為公司 IT 買保險：如何透過保險減低網絡攻擊招致的損失？

作者為：NTT Security 北亞洲區域總監龔玨萱

根據香港警務處資訊安全網公佈的電腦相關罪行的統計數字顯示，網絡相關罪行在三年内激增 2 倍，由 2012 年的 3,015 宗大幅上升至 2015 年的 6,862 宗。僅在 2015 年，網絡相關罪行所導致的財政損失達 1,828 萬港元，情況有越趨嚴重的跡象。

儘管大部分企業意識到網絡攻擊事故對運作及財政帶來極大的風險，然而只有少數的企業能夠預先作好部署應對突如其來的惡意攻擊。根據 NTT Group 2016 全球威脅情報報告指出，77％ 的機構是沒有具體的方案應付關鍵事故。風險管理方案和防範網絡攻擊必須同步進行，我們看見有不少例子，當中包括國際知名企業在嚴重網絡事故後，要努力修復包括聲譽受損及股價下跌而招致的損失。

網絡保險是企業風險管理不能缺少的一環，然而令人擔心的是，很多企業沒有適當地細閱和了解保險單上的條款， 甚至對保單所涵蓋的範圍一知半解，結果在事故發生後無法獲得保險賠償。由於網絡保險是一個含糊不清的區域，當中涉及的條款過於複雜。企業如沒有留意保單上的細節，再加上含糊的條款， 將很難在事故發生後獲得保險賠償。

網絡罪案是一種非常新的商業風險，保險公司在承保前會向企業詢問連串難以招架的問題。甚至有企業由於無法準確地回答有關網絡攻擊應對計劃的問題而未能獲得賠償。另外，不準確的答案亦是企業在事故後索償被拒絕的主要原因。

因此，任何認真對待其資產的企業，應積極投資及實行能夠獲保險公司承保的網絡安全措施，當中包括風險評估及採取可衡量的步驟來持續監控及降低風險。只有這樣，保險公司才能了解受保企業的營運風險，並因而制定合適的保單。

值得一提的是，網絡保險只能向企業賠償經濟損失，譬如法律或遭第三方索償的成本。至於一些無形的資產包括公司未來的收入或品牌資產，往往難以在這些範圍上投保。此外，客戶信任或聲譽的損失亦是不能投保的。可見，安全意識和信任有非常直接的關係，企業聲譽因網絡攻擊而受損難以量化，因此很難以金錢來衡量。

網絡保安是全球企業面對的第三大風險，到底各大機構該如何就網絡保安這難題上制定更好的規劃呢？

一） 評核風險

為應對各種網絡上的潛在風險，企業第一步必須要了解在每個商業層面上可能遇到的危機，並參考到業界的做法和標準。當企業內部欠缺適當的人才或資源時，應尋求專家的意見，作出全面的評核包括：釐定風險的範疇、提供建議、方案落實、及制定持續風險管理路線圖。全面評核可以識別原有方案中的安全漏洞，並標示出需要立即應對的重要事項。評核報告可以提供應對事故的程序，同時向企業持份者證明管理層對網絡保安有完善的計劃。

二）減低風險

風險並不是一成不變，企業的防護措施亦應如此。隱蔽而持續的駭客行為，或者是高級持續性威脅（Advanced Persistent Threats）都會有一段長時間的潛伏期，而某些跨國企業的高調攻擊亦曾經成功繞過傳統的企業保安系統。如果能從攻擊的角度反觀整體狀況，企業便能進一步保護電子資產。

三）管理風險

有研究指出，就算是目前的防毒方案，只能應付某些惡意程式，有接近 54% 的惡意程式都能設計出不易被察覺、輕易越過這些防毒方案的防備。若企業能展示出能對惡意程式攻擊進行監察的方案，持份者便能對企業資訊保安持有信心。

四） 採取主動

網絡攻擊的風險是不會減低，而攻擊的複雜性和頻率亦只會越來越高。多次證明，一般責任保險並不能補償網絡罪案對企業造成的嚴重損失，包括：形象受損、客戶流失、和金錢損失等等。企業需要推出並實行恰當的防護措施，將風險轉移，以減低由不知名攻擊招致的損失。一間成功的企業要了解及面對危機，降低風險，向持所有份者展示企業對資訊安全及危機管理的重視。