为62%。 除勒索软件外,网络安全险还经常承担与数据泄露、身份盗窃和电子金融诈骗相关的索赔费用。
在承保过程中,保险公司通常会询问投保人的网络安全状况,例如防火墙的强度、备份文件的可行性。如果保险公司认为该组织的防御措施不充分,他们可能收取更多保费甚至拒保。与此同时,一些保险公司会建议投保人聘请外部公司进行“网络审计”,作为一种“风险缓解工具”,通过强化网络安全来预防攻击乃至避免索赔。
“最终,你会看到勒索软件攻击的预防措施可能来自保险公司。”北达科他州保险业监理专员Jon Godfread说,“如果保险公司可以阻止攻击,他们就不必支付索赔,这是个利己又利他的结果。”
End
推荐阅读
点击图片即可阅读