亚洲拥有全球一半以上的互联网用户。企业正在利用亚洲人的在线活动来拓展新客户和现有客户、创造新产品并提高流程效率。伴随着这一机遇而来的是传统业务中断(BI)保险所无法应对的独特风险。不过,这些风险可以通过独立的网络保险中的 BI 保障进行管理。
随着我们从物理领域转向数字领域,网络商业智能索赔带来了独特的挑战--有些是我们熟悉的,有些则不同,还有一些则与传统商业智能索赔大相径庭。
耳熟能详的
与所有保险索赔一样,必须确定事件与损失之间的因果关系。这在传统 BI 中被称为物质损失限制性条款。网络 BI 保单与之类似,但不是损害,而是投保人的 IT 系统受到实际或可疑的破坏。要使损失得到赔付,必须是由保险事故引起的。
传统 BI 保单和网络 BI 保单提供的保险类型也很相似。可根据总收入或总利润以及增加的工作成本提供保障。因此,其目的是使投保人处于不发生网络事件的状态。这些事件可以是恶意的(如数据泄露或恶意软件),也可以是其他的(可能是由于意外行为或疏忽)。一如既往,我们面临的挑战在于如何将损失与事件造成的损失区分开来。
略有不同的
在考虑网络保单下的损失时,会发现一些细微的差别。传统 BI 保单的赔偿期通常从实际损失发生时开始。但对于网络 BI 保单来说,起始时间在很大程度上取决于保单的措辞;可以是系统受损的评估时间,也可以是安全事故报告的时间。这取决于规定的等待期(即时间免赔额),通常约为 12 小时。虽然这听起来时间很短,但在光棍节等大型促销期间,对于在线零售商来说,这可能是代价高昂的永恒。
网络商业智能保单的最长赔偿期一般为三个月左右,大大短于我们常见的传统商业智能保单中的 12 个月。这反映出许多网络事件的时间较短,可以通过备份恢复等方式更快地解决。然而,在复杂的 IT 系统中,尽管有专门的事故响应团队提供协助,但要确定并纠正故障点仍具有挑战性。
截然不同的
由于基础资产属于无形资产,因此会出现一些重大差异。这里有两点值得考虑:
- 勒索软件攻击
勒索软件攻击虽然并不新鲜,但已变得越来越突出和复杂,使企业更有可能面临中断。数据可能被窃取或访问受阻(或两者兼而有之),勒索者威胁要释放、销毁或阻止访问机密数据,除非支付赎金。据报道,2023 年的平均赎金为 154 万美元,几乎是 2022 年的两倍。
在某些情况下,支付赎金似乎是最便宜、最有效的选择。有些保险甚至会对投保人的此类付款进行赔偿。是否支付赎金的最终决定权在于企业--但是,他们应该支付吗?
虽然人们可能会屈服于勒索要求,希望能尽快恢复数据,但事实并不支持这种想法。大约四分之一的支付者从未恢复过数据,即使恢复了一些数据,大多数组织也需要一周以上的时间才能从勒索软件攻击中恢复过来。此外,也不能保证攻击会结束或得到解决--48 国反勒索软件倡议也赞同这一点,并强烈反对这种支付行为。付款还可能成为犯罪活动的资金来源,并进一步刺激未来的攻击行为。
企业必须决定拒绝支付赎金是否符合其最佳利益。如果保险公司支持不支付赎金的决定,那么承保范围一般会扩展到恢复成本和攻击直接造成的任何收入损失。
由于勒索软件攻击可能会造成高昂的经济损失和严重的停机时间,因此积极主动地为此类事件做好准备是明智之举。这些措施可能包括
- 确保备份和冗余到位并保持最新状态
- 定期进行信息技术审计
- 规定使用强密码和多因素身份验证
- 定期开展信息技术培训和教育
- 制定可在必要时迅速启动的事件响应计划
这些计划只有在整个组织共同努力的情况下才会有效。
- 名誉损害
网络攻击发生后,公众对目标公司的看法可能会受到影响--尤其是当敏感的客户数据遭到泄露时。客户可能会质疑公司保护其个人信息的能力,从而失去信任和忠诚度。服务中断也可能导致用户转向宣传其可靠性的竞争对手。
许多网络 BI 保单都为声誉损失提供保险,赔偿被保险人因事故直接造成的经济损失。声誉修复费用也可用于聘请公关顾问,以减轻负面宣传的影响。困难在于如何衡量和归因于事件造成的现有客户和潜在客户的损失。此外,由于许多网络保险的最长赔偿期很短,超过赔偿期的持续声誉损失将不在保险范围内。
网络事件的新闻是否已经司空见惯,以至于企业声誉确实受到损害,目前尚无定论。人们往往认为信任度高的企业更容易遭受声誉损失。例如,网上银行比网上零售商更容易遭受声誉损失。
与勒索软件一样,采取积极主动的方法管理声誉损失可能比被动应对更有效、更高效。除上述措施外,清晰有效的利益相关者沟通也应成为基石--这是重建信任和捍卫声誉的关键。
结论
网络商业智能索赔与传统商业智能索赔有一些相同之处,但数字领域会产生一些独特的问题。当企业面临网络商业智能损失时,聘请一个在网络商业智能索赔的细微差别方面拥有专业知识的值得信赖的合作伙伴来帮助他们减轻其广泛的影响至关重要。
> 了解更多- 了解赛奇威克的 法证会计服务和 业务中断能力或发送电子邮件至 [email protected]更多信息