根據佳達(Guy Carpenter)的研究,CrowdStrike的技術中斷為全球企業造成了3 億至 10 億元美金的損失。在此事件後,許多公司提出了這項大哉問:「我的資安保險保單是否足以保障類似事件帶來的損失、和解與賠償?」
亞洲近年來的數位轉型十分迅速,與此同時,對網路中斷與威脅的風險也大幅增加。2024年第2季,亞太地區每家企業平均每週受到網路攻擊的次數同比成長23%。1 資安保險能幫助公司減緩營業中斷、資料外洩應變成本、勒索軟體等損失,然而,您的企業所需要的資安保險應如何安排適當的保障範圍呢?
為您的企業決定適當的資安保險範圍
您可以考慮採用以下兩種方法,評估適合您業務需求的最佳資安保險額度:
#1 將您的風險概況與同業進行比較
與同業的資安風險概況比較過後,您可以就資安保險所需額度得到初步的概念。透過達信的 Blue[i]資安風險分析工具等數位工具,以取得有關資安威脅量身打造的分析,幫助您進行資安投資決策:
- 衡量您組織特定的資安威脅、營業衝擊及資安控管,涵蓋超過800 項安全控制與 110個獨特的資安事件情境。
- 根據員工數量、營收與事故記錄等標準指標,計算資安事故的潛在損失。
#2:量化您的資安風險
若缺乏對資安風險的量化評估可能會導致保障不足,進而影響資安保險保單的成本與條件,並在事故發生時留下保障缺口。達信亞洲的資安風險量化服務透過以下功能為您提供協助:
- 六步驟的質化與量化顧問協助流程,分析您現有的資安保險範圍與缺口,並評估資安保險計劃的總風險成本。
- 根據您的企業數位足跡和資安攻擊情境,找出資安弱點,並進行全面的威脅分析。
- 提供專業顧問諮詢,包括理賠及精算分析等,以定義損失並辨認最佳保障結構。
- 根據您的企業資安弱點和資安事件潛在最大財務衝擊,決定可預期的損失金額,以對應目前的資安風險概況。
如何決定最佳方法
資安風險同業比較與資安風險量化是兩種實用方法,可協助您針對資安保障做出明智的決策。
資安風險同業比較適合資安成熟度初期的公司,提供快速、直接的解決方案概略性地量化網路風險。
另一方面,如果您擁有一間大型企業、已投保資安保險,並希望進行保險範圍擴大與優化,則適合採用資安風險量化。它還適用於尋求量身打造、資安狀況深度解析與風險量化衡量來進行更多強化的公司。
案例研究:為首次購買資安保險的大型跨國企業量化資安風險
某亞洲大型製造業首次購買資安保險,需要協助瞭解其資安曝險,以及在充滿挑戰的保險市場中決定適當的保額。
達信亞洲的資安風險量化團隊提供了以下支援:
- 量化勒索軟體、營業中斷和資料外洩等資安事件的財務風險。
- 透過與所處產業的同業機構比較,評估現有資安控制的成效。
達信亞洲也協助向保險市場展示該企業的資安風險概況,最終幫助該企業就關鍵損失情境取得適當的保障,進一步提升了資安韌性。
案例研究:對工業控制系統(operational technology,OT)和 IT 系統進行資安風險的策略評估,以驗證其保障的有效性
某位於亞洲的全球性汽車公司希望量化自身在重大資安攻擊中的風險,包括營業中斷及/或機敏資料的損失。同時,該公司希望了解現有保險範圍是否充足。
該公司的複雜生態系涵蓋製造工廠等實體營運及雲端等數位系統,風險量化頗具挑戰性。然而,達信亞洲順利:
- 定義了假設性資安風險情境對客戶關鍵OT及IT等應用的衝擊。
- 向公司管理階級報告了潛在的風險缺口與情境,並量化這些曝險。
- 驗證該客戶可選擇的保險方案,其涵蓋範圍是否足以緩解這些風險。
達信亞洲的洞察分析使該公司能對其風險進行策略評估,並驗證其現有承保範圍的有效性。
註: 上述各項解決方案 (包括但不限於保險解決方案) 均必須在符合當地法令規定之前提下才能提供。此外,各保險公司資安保險條款啟動要件、承保範圍及除外事項不同,企業遭受損失的型態也各有差異,因此具體保險方案、出險理賠及損失計算仍須依個案實際狀況及保單條款處理。
您知道自己的資安保險涵蓋哪些資安事件、以及保障範圍是否足夠嗎?
請與達信專家聯繫,了解我們量身定制的資安風險量化服務如何協助貴組織做出明智的決策,並使您的資安投資達到最大效益。
1 Check Point(2024年),Check Point研究報告顯示,全球資安攻擊在過去兩年中出現最大漲幅—2024年第二季全球資安攻擊增加30%. https://blog.checkpoint.com/research/check-point-research-reports-highest-increase-of-global-cyber-attacks-seen-in-last-two-years-a-30-increase-in-q2-2024-global-cyber-attacks