SolarWinds 駭侵事件中資安保險業者的總賠償金額，約為九千萬美元

資安風險評估業者 BitSight 與 Kovrr 日前發表研究報告，指出據計，儘管 SolarWinds 駭侵事件對相關政府與資訊業者造成相當大的衝擊，但對資安保險業者造成的總損失卻相對較低，保險賠償金額約為九千萬美元。

據研究報告指出，這些賠償金額主要用於補償受害業者的相關支出，例如事件反應與調查分析之用。

BitSight 與 Kovrr 係根據此次事件受害者的所在地、所屬業種、規模大小，來推估受害者花費在事件反應、調查分析、法規與罰款，以及各受害者對外發布的訊息，得到這個保險賠償金額的估計值。

BitSight 與 Kovrr 也強調，雖然受到 SolarWinds 攻擊的受害者與受害規模，隨著調查的推進而不斷增加，但這兩家公司認為九千萬美元的保險金估計值，應該不會有太大程度的變動。

兩家公司說，SolarWinds 駭侵事件影響範圍如此之大，但賠償金之所以僅達九千萬美金，是因為最主要的駭侵對象，都是屬於政府公部門單位；而公部門通常不會針對任何形式的風險購買保險以避險，尤其是在資安風險上，少有購買保險的慣例或規定。

BitSight 和 Kovrr 的報告中也指出，雖然這次有超過 18,000 家公司可能受到 SolarWinds 駭侵事件的影響，但真正遭到俄羅斯駭侵團體駭入的公司，可能僅有 40 家左右；這也使得保險賠償金的總額，沒有外界想像來得那麼高。

另外在整個 SolarWinds 駭侵事件中，駭侵者主要的攻擊行動，以長期潛伏並竊取資料為主，並非破壞系統運作；也因此壓低了整體損失的金額。


本文轉載自TWCERT/CC。