🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

美国纽约州发布网络保险框架

nana 数世咨询 2022-11-17
2021年2月4日,纽约州向所有经核准的财产和意外保险公司颁布网络安全保险风险框架,成为美国第一个颁布此类框架的州。纽约州金融服务局(DFS)表示:“从勒索软件的兴起到最近披露的SolarWinds网络间谍活动,诸多事件无不表明网络安全已成现代生活各方各面的重中之重,小到消费者权益保护,大到国家安全保障。
框架链接:
https://www.dfs.ny.gov/industry_guidance/circular_letters/cl2021_02
该框架适用于所有承保网络安全保险的财产或意外保险公司。不过,DFS希望所有保险公司,甚至包括不提供网络安全保险的保险公司,“仍然评估自身‘沉默风险’暴露面,并采取恰当的措施减少此类暴露”。
▶ DFS建议拒绝支付赎金
鉴于勒索软件保险索赔2018到2019年跳涨了180%,2019到2020年甚至直接翻倍,DFS建议保险公司不要支付勒索软件赎金,理由有三:
1. 美国财政部外国资产控制办公室(OFAC)警告称,支付赎金可能造成国家安全影响,保险公司可能需对支付给受制裁实体的赎金负责。
2. 即使保险公司确实支付了赎金,也不能保证受害者可以拿回被加密的文件或被盗数据。
3. 很多保险公司尚不能准确衡量网络安全风险。缺乏准确度量的情况下,“网络保险可能反而会增加网络风险——将由保险公司承担的风险”。
DFS指出,2017年出自俄罗斯政府的NotPetya恶意软件引发了30亿美元保险索赔,对网络安全风险保持沉默的保单令保险公司付出了27亿美元的代价。
框架本身很短,阐述了帮助保险公司管理自身风险的一系列做法。这些做法可分为以下七类:
1. 设立规范的网络保险风险策略
2. 管理并消除沉默的网络保险风险暴露面
3. 评估系统性风险
4. 严格衡量承保风险
5. 教育投保人和保险销售人员
6. 获取网络安全专业知识
7. 要求通知司法机构
▶ 主要保险商已经遵从了DFS的建议
Marsh USA美国网络保险经纪主管,执行董事Meredith Schnur称,美国国际集团(AIG)和苏黎世保险公司等主流保险商早已大多遵循了这些建议。“DFS指南无疑意义重大,但保险商已经实施了类似的做法和规范,尝试跑在勒索软件问题前面。”
在实施类似框架方面,纽约州可作为其他州乃至美国联邦政府的表率。“一些州将会模仿和借鉴此类做法。在某些做法上,你甚至能看到相关联邦指南的出台。但纽约州是独一份,从金融服务角度来看是非常独特的,因为该州是美国金融服务中心。”
▶ SolarWinds修复耗资巨大
SolarWinds在成千上万家企业和机构中安装了恶意后门,可称之为能够同时破坏诸多投保人的“系统性风险”,可能造成保险商因高额不可持续成本而陷入泥沼。DFS表示,发布此风险框架时仍在评估间谍活动造成的损失,但“鉴于受影响企业数量之多,总修复成本可能十分巨大。”
怡安保险公司过失与遗漏责任保险美国业务负责人Brent Rieth向媒体表示,DFS框架中特意点出SolarWinds“强调了保险公司应管理自身风险,以及自身系统性事件暴露面”。“在向如此广泛的投保人提供保险而暴露自身资本时,有必要认真思考这一点。”
目前为止,SolarWinds修复产生的大多数开销,都是调查阶段出现的事件管理或危机管理开销。这些花销包括找出“后门所在位置、植入方式、可能存在的地方、可能去往的地方,有没有任何形式的数据渗漏,是否有数据被获取”。“现在还远远没到估计总开销金额的时候。”
Rieth称:“至少,这些公司企业可能寻求事件响应公司的数据泄露专业咨询,帮助自身进行调查。他们还可能选择通知司法部门。仅仅是这些初步动作就涉及到各种开支了。”
“根据调查过程中发现的东西,现在讨论总开销还为时尚早。我敢说,相当长的时间里我们都弄不清楚总的损失金额。”
保险商已经着眼SolarWinds免责条款
今年1月1日左右,保险商就开始围绕SolarWinds提出问题,询问公司企业是否受到影响、是否在修复感染、是否在执行调查等等。无论规模大小,一些保险商已经开始对SolarWinds磨刀霍霍。
保险商提出各种问题,“如果答案不令人满意,保单中就会纳入各种免责条款。我们在事件曝出后六到八周的时间里看到的现象就是这样”。这些免责条款非常宽泛,申明保单未来不会赔付与SolarWinds相关、基于SolarWinds,或源自SolarWinds的任何索赔。
Schnur称:“从保险经纪的角度看来,在往后的保单中采用免责性措辞是有问题的。如果我们要接受免责条款,我们会尽可能缩小范围。”
Rieth表示:“我们已经看到保险商提出的一些免责条款了。我不知道我们有多少保单真正加入了这种或类似的免责条款。”
关于SolarWinds类免责条款的一大顾虑是其可能设立的先例。Rieth称:“我觉得这些某种程度上开先例式的用辞可能会有一些长远影响,下一次类似SolarWinds的事件发生时可能会复现,无论这些影响是什么样子的。”
Rieth警告道:“只要里面涉及由SolarWinds Orion漏洞造成、引起,或与SolarWinds Orion漏洞相关,这些用辞就能让你陷入大麻烦。因为情况可能是这样的:黑客是常见威胁元素,某种程度上与软件使用无关;但由于是同一伙黑客采用类似的战术,比如说利用后门进入环境,那就有可能被认为是相关的。我们引入笼统的免责条款时就会出现这种问题,可能妨碍了保单按投保人期待的方式起效。”
关键词:网络保险;勒索软件;SolarWinds

相关文章

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存