企業資訊安全保護網另一個選擇

2018 / 12 / 28

編輯部

2018年8月國內高科技製造業龍頭發生機台中毒事件，並且造成嚴重損失之後，國內企業對於資安保險議題的關注度顯著地大幅提高，但是大多數企業對於資安保險的概念仍不是很清楚，究竟資安保險涵蓋的範圍為何？對企業將有什麼益處？本文將為您進一步揭開資安保險的神秘面紗。

破解資安保險的迷思
資安保險發展至今已經超過20年的歷史，初期是以個人資料保險為主軸，美商安達產物保險金融保險部協理賴繡蓉表示，資安保險的起源是為了因應美國嚴謹的資料保護法而產生，早期的保單主要針對隱私權責任提供單一的承保保障，早期的資安保險購買者主要是收集大量可辨識個人身分資料（姓名、生日、地址等等）的大型公司，產業主要是集中於大型零售業、醫療院所及金融機構，目前的資安保險則是一種綜合性的保險，可針對網路安全、隱私權及其他需求提供保障，在數位時代為企業提供第一人以及第三人損失的保障，其中資安保險提供包括第一人損失費用，營業中斷損失以及危機處理費用，及第三人責任部分，主要是為了補充傳統保險的缺口，如財產保險、產品責任險、專業責任保險及犯罪保險的不足之處，是符合數位時代需求而產生的全面性綜合保險。

許多企業對於資安保險，仍有許多常見的迷思，其中包括認為企業的資訊部門已完全掌握網路風險，以及企業的系統服務都外包，所以沒有責任，或是資訊安全應該是大公司的問題等。賴繡蓉表示，事實上，造成資安事件的原因當中，其中有超過50%以上是人為因素，例如內部人員點擊了不安全的網路連結被植入木馬，或是外部的前員工挾怨報復，犯罪組織、駭客、政府組織也會經常對一些重要標的進行攻擊，至於企業的外部供應商、服務提供者、資訊外包廠商、網路服務提供者等合作夥伴，若遭受網路攻擊，與之合作的企業也會連帶遭受影響，並有相關的法律責任。

賴繡蓉表示，許多企業認為自己公司的規模不大，所以比較不會遭受網路攻擊，這種觀點在以前或是正確的，但是隨著大企業的資安環境建置相對完整，駭客攻擊的目標已經逐漸轉移到組織規模較小的公司，且通過與大型公司進行合作的周邊公司做為網路攻擊滲透的入口。因此，企業的規模大小不再能夠去推測是否會不會遭受到網路攻擊對象的因素之一。再舉一個因為資安事件對於企業的傷害極大，以美國第三大消費者信用報告業者Equifax公司為例，該公司於2017年洩漏了多達1.43億筆美國消費者的個人詳細信息，導致該公司的股價在3個交易日內，市場價值的損失就超過30億美元。

法律責任企業營運息息相關
資安事件對企業除了經濟面影響外，法律面這幾年也相繼嚴格要求企業要承擔不輕的法律責任，賴繡蓉表示，除了歐盟的GDPR法案於2018年開始執行之外，新加坡、澳大利亞、中國、台灣、菲律賓、越南、日本、美國等地區都制定了跟資訊安全相關的法案，其中也牽涉到罰則的部分，企業若發生資安事件，將會有相關的法律責任，並對企業自身的營運造成重大的經濟損失。

每家保險公司對於資安保險的合約各不相同，也可以針對客戶進行客製化，主要涵蓋隱私責任、網路安全責任、媒體責任等地三方責任，以及網路勒索、數據損失、營業中斷、事故應變費用等第一方損失。賴繡蓉表示，預估2017年全球資安保險保費約美金35億元，其中還是以北美的30億元為主，其他地區為5億元，亞洲地區投保率仍偏低，預估低於1%，但隨著來自合約或主管機關要求，過去18個月需求明顯增加，著重於事故應變及損失預防服務，雖然在亞洲地區，大部分保險公司的理賠能力仍未受驗證，但市場發展前景與需求仍在持續增加當中。

資安保險預防