面对日益增多的网络威胁,企业越来越多地求助于网络保险,以应对成功攻击可能造成的严重财务损失。遗憾的是,网络保险本身也存在风险,特别是对于那些更关注不断演变的威胁而非保险条款细则的网络安全负责人而言。
加拿大隐私与访问委员会(Privacy and Access Council of Canada)主席Sharon Polsky指出,该组织致力于发展信息获取、信息隐私和数据保护职业,一些常见的网络保险疏漏和漏洞可能导致自满情绪,从而限制甚至抵消保单的预期效益。
贵企业是否正凭借一份包含潜在毁灭性陷阱的网络保险单,而置自身财务基础于风险之中?请检查您的保单——以及您对保单的假设——是否存在以下六种常见的网络保险“陷阱”。
1. 误以为网络保险涵盖所有风险
实际上,许多保险单提供的定义狭窄、存在隐藏的除外条款或严格条件,这些可能在发生泄露后使组织暴露无遗。“这不像汽车责任保险,每份保单都提供相同的保障范围,”保险经纪公司Tri Pack Insurance Services创始人William J. Lindsay III说,“对于网络责任,不同保险单的条款和条件会有所不同。”
在选定特定保险公司之前,Lindsay建议咨询有网络保险合同经验的律师。“保单是一份具有复杂定义的法律文件,”他指出,“律师可以标记出可能在理赔时引发争议的模糊条款、隐藏的除外条款或义务,”Lindsay说,“一旦购买了保单并发生了损失,就无法再进行更改以填补保障缺口。”
2. 误解关于保障范围、中断或威胁的细则
网络保险政策中的语言通常偏向于保险公司,而非被保险人,这一点虽然并不令人意外,但很重要,需要牢记。
“企业常常从自身角度误解这些语言,而忽视了保单语言本身所创造的风险,”Polsky警告说,“例如,业务中断保障范围仅限于由‘系统故障’造成的中断,可能排除勒索软件等网络事件。”同时,“威胁保障范围”可能仅指保单签发时已知的威胁,导致在保障期限内出现的新型威胁无法获得保险。
“问题在于,保险政策中使用的术语——如威胁——往往没有明确定义,导致被保险企业误以为自己对术语的解释就是保单所指的意思,”Polsky解释说,“不幸的是,逗号的有无或定义的有无,都可能成为诉讼的焦点。”
3. 忽视特定损失类型的隐藏上限
您可能认为您的保单将涵盖所有网络攻击造成的损失,但细看细则可能会发现,保单中充斥着无法实际满足的除外条款和保证条款,特别是在社会工程、勒索软件和业务中断等领域。
Insuranceopedia(一家允许用户比较保险报价的服务公司)首席执行官Max Coupland表示,带有隐藏上限的保单会营造一种虚假的安全感。您为全额网络保障做好预算,然后理赔申请被拒绝或大幅削减,因为损失属于子限额——即保单中设置的、减少特定类型损失可用保障金额的限制,他解释说。
为防止隐藏上限,Coupland建议与您的经纪人和安全团队一起进行桌面演练。“针对每种情景询问,‘我们是否有保障?’保障限额是多少?是否存在可能触发的除外条款?”然后,在签订保单前,将最终文件转换为一页纸的保障范围清单。
4. 未使安全策略与保单细则保持一致
如果您的安全措施未达到保单标准——包括多因素身份验证、定期备份和端点检测等——您的理赔申请可能会被直接拒绝,托管服务提供商Diamond IT总裁兼首席执行官Matt Mayo警告说。
许多企业认为自己已完全安全,但当他们提出理赔申请时,保险公司却指出他们不知道所需安全措施的细则,Mayo说,“现在,您将面临清理成本、法律费用和潜在诉讼——所有这些都没有保险提供商的支持。”
避免这一陷阱的最佳方法是使您的网络安全态势与保单中明确规定的要求完全一致。“这意味着在事件发生前审查您的保障范围。”Mayo说。同时考虑使用知识渊博的顾问,他们可以帮助实施和记录所需的控制措施。
5. 陷入追溯日期陷阱
追溯日期条款可能是最大的网络保险陷阱,网络安全服务公司Solace创始人兼首席执行官Paul Pioselli警告说,“该条款使保单生效日期之前发生的任何事件均无法获得保障,即使该事件在数月后才被发现。鉴于黑客平均可在网络中潜伏200多天而不被发现,这一漏洞在某些情况下可能使全新的保单变得毫无价值。”他说。
Pioselli表示,应尽可能要求提供全面的既往行为保障。“这完全取消了追溯日期,”他说,“如果保险公司拒绝,则协商将日期尽可能往前推——理想情况下,应推至贵公司成立日期。”
Pioselli建议,在购买保单前,尽可能进行全面的网络安全风险评估。“您必须首先了解自身的特定漏洞和潜在财务影响,然后购买与这一现实相匹配的保障限额和保障范围的保单。”
6. 误解第一方保障与第三方保障
保险营销公司Smart Financial代表Dylan Tate表示,保险寻求者可能犯的最大错误之一是未能理解第一方保障与第三方保障之间的区别,因此未能购买同时包含这两种保障的保单。
第一方网络保险是指企业在遭受网络攻击后的直接损失和费用保障,如收入损失、公关支持和与数据恢复相关的成本,而第三方网络保险则是责任保障,可在企业因数据泄露而受到客户起诉时介入,防止诉讼或处理相关费用,它还可能涵盖向消费者的预付款、和解金或罚款以及法官裁定的损害赔偿。
Tate解释说,如果企业的网络保险保单不包含第一方和第三方保障,您的组织可能保障不足,根据网络犯罪事件中遭受的损失类型,可能导致重大且不必要的自付费用。
Tate警告说,许多网络保险保单自动包含第一方和第三方保障,但一些保险公司仅单独提供这两种保障。“例如,The Hartford销售多种网络保险产品,其中一些将两种保障类型捆绑在一起,而另一些则仅包含其中一种,这可能会让企业保险购买者感到困惑。”
Tate建议,在购买网络保险保单前,提出问题是确保其满足您所有保障需求的最佳方式。回顾已知的网络安全风险和潜在的理赔情景,可以帮助企业更全面地了解特定网络保险公司在其遭受网络攻击时能提供哪些支持。“虽然可能繁琐,但事先进行详尽的对话有助于避免在理赔时出现意外的自付费用。”他说。
