晚間,一個名為“想哭(WannaCry)”的惡意軟件在全球多個國家迅速蔓延,數以十萬計的電腦接連遭受攻擊,而后被鎖死。黑客將電腦中的資料文檔上鎖,并要求支付300美元等價的比特幣才能解鎖文件。
在網絡安全如此脆弱,用戶電腦頻頻遭到攻擊的今天,如何做好必要的防范?
據怡安集團(NYSE:AON,全球最大規模的保險業集團公司之一)網絡保險業務全球負責人的說法,全球范圍內網絡安全保單幾近九成在美國。
路透社援引保險公司消息稱,因網絡安全保險相對較少,美國以外的許多公司可能會因近日爆發的網絡攻擊承受數百萬美元的損失。
5月12日,德國開姆尼茨一處電子時刻表遭到勒索病毒攻擊而無法工作 新華社圖
歐亞企業損失數十億美元
在上周末“想哭”惡意軟件的攻擊中,汽車工廠、醫院、商店、學校頻頻遭殃,市場也擔心在本周一人們開始工作后,會遭到新一輪的網絡攻擊。網絡安全專家表示,上周末“想哭”鎖死了全球超過150個國家的20多萬臺電腦,盡管目前蔓延速度有所放緩,但這可能只是“想哭”短暫的“喘息”。
而讓那些受到攻擊的歐亞企業恢復正常的工作秩序,累計成本可能高達數十億美元。其中,亞洲企業的網絡安全尤為脆弱。
怡安集團網絡保險業務全球負責人凱文·卡林尼奇(Kevin Kalinich)表示,全球范圍內網絡安全保單幾近九成在美國。年均網絡安全保費市場高達25億至30億美元。
就網絡安全保險在美國有如此高的滲透率的原因,保險經紀公司Marsh的網絡保險產品負責人鮑勃·帕里斯(Bob Parisi)在接受路透社采訪時表示,“這是因為美國在過去十年間施行了網絡安全漏洞通知法(state breach notification laws)。”此法律規定,若發生可識別個人的信息泄露,企業和政府必須發布通知。
路透社稱,公開透明的規范讓公司樂于為需要上報的網絡安全問題投保,以彌補類似事件對他們造成的損失。
凱文·卡林尼奇稱,那些沒有為“想哭”的攻擊做好準備的公司,因業務中斷造成的損失,可能會遠遠超過300美元贖金。
“如果你是一家醫院,遭到攻擊后無法為病人看病;如果你是一家全球性的物流公司,無法進行派件;如果你是西班牙或者俄羅斯的一家電信公司,業務中斷所造成的損失都遠遠超過300美元的贖金。”卡林尼奇說道。
據路透社報道,受到“想哭”勒索軟件攻擊的公司包括英國國家健康中心、法國汽車制造商雷諾(Renault)和西班牙電信(Telefonica)等,這些企業的計算機系統都被“想哭”鎖死,需要繳了贖金后才能恢復使用。
另據西班牙電信的知情人士表示,該公司有購買相關的網絡安全保險,但目前對經濟損失的評估還為時尚早。美國網絡風險建模公司Cyence估計,在上周五的病毒事件中,個人平均贖金為300美元,業務中斷所造成的總經濟損失高達40億美元。
美國網絡影響部門(The U.S. Cyber Consequences Unit,一家非盈利性研究機構,為政府和企業可能受到的網絡攻擊做經濟和戰略評估)則認為,“想哭”勒索軟件造成的累計損失在幾億美元的范圍內浮動,不太可能超過10億美元。
網絡保險利潤高
路透社稱,通常來講,典型的網絡保險是針對公司遭受的如勒索軟件一類的攻擊,保險公司稱此類保險的銷售量在過去的一年半內飆升。帕里斯還透露稱,此類網絡保險不僅將支付案件的調查費用,還為客戶支付贖金。
然而,那些沒有下載微軟在今年三月份發布的補丁的公司就沒有那么走運了,因為許多網絡保險公司并不會對此類情況進行理賠。卡林尼奇還表示,那些使用盜版軟件的公司也不可能獲得保險公司的理賠。
帕里斯則表示,大多數網絡保險公司最高的理賠金額為5000萬美元,其中大部分損失與公司的業務中斷有關;少數的網絡保險最高的理賠金額甚至可能達到5億至6億美元。
路透社報道中稱,網絡保險還涵蓋如下事項產生的費用:通知信息被泄漏了的受害人、雇傭公關機構處理公司聲譽受損問題、安排對受影響人員進行信用監控,處理潛在的法律訴訟等。
網絡保險是一個高利潤的行業。Sciemus保險公司曾表示,為價值1000萬美元的數據泄露投保費用約為10萬美元,這一保費是人身傷害投保的7倍。
除了上述已經提到的提供網絡保險服務的公司外,其他同類公司還包括安聯保險(Allianz)、美國國際集團(AIG)、美國丘博保險(Chubb)以及蘇黎世(Zurich)等等。
記者注意到,在周末發生攻擊之前,網絡保險的需求就已呈上漲態勢,因為一份將于2018年年中實施的歐盟指令規定,企業若發生數據泄露,必須上報政府。
在上周末“想哭”的攻擊中,有多少損失是可以通過保險公司理賠來做補償的,仍是一個未知之數。卡林尼奇還表示,保險公司會更加仔細地評估他們會承擔的風險,擬定保單和免賠事項時也會更加審慎。
“保險公司想選擇那些最不可能遭到黑客攻擊的公司來為其承保。”卡林尼奇說道,如果客戶在沒有通知保險公司的情況下,自行繳了贖金的話,保險公司也許會拒絕理賠。