网络安全保险新范式丨国际视角

2018-05-24 14:01
作者:张立鹤
来源:The Digital Insuer

现阶段几乎所有行业的经营者们都已清晰地认识到,当初他们为防范风险、提高效率和追求规模经济的商业模式已经不适应市场需求了,如今持续稳定的商业生态紧紧追随消费者的个性化体验。所以我们也可以看到,如今大多数企业采用了以云计算为基础的平台,针对用户画像和精准需求挖掘,但就此带来了新的问题:

现阶段几乎所有行业的经营者们都已清晰地认识到,当初他们为防范风险、提高效率和追求规模经济的商业模式已经不适应市场需求了,如今持续稳定的商业生态紧紧追随消费者的个性化体验。所以我们也可以看到,如今大多数企业采用了以云计算为基础的平台,针对用户画像和精准需求挖掘,但就此带来了新的问题:如何在网络安全和个人隐私中找到一个允许行业创新的平衡点?

在所有的企业都将成为“数据企业”的大趋势下,网络保险行业需要适应高效的承保和动态的风险管理——美国有超过70家网络保险承保商,英国有30家,每个人都想从趋势中分一杯羹,市场竞争十分激烈,而且保险供给将会持续快速增长。

然而存在的一个基础缺陷就是——网络数据的使用并没有绝对的标准。不同企业捕获的数据并不相同,因此没有数据覆盖范围的标准来界定哪些数据可被企业用作商业用途,哪些数据侵犯了隐私。

更大的问题是,搜集的数据只是某个时间点的数据,而现实中的数据在不断动态变化。除非授权某些大型企业进行漏洞评估以获得潜在客户的数据覆盖范围,否则无法真正验证潜在客户的安全状况。

网络保险的应用需要场景和效率,而行业在这两方面做的并不尽如人意。

在线上直销的保险产品购买流程中,一些保险公司获取4-6个数据后几分钟内就给出报价并出单。但这样的数据——一个公司所属行业、盈利规模、地址、企业大事记录和企业过往索赔记录等,就足够让保险公司了解风险了吗?对保险公司而言,流畅的客户体验可以确保不失去新业务,但要求这么少的数据看起来更像是一场不计后果的军备竞赛,看谁能比其他保险公司捕捉到更多的业务。

除了无法验证投保人的实际风险外,在客户体验方面,我们应重点关注如何缓解网络风险并将其与网络保险整合到公司整体网络风险管理体系。客户需要一个评估风险缓解和风险转移的整体解决方案。

企业风控合规评估需要一个整体解决方案,它通常需要收集并分析网络程序的信息并快速响应。传统的“孤岛式”处理方法是公司花大力气完成对信息混乱繁杂的Excel表格评估(即PCI,HIPPA,NIST,ISO等),这种过分专注于单个项目是否合规的工作方法反而会局限视野,而丧失了对网络环境整体评估的战略高度。

这种专注于某个时点的评估方式对于解决现代企业的网络安全风险并没有太大帮助,一家公司在今年的网络曝光率和网络成熟度与一年后并不一样,对一家公司网络风险持续、有标准的追踪观察才是接近其真实风险的最好方式。

保险公司很有可能在某个很小的风险点上损失数千美元。Security Scorecard和Bitsigh提供的解决方案只是提供了互联网和开源数据库中可用的风险快照,保险公司只是在管中窥豹,并不清楚真正的风险点在哪里。

大多数保险公司没有意识到的是,成功的网络保险承保来自于保险技术和监管技术的交互。保险公司需要向数字平台转型,采集标准化数据,并提供即时的数据分析,并在整个承保期间持续分析投保人的风险。保险公司和客户都需要一个标准化的评估,使传统风险评估的手动过程自动化,并允许公司按照几个网络安全标准(例如NIST、ISO、HIPPA、PCI和纽约DFS规范),将IT和供应商审核等数据搜集过程自动化。

在顺应市场需求时,像Cyberfense这样的公司将会胜出。Cyberfense目前正与两家最大的网络保险公司合作,以简化承保流程,同时为公司的网络成熟度提供持续的观察,并将公司的网络风险与大多数国家和全球安全标准相匹配。Cyberfense通过分析被保险人的风险所在,详细给出推荐的解决方案以帮助客户理解如何填补安全和合规漏洞、如何管理网络风险。

许多保险公司现在提供的网络风险管理并不提供任何附加服务,好像只是一个用户可以自己谷歌的公司名单。保险公司需要以一种不侵入隐私的方式尽可能早地以适当的解决方案来指导他们的客户。通过标准化和自动化,重新定义保险经纪的力量,使得其最终能够了解网络保险,并更加愿意提升网络保险的覆盖范围。