192 5 促資訊保安 潛在網絡攻擊對冲調控風險 照目前行業發展情況,保險需求方要求保險提供方給予的服務,不僅是保險產品,而是 冀望可以得到更廣泛的資訊保安事故後的解決方案,亦即傾向要求保險公司能夠提供更 有系統的保障及服務。 筆者對網絡保險和數據外洩事故後有關的保險公司、投保機構和受害苦主的事前事後互動 行為所進行的研究,發現購買了「網絡保險」的機構,在防範網絡攻擊的資源投入會有所 減少,然而事故發生後,公司對減低事發後風險的資源投入會增加,以減低事故的損失。 換言之,研究發現,購買了「網絡保險」的一方會降低預期風險的預防努力或資源投 入,引致加劇了事前道德風險(ex ante moral hazard);但在事故發生後的風險緩解 (ex post risk mitigation)努力或資源投入卻有所增加。在這兩種力量的相互平衡作用 下,使遭成功網絡攻擊風險計算出來的預期損失,整體上有所減少,最終,無論對網絡 保安和保險業界以至網絡用戶,三方都得到正面的福利,即取得「三贏」效果。 設想有一家機構,其數據庫遭黑客成功入侵,偷取了這家機構大量用戶的信用卡資料, 這種網絡入侵行為在今時今日時有發生。如果這家機構購買了「網絡保險」,並且在保 險合約上,寫上適切的條款,即保險公司所提供的保障範疇,投保機構在事故發生後減 少損失努力或資源投入的成本部分,也得到理賠,這樣一來,投保的機構便有動機和誘 因,去為用戶向銀行購買一種「信用監測」服務,監測用戶的信用卡使用情況、有沒有 遭到盜用等,從而對事故發生後的損失程度有所緩解。 192
RkJQdWJsaXNoZXIy NDk5Njg=