當一切已成枉然 你還有虛擬險

「在安全上，保險是全面危機管理的一部分。」一家全球保險與金融服務公司—AIG的副總Emily Freeman說道。「無論科技如何精進，風險永遠無法降到零，因為它包含了人、程序，以及技術等問題。保險的角色就是做為你的依靠，幫你處理那些無法避免或緩解的事件。」

到目前為止，這項概念仍無法激起市場的熱度。一位經紀人說在100件虛擬險的提案中，他只成交了三個案子。根據紐約的Insurance Information Institute最新的預估，在未來三年內，保額可能達到30億至40億美元。

看來客戶興趣缺缺的原因似乎是導因於一項誤解：根據Ernst & Young最新一次的Global Information Security Survey發現，在1,400份回收問卷中，有33％的受訪者誤認為他們原有的商業保險已涵蓋了電腦安全事件，而其他受訪者則無法看出這項保險的價值，或是擔心在索賠時，會曝露出自己的安全與情報漏洞。

儘管如此，由於有越來越多的安全與風險經理人，認為最好還是接受這類的安全保障，即使無法避免所有的資訊攻擊，因此提供虛擬保險的公司在過去兩年內，營收還是逐年倍數成長。

「有了保險，IT經理人便不能再說這裡一點風險都沒有這類的話，」亞特蘭大一家保險經紀商INSUREtrust的總裁Steve Haase說。「他們可以說身為一位商業人士，他們已經儘可能謹慎地做了該做的事，但是，如果哪裡還有危險的話，我們還有保險。」

　現有的保障範圍

儘管虛擬險未臻完美，但目前還是有許多的保障類型，可概分為第一人（first-party，指所遭受到的損害）以及第三人（third-party，當其他人遭到損害時的責任）。最常見的有：

1.第一人業務中斷

包括了因意外或安全漏洞使得系統停機所造成的營收損失。區域災難性大停電（如去年夏天美國東北部的大停電）所造成的損失，一般則排除在外。

2.第一人電子資料損害

涵蓋了回復惡意資料（compromised data，如病毒感染）相關的損失。

3.第三人媒體責任

包含了Internet出版，如網站、電子郵件，以及聊天室相關的侵權與責任賠償。

4.第三人網路安全責任

涵蓋了資料遭濫用或危害，而發生身份冒用或信用卡詐欺等事件所造成的損失。保單除了會將款項還給遭身份冒用以及詐欺的受害者之外，保險公司還會償付公司回復所需的成本。

5.第三人網路責任（或下游責任）

涵蓋了因網路上散撥的惡意傷害（例如DoS攻擊或病毒）而產生的訴訟裁判。

6.第一人勒索

涵蓋了當駭客宣稱已控制了系統或資料，並威脅要做出嚴重傷害時，所產生的贖金需求，並提供逮捕及起訴這些駭客所需的資金與資源。這項保險據說受到線上遊戲公司以及季節性電子商務網站的歡迎，因為它們常成為受害的目標。 雖然最受歡迎的保單是第三人責任保障，但業界專家同意最常見的虛擬險理賠案件不是駭客攻擊，而是由文字毀謗、口頭毀謗、侵權以及違反商標所導致的媒體責任理賠。同時，即使買了虛擬險，政策與程序仍是個爭議點，因為虛擬險並無法消弭所有的風險。基本上，企業付錢給別人，是為了在一定的範圍內，承擔某種特定的風險。但整體的安全還是必須控管好。

虛擬險的成本有多高？由於安全事件與受害者各不相同，因此也沒有標準的費率，但由之前少量的歷史資料，還是能預測出保險的成本。大多數保險公司只提供第三人保單，因為潛在的支出要遠比第一人的保障範圍來得低。結論就是：虛擬險通常會比一般的責任險或業務中斷險要貴。

以傳統的保險來說，由於資產損失不能超過百分之百，因此第三人的保障範圍成本通常會高於第一人。但是，這對虛擬險來說並不適用——虛擬險的第一人保障範圍的成本會高過第三人的成本。

「這不像水災，病毒對保戶的攻擊是全球性、全面性的，但不是所有人都會同時向所有的保戶請求責任賠償。」芝加哥一家保險經紀商Arthut J. Gallagher & Co.的全國實務主管Michael Lamprecht說。「只有那些非要第一人保障範圍不可的公司（那些所有業務全部電子化的公司）才會投保。」

「如果你同時買了第一人業務中斷以及責任保障，每一百萬的保額可能需要12,000至20,000美元。」保險公司Marsh的資深副總Peter Foster說。「如果你只需要責任險，每一百萬保額需花費7,000至10,000美元。」

Foster相信由於市場的成熟，保費在未來兩年可能下降三分之一甚至一半。其他受訪者對降幅的預估則較為保守。

大型企業較容易具經濟規模，因為他們通常會有防護設備，而保險業者較可能給予折扣。小型公司投保虛擬險的成本將會是傳統保險的兩到三倍，因為這些公司不太可能具備與大型企業同等級的安全防護或基礎設施。

「保險公司在報價之前，會希望取得保單的完整申請。」INSUREtrust的Haase說道。當然，有時候即使保險公司受理了保險，也不代表沒後顧之憂了。「這是企業的決策，只要所有決策都是有意義的，而不是因襲或忽視所採取的行動，有時候自我保障也是明智的作法。」密西根東藍辛市（East Lansing）一家保險經紀商的IT Risk Managers的總裁Larry Harb說。

自我保障是United Parcel Service所採用的策略。「我們評估過虛擬險，但發現它成本實在太高了。」UPS發言人說。「我們傾向以自身的人力進行安全防護，但我們也會持續地注意這個市場。」
適用性與評估
在保險公司願意提供保單報價之前，先得證明這家企業是值得被保障的。對大多數買主而言，他們必須填一份關於系統、政策，以及程序的檢測問卷。問卷的答案可能影響保費至上下50%，費城ACE Professional Risk公司的副總，Brad Gow說道。

不像傳統型的保單，虛擬險沒有標準的「評分系統」或是算溢價用的保險統計表。每家保險公司都有自己一套評量客戶的方法，而這些方法會根據保險的種類而有極大的差異。

問卷並非例行公事，它們可以作為規劃的工具，不但可用來驗證安全開銷，還可以作為安全計畫的指引。「保險通常可以驗證保全的需求。」Haase說。「你可以說你為了要讓申請書上的某個特定問題變成yes，而需要更多的預算，你也可藉此驗證保險的需求。」

終究而言，問卷是自我評量的工具，然而，當遇到大型保單的狀況時，保險公司寧願找第三者來評量保戶。Haase說︰「當第一人保額超過5百萬美元，或第三人保額超過1千萬美元時，通常都需要第三者來進行評估。」

評量的範圍從簡單的安全政策審核，到藉由滲透測試以及審核機制來密集地測試安全能力。提供安全評量的公司包括了NetDiligence、TruSecure、Counterpane Internet Security、Internet Security Systems，以及最大的顧問公司PricewaterhouseCoopers、Ernst & young、Deloitte等。

「最關鍵的指標就是管理階層的警覺度，並了解他們對事態發展的認知程度。」NetDiligence的總裁Mark Greiiger說。

評估方法因公司不同而有差異。有些公司會採用ISO 17799安全標準當作指標，而另一些公司（例如TruSecure）則利用他們自己的標準來檢視是否夠安全。 大多數保險公司即使發現了缺陷，還是會讓人投保，並提供一段時間讓公司進行改善。無法解決問題的公司其保單則會被視為無效。

「若有重大的缺失則會取消保單，但是負責評估的公司通常是安全風險的專家。」Greisiger解釋道。「最常見的問題是公司的永續規劃以及災難回復。」他說。「但最大的問題還是在預算上—他們不可能不知道這些。」

作者 LAMONT WOOD (lwood@texas.net)是聖安東尼的一位自由作家。他的著作被刊登在許多期刊上，例如Scientific American以及Chicago Tribune等。