Skip to main content

資安風險

鑑於資安風險複雜且快速擴散的特性,企業在管理其風險時可以透過經驗豐富的風險顧問獲取建議。我們協助評估和量化資安風險,為網路攻擊做好準備並妥善因應,完善風險移轉規劃,並強化組織的韌性與長期風險管理能力。

資安風險不再只是一個技術問題 , 它已不斷演進成為企業和社會必須積極管理的系統性風險。隨著遠距工作、供應鏈互聯性、數位轉型壓力和關鍵基礎設施漏洞的急劇增加,企業面臨的風險比以過往更大。企業若要永續發展,對於風險的管控必須從保守的防禦,轉向強化韌性經營。

資安威脅遍及各行各業。無論企業規模大小,現在都需要管理網路所帶來的風險。沒有一個標準答案是可以適用於所有情境的。隨著各種數位轉型技術的導入,網路犯罪份子可以更輕易地進行攻擊。

許多企業將資訊安全視為一個營運或技術問題,年年擴增資安預算。然而,資安事件的規模、頻率和經濟損失 ,包括勒索軟體、供應鏈攻擊還是營業中斷 ,仍不斷增加。

在過去的25年間,美商達信的資安風險服務始終處於領導地位,建立和提供一流的專業諮詢和解決方案,幫助客戶深入了解、衡量和管理其資安風險。透過我們的資安保險規劃、事件應變管理、風險情資分析與韌性強化等,協助客戶擬定更有效的戰略決策。

達信亞洲憑藉深厚專業,協助企業全方位提升資安風險韌性,並透過一系列經過實證的解決方案,做出更明智的風險管理與資安保險決策:

  • 資安風險量化模型, 結合質化與量化的六步驟方法,精準掌握資安曝險程度,進而優化資安保險成本與資本配置,強化整體風險管理成效。
  • 營運技術(Operational Technology)資安健檢, 依據全球標竿的 NIST 與 ISA/IEC 標準,針對企業營運技術(OT)與資訊技術(IT)整合區域的關鍵基礎設施進行全面性風險評估,有效辨識潛在的網路攻擊漏洞。
  • 資安危機模擬演練, 採用四階段實戰模擬流程,透過情境驅動的即時威脅演練,全面檢視企業現有的資安事件應變計畫是否具備足夠韌性與即時應對能力。

立即與 Marsh Asia 團隊聯繫,進一步了解最適合您企業的資安解決方案。

註:上述各項解決方案 (包括但不限於保險解決方案) 均必須在符合當地法令規定之前提下才能提供,且具體承保範圍及條件應依實際保單條款為準,理賠及損失計算仍須依個案實際狀況及保單條款處理。

常見問題集

資安保險可協助企業因應重大資安事件所造成的損失與相關成本,例如:大規模資料外洩、營運中斷、勒索軟體攻擊等。

全面性的資安保險可為您提供補償與支援服務,例如法律費用、資安事件應變計畫與技術支援、員工資安訓練、數位鑑識服務以及資料外洩通報服務等。同時,保單也能涵蓋第一方與第三方責任,包括:營收損失、額外營運支出、監管罰鍰、資料或硬體修復、聲譽損害等,提供企業資產負債表的保障。

任何使用技術或數據的企業或公部門機構皆適用。當今的網路威脅倍增,勒索軟體的攻擊頻率、破壞力與技術複雜度皆不斷升高。然而,這只是需要經過辨認、衡量與管理的眾多風險之一。

透過資安保險,量身打造的保障方案,有效將風險轉移至保險體系,同時降低網路攻擊對資產負債表的衝擊與不確定性。

建立完善的資安保險計畫,並搭配企業的整體風險管理策略,已成為當前風險治理的核心。

目前媒體關注的資安攻擊,多屬於可保風險。對於已購買資安保單的企業,這些保險通常會啟動保障並進行理賠。

儘管各家條款與條件略有不同,一般資安保險通常會涵蓋勒索軟體攻擊發生前、中、後的全面保障。承保的項目包括但不限於事件應變計畫、資料外洩通報服務以及系統還原與修復。惟具體承保範圍及條件應依實際保單條款為準,理賠及損失計算仍須依個案實際狀況及保單條款處理。

IT服務中斷事件,例如2024年Crowdstrike 軟體更新所造成的嚴重廣泛性服務中斷,可透過以下解決方案獲得保障:

  • 營業中斷險:用於保障企業自有網路或營運中斷所導致的直接損失。
  • 連帶營業中斷險(Contingent Business Interruption Insurance):保障因第三方(如供應商、服務商)網路或系統資安事件造成的間接營業中斷。

企業如果會面臨因服務中斷導致無法提供服務並面臨客戶索賠的情況,也能考慮增加錯誤與疏漏保險(Errors & Omissions Insurance,E&O)或專業責任保險(Professional Indemnity Insurance,PI),獲得額外保障。

這些保障可協助避免營收與收入損失、恢復營業所需的額外支出、法律辯護費用,以及和解與賠償等。

需注意,資安保險保單多為客製化設計,條件不盡相同,例如中斷或影響時間須超過等待期間(Waiting Period)後才能啟動理賠。因此,與值得信賴的保險經紀人合作,檢視保單是否符合企業實際需求,是確保保障充足的關鍵。

對於導入營運技術(operational technology,OT)與工業控制系統(industrial control systems,ICS)並將其與資訊技術(information technology,IT)整合的企業而言,資安事件可能帶來營業中斷與硬體損壞的風險極高。達信所提供的 OT 資安健檢(OT Cyber Health Check),可協助企業準確辨識資安漏洞與潛在弱點,防止駭客藉機入侵,並作為提升 OT 環境資安韌性的起點。

為了準確判斷資安保險的適當保額,企業可採用資安風險量化評估(Cyber Risk Quantification)的六步驟方法。該方法結合質化與量化分析,協助企業制定數據驅動的風險緩解與轉移策略,包括資安保險成本與資金配置的最佳化,進而避免如保額不足等代價高昂的錯誤。

資安風險方面,近期一項調查指出,各企業感到最擔憂的資安風險包含勒索軟體、監管風險與供應鏈風險。然而,僅有18%的受訪者認為自身對資安風險已準備充足。(資料來源:達信風險韌性報告2021)

關於自身風險管理,您需要了解的相關趨勢議題如下:

  • 勒索軟體(Ransomware):此類攻擊的頻率、嚴重性與複雜程度正持續上升。事件不僅可能癱瘓日常營運,也可能導致營運中斷、資料外洩,進而產生法律責任、聲譽損害與財務損失。
  • 監理風險:隨著隱私相關法規日益嚴格,許多企業仍缺乏全面的管理策略。合規要求不斷增加,罰款金額也持續升高。一般資料保護規則(General Data Protection Regulation,GDPR)、加州消費者隱私保護法(California Consumer Privacy Act,CCPA)與生物辨識資料隱私法(Biometric Information Privacy Act ,BIPA) 只是眾多全球、區域與產業法規中的一部分。
  • 供應鏈:駭客可藉由攻擊供應商單一漏洞,入侵整條供應鏈下游,造成連鎖損害。隨著越來越多的企業投入數位轉型與現代化,這些企業也面臨了更多資安風險。

事實上,只要企業使用科技或數據,就存在資安風險。資安風險型態多樣、難以預測,即使單一事件造成的中斷也可能對營運與財務造成巨大衝擊。不過,就像其他企業風險一樣,資安風險是可以被識別、量化並有效管理的。

在管理資安風險與威脅暴露方面,企業通常會傾向採用技術解決方案,如資安軟硬體部署、資安顧問與滲透測試服務,以及網路風險評分卡。然而,即便投入鉅資,多數組織仍缺乏對其整體資安風險及其潛在經濟與營運衝擊的全面認知。

達信獨有的專業知識及解決方案,可協助客戶們在組織上下更有效管理資安風險並提升韌性。我們可以透過情境導向損失模型(Scenario-Based Loss Modeling)、量化風險曝險、基準比較潛在資安事件的損失與成本、從財務角度評估資安控管成效,並分析多種資安保險方案的經濟效率,制定最適風險移轉策略。