189 5 促資訊保安 防範預期風險 重視事後應變 「網絡事故保險」與傳統保險還有一些區別。傳統保險的投保人在投保之後,再沒有 甚麼事可辦,若不幸發生意外或事故,只需向承保的保險公司申請賠償。但「網絡事 故保險」的投保機構投保之後,出現的後果還視乎遭網絡攻擊的受害人採取行動或反 應措施,去減低被攻擊的傷害或損失而定出。譬如,有公司遭黑客以分散式阻斷服務 (DDoS)的網絡攻擊,如果受攻擊的公司甚麼也不做,勢必導致公司整個網絡服務系統 崩潰。不過,若公司願意付出一些代價/成本,去做好偵測或阻截攻擊的反應計劃或措 施,事故發生後即時應變—這種「風險緩解」行動,便可令損失減少。這一點,是與 傳統保險業務不同。譬如,投保了汽車保險的人,一旦發生汽車事故,當事人並不需要 採取甚麼「後續行動」。 事實上,很多公司在管理網絡安全風險時,常常忽略了事故後「風險緩解」合理規劃的 重要性。根據 Ponemon Institute 和 IBM 在 2018 年進行的一項全球調查,77% 的公司 缺乏回應計劃。這種情形對完善網絡保安工作實在不理想。 筆者研究「網絡事故保險」投保者在風險預防、風險緩解和風險轉移(透過網絡保險) 決策的行為和相互影響。走筆至此,先補充一點說明,投保了傳統保險的人,往往會出 現一個經濟學上的「道德風險」(Moral Hazard)現象,亦即當投保人不用負擔產生風 險的全部成本時,將會造成誘因,使其漫不經心地增加暴露在風險的程度,譬如投保了 汽車保險,對意外防範有所弱化,使投保人的「飛車駕駛」行為有增無減。 同樣地,研究結果顯示,投保了「網絡事故保險」的人,投保之後,同樣出現「事前道 德風險」(ex ante moral hazard)現象,亦即「網絡保險」使投保者降低了預期風險的 預防,對網絡入侵風險的預防工作有所怠慢以至疏忽,致加劇了事前道德風險。 值得再次強調,當網絡事故發生後,最終後果還是視乎遭攻擊受害人採取甚麼行動或反 應措施來決定。如果甚麼也不做,後果當然極其嚴重,甚至導致公司的伺服器系統徹底 崩潰,網絡服務全面停頓,公司的損失無法衡量;如果反應及時,早有回應事故的風 險管理規劃,有效應變,公司的損失亦可以有效減少。就像美國第二大連鎖商塔吉特 (Target)與第一資本金融公司(Capital One)出事的後果各有差異之別。 是以在網絡保險中有一些合同,會把公司事故後應變行動的成本,計入賠償金額之中。 遭攻擊的受害方可以向保險公司申請索償。
RkJQdWJsaXNoZXIy NDk5Njg=