网络保险的残酷真相：没有什么保险能弥补研发成本

如果一家公司的知识产权遭到黑客攻击和窃取，就没有保险来支付花费在研发上的数百万美元。

网络保险单旨在支付安全事故和数据披露费用，如系统取证、数据恢复以及法律和客户赔偿费用。涵盖的典型事件包括发票欺诈、加密锁恢复和内部威胁。虽然网络保险在整套安全方法中占有一席之地，但其地位经常被误解。

首先，公司必须了解其关键的数字资产和风险，因为合理采用在线保险策略对于管理保费支出和确保适当的保险覆盖至关重要。然而，网络保险只是对事后风险的补偿，绝不能取代适当的安全项目。如果公司在网络保险上投资太多，而在安全控制上投资不足，他们会被黑客攻击，保险公司会解决问题，即使他们不打算这样做。是的，数据泄露的频率令人震惊，在数据隐私法监督下的巨额罚款越来越频繁。然而，对于公司和企业来说，一个更好的安全方法是寻求一种能够适当平衡网络保险的主动安全策略。

网络保险直到2005年才开始流行。这是一个相对较新且快速增长的行业。熟练市场研究公司(Adroit Market Research Company)最近的一份报告称，在线保险市场将呈指数级增长，从2019年的全球保费近40亿美元增长至2025年的逾230亿美元。推动这一预测的是公司对最近颁布的一系列数据隐私法规的回应，如2018年5月生效的《通用数据保护条例》 (GDPR)。

公司自然害怕数据披露可能导致巨额罚款和赔偿，例如对英国航空公司和万豪国际公司征收的罚款。他们向保险公司寻求保险计划，以支付与数据披露公告相关的费用和其他维修费用。然而，过度依赖网络保险而不是投资适当的控制措施表明，公司预计会遇到数据泄露，而不是有效的组织防御。虽然保险公司可以弥补一些损失，但他们无法修复因安全事故而受损的公司声誉，也无法收回被盗的公司知识产权。令人遗憾的事实是，如果一家公司在研发上花费数百万美元，而知识产权被盗，那么没有任何保险政策能够支付研发投资的成本。促成

云

互联网保险蓬勃发展的另一个因素是云计算的迅速采用。然而，公司通常将网络保险作为保护伞来覆盖其传输、迁移和配置错误，并且不开发主动安全程序来测量和持续测试其控制措施的有效性。

此外，公司还必须明白，网络保险提供商是在追逐利润，不会补偿可能被适当的安全程序规避的数据泄露。正如长期医疗保险会拒绝为健康评估不合格的被保险人提供保险一样，保险公司的索赔限制也越来越严格。毫不奇怪，即使是拒绝保险和缺乏适当安全控制措施的公司也不包括在内。例如，如果公司遭受的电子邮件入侵攻击可以通过多因素身份验证(MFA)来减轻，那么保险公司可能不会支付或减少支付金额。

FUD 因素

在当今不断变化的数据隐私环境中，围绕保险公司战略和索赔分类的恐惧、不确定性和怀疑(FUD)从未消失。其中一个著名案例是索尼网络保险公司(苏黎士美国保险公司)拒绝赔偿20亿美元的损失，原因是2011年披露了7700万用户的个人身份信息(PII)。即使在索尼将苏黎世告上法庭后，苏黎世也给索尼上了一堂“保险单不包括任何第三方黑客事件”的课

最后，网络保险不能也不应该被视为适当网络安全计划的替代品。网络保险有助于弥补事后的损失，但它不能承担知识产权盗窃的损失，也不能堵塞设计不良的安全项目的漏洞。有效的安全策略不仅可以帮助公司获得网络保险，还可以帮助公司在攻击者发现自己之前发现安全漏洞。该方法还能使公司提高收益