188 5 促資訊保安 兩宗事故的結果反映,網絡安全風險事前防範固然十分重要,但事後的「風險緩解」 (ex post risk mitigation)同樣不可忽視。所謂風險緩解是指通過風險管控措施,來降 低風險的損失率或影響程度。誠然,事後風險緩解的措施努力,有助減少公司的損失 (第一資本金融公司的案例可資證明)。筆者最近發表的一篇研究論文,討論了近年興起 的「網絡事故保險」(cyber insurance),以及公司事前風險預防與事後應變以緩解風 險的相互作用,得出了一些很有趣,並且對整個網絡安全、生態系統設計產生影響的重 要發現。 「網絡事故保險」與一般的傳統保險業務有別。對於傳統的保險,精算師可以評估到保險 服務內容的風險有多大?保險公司可承擔和支出的賠償金額又有多少等要項。但由於網 絡保險的事故層出不窮,黑客的入侵手段也推陳出新,事故的性質也可以千變萬化,所 以風險難以估計,從而也不容易為提供保險的收費進行定價(pricing)。保險公司可能 會為自身承保的賠償額作出上限,而非按受保公司的實際損失,作為計算賠償金額的基 礎。以傳統的醫療保險為例,若投保人患了致命重病或死亡,保險公司會全額賠償。基 於網絡事故引起企業的損失可能很巨大;加上風險的變化和程度充滿不確定性,目前不 是所有保險公司都承保網絡事故風險。 不過,「網絡事故保險」其實有相當大的價值,而且還有一個「無意的效果」, (unintended effect),對完善網絡保安的工作起正面作用,值得保險業界和網絡保安 業界的各持份者重視。這一點下文詳述。
RkJQdWJsaXNoZXIy NDk5Njg=