暗網潛航——虛擬戰場生死最前線(十一)— 李代桃僵

  信息有價。一旦出現資訊系統保安事故,所承受的損失也愈來愈高。為應付風險轉移的需求,「信息安全事故風險保險」也開始受到企業重視。

  美國Target百貨公司二○一三年被黑客入侵,大量信用卡資料洩露。雖然 Target 也是受害者,但因為信息安全事故錯失及違反法規而被信用卡發卡公司告上法庭,被罰款七千萬美元;其後更被美國的Visa信用卡用戶進行民事索償三億美元!可見資訊外洩,或對公司造成龐大潛在損失。

  對保險公司而言,雖然保費收入吸引,惟一旦發生事故,天價賠償也難以承受,故保險行業也有「再保險」的需求,專門應付「災難級」的事故。

  一九八九年加州大地震,當地大部份主要建築物都受破壞,企業雖然都購買災難事故保險,但如果由單一保險公司賠償,根本無法負擔,所以保險公司會向「再保險公司」轉移部份風險,即使發生災難級意外,也可以一起作出賠償。

  信息資料屬高風險資產,發生事故後有機會出現重大索償,故企業購買這類保險時,必須要考慮有關保險公司是否有雄厚的資本、與多間保險公司結為聯盟,或利用「再保險」的方法分散風險,承擔有機會出現的巨額損失。否則,就算企業買了保險,遇上突發事故,保險公司或有機會得不到充足的賠償。市面上已經有信息安全事故的承保公司,就已經與與英國三百多間再保險公司(Lloyd」s market)簽定了風險分擔聯盟協議。

  企業購買保險,有助分擔意外損失,而之前討論過信息安全監控中心(SOC)的情報監察、預防、對事故的即時響應及進行鑑證調查等功能,都可以進一步降低事故發生以及造成的損失的機會,同時也可以分析到事故權責問題,對企業、保險公司及用戶來說皆有益處,互利共贏。

  信息安全事故風險保險與信息安全監控中心環環相扣,後者在前線與入侵者「打仗」,前者則充當後勤、善後的角色。加上風險分擔的處理方法,保險公司讓出部份保費收益,與其他保險公司結盟合作,「李代桃僵」,才能提供最全面的信息安全保障。

TOZ聯合創辦人

龐博文


hd