暗網潛航——信息安全風險保險(二) 守而必固者

  信息安全隱患或會對企業造成重大損失,「信息安全風險保險」則可降低事故影響。然而,購買保險就要支付保費,企業關注這類保險保費會否成為其營運負擔。

        其實跟火險一樣,只要做好預防措施,降低風險,保費也會相對低廉。

        我們會透過漏洞掃描、攻擊測試,以及在操作環境上進行安全處理程序檢查檢查客戶系統,並會根據國際認可的標準 Common Vulnerability Scoring System (CVSS)3.1,把漏洞分成不同的風險級別。一般而言,如果風險評級達4.0以上,我們會判斷這是一個極高風險的技術漏洞,會要求客戶馬上整改。

        另一方面,我們也觀察系統中有沒有配置防護軟件或硬件(Safeguard)。最普遍的就是以下三種:防火牆,入侵者檢測系統及防毒軟件。如果甚麼都沒有,保費當然會馬上飆升,甚至有可能拒絕投保!情況就如你的貨物很容易被燒毀,但存放的位置卻沒有任何消防設備,又怎能買到火險呢?

        不過,在信息安全範疇之中,就算有防禦工具,還要多看兩件事,一是有沒有買對,另一是有沒有效果。事實上,信息安全防禦工具跟其他防護用品一樣分為多個等級,例如家用、商用、民用或軍事級別。如果電訊客戶只安裝家用級別的防火牆,就如在充滿毒氣的環境中使用一般口罩,根本無法抵禦危機,保費自然會提高了。

        確認客戶買對工具後,就會檢視他們如何管理及使用。例如這些工具有放在對的地方嗎?銀行保險庫擁有功能最強的監控攝錄機,但所有鏡頭都對着天花板,你認為有用嗎?又例如客戶擁有最強最貴的企業級病毒檢測掃描器,但長期沒有更新它的資料庫,而技術人員訓練不足,得物無所用,也無法有效防範攻擊。

        其實,整個風險檢測和核保過程與其他保險並無分別。即使客戶被發現安全隱患,按要求改善後保費也有調整空間。之前不是有一家香港保險公司,為鼓勵其人壽保險客戶多做運動,只要將跑步和步行的記錄透過電子手環分享給保險公司,就獲得保費減免嗎?

        所謂「守而必固」,出現事故的風險持續下降,保費自然會降低,投保範圍和賠償額也可以增加吧!

TOZ聯合創辦人

龐博文


hd