187 5 促資訊保安 [本文摘要]:網絡犯罪層出不窮,事前防範與事後的「風險緩解」(ex post risk mitigation)同樣重要。「風險緩解」是通過風險管控措施,來降低風 險的損失率或影響程度。本文討論了近年興起的「網絡事故保險」(cyber insurance),以及公司事前風險預防與事後應變以緩解風險的相互作用。 「網絡事故保險」與傳統保險業務有異。對於傳統保險,精算師可以評估到保 險服務內容的風險有多大、保險公司可承擔和支出多少賠償金額。投保人在投 保後,並沒有甚麼事可跟進,若不幸發生事故,只需向承保的保險公司申請賠 償。但關於「網絡事故保險」,由於網絡事故層出不窮,黑客的入侵手段也推 陳出新,風險難以估計,是以也不易為提供保險收費進行定價(pricing)。投 保機構投保後,出現的後果還視乎遭網絡攻擊受害人採取行動或反應措施,去 減低攻擊的傷害或損失而定價。 本文發現,投了網絡保險的人,在利益誘因下,會增加對預期「風險緩解」的 努力,甚至有應變事故後的保安規劃,形成一個對投保公司、下游客戶、保險 公司三方「三嬴」的效果。 近年,網絡犯罪層出不窮,令更多機構面對資料洩漏、勒索程式及其他網絡保安事故的 風險,數碼港 2023 年 8 月便曾遭黑客入侵,盜取了大量資料並進行勒索。如何紓解與 日俱增的網絡安全風險?機構如何把防不勝防的網絡攻擊損失減至最低?這是一個愈來 愈有迫切需要解決的問題。 2013 年 12 月,美國第二大連鎖商塔吉特(Target)遭黑客入侵,被盜取了該公司 4,000 萬名顧客的信用卡資料。事發後,該公司對資料外洩事故處理失當,引發「公關 危機」,公司聲譽嚴重受創,損失慘重。 網絡事故保險 有別傳統保險 2019 年夏季,美國信用卡發卡機構「第一資本金融公司」(Capital One)遭黑客入 侵,逾 1 億名客戶的資料外洩,新聞轟動一時。事發後,第一資本金融公司迅速檢測出 網絡漏洞,從而能夠迅速作出有效回應,在獲得客戶與法律的支援,以及網絡保險賠償 後,使公司的損失減至最低,有估計約為 1 億美元。 網絡攻擊猖獗 善用「網絡保險」達三贏
RkJQdWJsaXNoZXIy NDk5Njg=