在剛剛過(guò)去的第三季度,幾乎每月都有一些安全領(lǐng)域的大事發(fā)生�,用“事件高發(fā),影響深遠(yuǎn)”來(lái)形容也不為過(guò)���。2018年7月,騰訊云由于硬件故障��,導(dǎo)致前沿?cái)?shù)控的數(shù)據(jù)資產(chǎn)遭遇損毀�;2018年8月,華住集團(tuán)遭黑客入侵��,造成1.3億客戶(hù)數(shù)據(jù)的泄漏;2018年9月���,順豐的工程師因操作失誤刪除生產(chǎn)庫(kù)�,對(duì)公司業(yè)務(wù)產(chǎn)生了嚴(yán)重的負(fù)面影響�����。
這三例事件分別來(lái)自于硬件設(shè)備��、外部威脅和內(nèi)部人員�����,這也是信息安全最容易出現(xiàn)問(wèn)題的幾個(gè)方面�。安全事件,是懸在每一名IT人員頭上的一把劍����。
科技保險(xiǎn)的核心價(jià)值
在信息安全風(fēng)險(xiǎn)面前,我們需要把“IT抵御技術(shù)風(fēng)險(xiǎn)”的能力升級(jí)成“企業(yè)抵御IT風(fēng)險(xiǎn)”的能力����。也就是傳統(tǒng)的以IT部門(mén)防范技術(shù)風(fēng)險(xiǎn)為主,盡快轉(zhuǎn)化為舉企業(yè)之力防范數(shù)據(jù)資產(chǎn)可能出現(xiàn)的風(fēng)險(xiǎn)�����。
數(shù)據(jù)資產(chǎn)出現(xiàn)問(wèn)題時(shí),至少帶來(lái)四個(gè)方面的影響���,一是需要調(diào)動(dòng)各種可能找到的技術(shù)力量�,采取應(yīng)急響應(yīng)����,包括找到專(zhuān)業(yè)的數(shù)據(jù)恢復(fù)團(tuán)隊(duì);二是因系統(tǒng)癱瘓或效率低下��,帶給公司業(yè)務(wù)收入上的損失����,這種損失不僅是金額上的,有時(shí)也可能是致命的�����,需要建立能夠幫助企業(yè)恢復(fù)元?dú)獾难a(bǔ)償能力�����;三是影響到企業(yè)的外部形象和商業(yè)信譽(yù)�,需要專(zhuān)業(yè)的公關(guān)團(tuán)隊(duì)或者律師團(tuán)隊(duì);四是影響到IT人員����、IT主管甚或公司高管的職業(yè)生涯。上述的影響應(yīng)對(duì)中����,僅僅第一種是技術(shù)為主的。
在這種情況下�����,以網(wǎng)絡(luò)安全保險(xiǎn)為代表的科技保險(xiǎn)產(chǎn)品�����,成為了當(dāng)前仍在承擔(dān)信息安全風(fēng)險(xiǎn)的信息化主管的最佳選擇��。保險(xiǎn)通過(guò)其“定價(jià)�����、定責(zé)���、定損”的量化能力�����,至少能夠幫助信息化主管建立3種機(jī)制���。
1.正向量化風(fēng)險(xiǎn)���。企業(yè)數(shù)據(jù)資產(chǎn)的大小、IT系統(tǒng)對(duì)企業(yè)經(jīng)營(yíng)的影響程度����、出現(xiàn)問(wèn)題之后的響應(yīng)機(jī)制,需要由決策層����、業(yè)務(wù)部門(mén)、信息部門(mén)的參與����,讓安全生產(chǎn)與企業(yè)經(jīng)營(yíng)掛鉤,真正成為企業(yè)共同負(fù)責(zé)的事情�。大家與保險(xiǎn)顧問(wèn)坐在一起,把無(wú)形的安全需求轉(zhuǎn)化成顯性的保額保費(fèi)��,達(dá)到提高對(duì)數(shù)據(jù)資產(chǎn)認(rèn)識(shí)程度的重要效果。
2.應(yīng)對(duì)能力提升�。任何軟件都有可能存在BUG,任何安全防范措施都不能100%地隔離危險(xiǎn)�。企業(yè)的技術(shù)力量主要是保障正常需求響應(yīng)�����,所以在出現(xiàn)黑客攻擊�����、存儲(chǔ)損壞����、訴訟賠償時(shí),絕非企業(yè)現(xiàn)有的內(nèi)部技術(shù)力量能夠解決的��。保險(xiǎn)公司不但能用保險(xiǎn)賠償解決費(fèi)用問(wèn)題���,更有價(jià)值之處是在承保過(guò)程中與出現(xiàn)問(wèn)題后���,幫助對(duì)接到專(zhuān)業(yè)的第三方機(jī)構(gòu),節(jié)省了不必要的時(shí)間�,提高了響應(yīng)的效率。
3.IT價(jià)值評(píng)估。企業(yè)在安全上的投入主要是由CIO和信息化主管完成的����,用于購(gòu)置安全設(shè)備、現(xiàn)場(chǎng)服務(wù)等的都視作單純的費(fèi)用支出�����。通過(guò)引入科技保險(xiǎn)�����,由外部的保險(xiǎn)專(zhuān)家在分析安全技術(shù)措施的有效性���、安全制度流程的合理性開(kāi)展安全評(píng)估核保���,由此厘定出企業(yè)保險(xiǎn)費(fèi)的整個(gè)過(guò)程,實(shí)際上正是以第三方的身份��,幫助IT部門(mén)展現(xiàn)其工作價(jià)值的過(guò)程�����。
科技保險(xiǎn)存在的問(wèn)題
然而�,我們心中會(huì)有一個(gè)問(wèn)題���,既然數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)這么大,科技保險(xiǎn)的作用這么好���,為什么此前的了解不多呢���?現(xiàn)成的保險(xiǎn)市場(chǎng)是否成熟呢��?的確��,科技保險(xiǎn)的發(fā)展�����,需要解決以下幾個(gè)問(wèn)題����。
1.供給不足。國(guó)內(nèi)目前有網(wǎng)絡(luò)安全保險(xiǎn)��、IT職業(yè)責(zé)任保險(xiǎn)等科技保險(xiǎn)產(chǎn)品的保險(xiǎn)公司不多�����,真正開(kāi)展這類(lèi)業(yè)務(wù)的就更少了。保險(xiǎn)從總體上來(lái)說(shuō)����,是一個(gè)先有需求、后有產(chǎn)品的行業(yè)���。保險(xiǎn)產(chǎn)品的供給不足���,除了保險(xiǎn)公司自身的承保專(zhuān)業(yè)能力之外,側(cè)面反映出業(yè)務(wù)需求�,特別是有效需求尚不明確的現(xiàn)狀。
2.面子問(wèn)題����。長(zhǎng)期以來(lái),IT部門(mén)都是以技術(shù)“萬(wàn)能”的身份出現(xiàn)����,只要提得出需求,IT沒(méi)有搞不定的����。特別是本身就是搞安全的,再買(mǎi)個(gè)這方面的保險(xiǎn)��,是不是表示我們自己技術(shù)不過(guò)關(guān)?其實(shí)�����,我們看一看身邊�����。當(dāng)企業(yè)聘請(qǐng)了專(zhuān)業(yè)的司機(jī)����,是否就不再買(mǎi)車(chē)險(xiǎn)��?美國(guó)對(duì)于上市公司����,為什么會(huì)要求購(gòu)買(mǎi)專(zhuān)門(mén)的董事長(zhǎng)和總裁的高管責(zé)任險(xiǎn)?所以�����,車(chē)險(xiǎn)與駕駛水平無(wú)關(guān)�����,高管險(xiǎn)與管理水平無(wú)關(guān),保險(xiǎn)僅僅是一種風(fēng)險(xiǎn)轉(zhuǎn)移的財(cái)務(wù)安排�����。所以�����,我們要跳出技術(shù)視角�����,不再是“IT抵御技術(shù)風(fēng)險(xiǎn)”的孤軍作戰(zhàn)����,而是營(yíng)造“企業(yè)抵御IT風(fēng)險(xiǎn)”的全民皆兵。
3.制約因素����。筆者認(rèn)為,制約科技保險(xiǎn)良性快速發(fā)展的原因有以下3個(gè)�。
(1)沒(méi)有第三方的標(biāo)準(zhǔn)。以醫(yī)療保險(xiǎn)的賠付為例�,保險(xiǎn)公司是以“到公立醫(yī)院就醫(yī)、醫(yī)院開(kāi)具的醫(yī)療收據(jù)”作為理賠依據(jù)��,原因就在于公立醫(yī)院和醫(yī)師資格由國(guó)家衛(wèi)生部門(mén)進(jìn)行評(píng)級(jí)、醫(yī)療價(jià)格統(tǒng)一規(guī)定的���。信息安全保險(xiǎn)比起醫(yī)療保險(xiǎn)來(lái)說(shuō),復(fù)雜數(shù)倍��。在沒(méi)有第三方標(biāo)準(zhǔn)的情況下���,保險(xiǎn)公司和承保企業(yè)都很難在“定價(jià)���、定責(zé)、定損”上達(dá)成一致���,從而造成承保效率低、理賠糾紛多的風(fēng)險(xiǎn)����。
(2)沒(méi)有強(qiáng)制性要求。車(chē)險(xiǎn)是我國(guó)最大的財(cái)產(chǎn)保險(xiǎn)品類(lèi)��,機(jī)動(dòng)車(chē)交通事故責(zé)任強(qiáng)制保險(xiǎn)(交強(qiáng)險(xiǎn))作為車(chē)主必須購(gòu)買(mǎi)的保險(xiǎn)�����,功不可沒(méi)。企業(yè)社會(huì)保險(xiǎn)如果沒(méi)有行政處罰的強(qiáng)制要求���,征繳成本必須大幅上升���、征繳效率還將急劇下降。在沒(méi)有強(qiáng)制性要求下���,就需要保險(xiǎn)公司自己來(lái)營(yíng)造銷(xiāo)售場(chǎng)景�����,對(duì)客戶(hù)的教育成本高��、展業(yè)成本大�����。這也是整個(gè)商業(yè)保險(xiǎn)的現(xiàn)狀�。
(3)損失恐懼感不強(qiáng)��。購(gòu)買(mǎi)保險(xiǎn)另外的動(dòng)因����,是對(duì)風(fēng)險(xiǎn)所造成經(jīng)濟(jì)損失的恐懼��。在網(wǎng)絡(luò)安全法中�����,僅僅規(guī)定了一些對(duì)于企業(yè)違反之后的處罰條文����,沒(méi)有涉及到對(duì)客戶(hù)的經(jīng)濟(jì)賠償規(guī)定�����。為了體現(xiàn)行政處罰的“痛”���,在我國(guó)還不能把行政和監(jiān)管的罰金作為保險(xiǎn)賠償范圍���,否則有保險(xiǎn)包容作惡的嫌疑。
對(duì)于很多IT從業(yè)者來(lái)說(shuō)����,由于風(fēng)險(xiǎn)事件造成職業(yè)生涯受損����,是其最大的風(fēng)險(xiǎn)。不過(guò)����,這個(gè)損失基本上屬于精神層面而不屬于經(jīng)濟(jì)損失層面,所以也需要保險(xiǎn)產(chǎn)品的創(chuàng)新來(lái)解決����。
聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶(hù)自發(fā)貢獻(xiàn)自行上傳����,本網(wǎng)站不擁有所有權(quán)����,未作人工編輯處理�,也不承擔(dān)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)有涉嫌版權(quán)的內(nèi)容�����,歡迎發(fā)送郵件至:service@bkw.cn 進(jìn)行舉報(bào)����,并提供相關(guān)證據(jù),工作人員會(huì)在5個(gè)工作日內(nèi)聯(lián)系你�,一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容�。
