暗網潛航——信息安全風險保險 (一)——偷樑換柱

  上回提到,「信息安全風險保險」在各行業中變得普遍,尤其是需要儲存大量用戶資料及數據的企業,避免因系統出現問題致資料外洩或無法向客戶提供服務,可以籍保險公司分擔損失。

        雖然為信息安全風險提供保險是一種近年新興的保險項目,不過其實際運作原理與一般意外保險並無太大分別,都是先分析及了解受保人面對的風險,然後計算保費及索償上限。

  有部份保險公司僅要求企業提供「信息安全自我檢測的問卷」,釐清客戶可能遭遇的信息安全風險即可投保。不過,這類自我檢測文件根本不可能反映客戶實際的狀況及風險,因此這類保險不但保護範圍狹窄,索償上限也不高,甚至有可能只是意思意思,不可能獲得賠償。

  由於信息安全的風險與損失的金額日漸增加,業內開始推出更加嚴謹的信息安全風險檢測,並提出三個程序,分析當中的風險及提高檢測結果的完整性,分別為漏洞掃描 (Vulnerability Scanning) 、滲透測試 (Penetration Testing) 及信息安全評測(Security Assessment)。

        漏洞掃描可以大範圍尋找已知的信息安全系統漏洞,範圍大,有效率,但有局限性,因為這種方法無法發現未知漏洞,也未必能夠發現各系統之間的漏洞關聯性。

  所以,清除已知漏洞後就應進行滲透測試(也被稱為「受限制黑客測試」),利用指定信息安全攻擊工具模擬黑客攻擊,分析系統在一般黑客攻擊時,持久力及警覺能力到底在哪一水平。這是評估客戶現有的保安設置中最有效的方法。

  完成測試後,獨立審計員會實地檢查和觀察,並填寫信息安全風險問卷。這樣保險公司知道客戶的實質保障措施,也會了解其業務流程中的隱藏危機。完成三個部份檢測後,保險公司會整理結果,及後由核保人(Underwriters)評估客戶所面對的風險及其自身的風險承受能力,評估出保障範圍、賠償上限及保費。

  有了更深入嚴謹的風險評估,就可以提供更針對性的保險服務,避免有保險公司用普通的風險評估「偷梁換柱」,或令企業購買信息安全風險保險後,最終仍無法給予具體保障。

TOZ聯合創辦人

龐博文


hd