隨著需求增長到前所未有的水平,該行業變得高度不穩定。保費不斷上漲,關於承保範圍和不承保範圍的規則越來越多,並且為希望投保的企業引入了最低標準。對於企業來說,這似乎是個壞消息,但最終有幾個積極的一面。
有時人們認為網路安全是一個黑暗的世界。事實上,物理現實和數位現實比您想像的要相似得多。三十年前,想要保護資產的公司首先想到的是火災和竊盜保險。如今,風險更加數位化。根據 2024 年 Veeam 資料保護趨勢報告過去一年,四分之三的組織至少遭受過一次勒索軟體攻擊,四分之一的組織在同一時期遭受過四次以上的攻擊。
毫無疑問,網路保險已成為許多組織越來越受歡迎的選擇 – 預計成長24% 到 84,62 年將成為一個價值 2030 億美元的行業。然而,隨著購買和需要保險的企業數量增加,其成本也在穩步增長,保費不斷上漲 在過去的三年裡。 這並不是保險公司為了保持網路保護獲利而做出的唯一改變:更有意義的風險評估、引入最低安全標準和減少承保範圍已成為近年來的常見做法。
網路保險最近成為一個有爭議的話題,這大多歸結為關於勒索軟體的百萬美元問題:付還是不付?儘管許多人拒絕接受保險公司是 更有可能支付贖金一 2023年報告 對受害者的調查發現,77% 的贖金是透過保險支付的。然而,許多保險公司正在努力結束這種情況。同一份報告發現,21% 的組織現在明確將勒索軟體排除在其政策之外。我們還看到了其他人 明確排除贖金支付 從他們的政策來看:他們將承擔停機和損壞成本,但不承擔勒索成本。
在我看來,後一種方法是最好的。支付贖金不是一個好主意,也不應該使用保險。這不僅是一個道德問題和助長犯罪的問題,而且還在於支付贖金並不能立即解決問題,而且常常會產生新的問題。首先,網路犯罪分子追蹤哪些公司付費,以便他們可以回來進行第二次攻擊或與其他組織分享此資訊。
一項研究發現,80% 支付贖金的公司遭受了第二次攻擊。但即使在這之前,透過支付贖金恢復也不容易。使用攻擊者提供的解密金鑰進行恢復需要很長時間,而且通常是故意的,因為一些組織對每個金鑰收費以加快進程。只要解密有效,五分之一的公司支付了贖金,但無法恢復自己的資料。
因此,幸運的是,透過保險支付贖金正在慢慢消失。但這並不是唯一改變的事情。需要網路保險的公司越來越需要滿足安全和勒索軟體彈性的最低標準。這可能包括使用加密、不可變的備份和實施最佳實踐資料保護原則,例如最小權限(僅向需要的人授予存取權限)或四眼(要求更改或重大請求由兩個人批准)。一些政策還要求公司製定可靠的計劃來確保系統可用性,包括良好的災難復原流程 defi旨在防止勒索軟體攻擊導致的停機。畢竟,系統停機時間越長,停機成本以及隨之而來的保險索賠成本就越高。
公司仍然應該具備所有這些要素。如果保險伴隨著草率的資料保護和恢復流程,保險賠償只會掩蓋缺陷。最低標準的推出對企業來說是個好消息。從長遠來看,它不僅會降低保費成本,而且其所需的安全原則對企業來說比保險更有價值。網路保險並不是絕對的保證,但它可以是更廣泛的網路彈性策略的有益元素。兩者都很有用,但如果你被迫只能選擇其中之一,韌性永遠是最好的選擇。幸運的是,保險公司也同意這一點,因為未受保護的企業正變得無利可圖而無法承保。
網路保險,特別是與勒索軟體相關的保險,正在走向一個保險公司擁有強大的網路彈性和完善的災難復原計劃的世界 defi並僅使用保險來減輕攻擊的影響和停機成本,同時透過不可變的備份進行恢復。這是一個比企業僅僅依賴保險的世界更能抵抗勒索軟體的世界。
BlogInnovazione.it
