隨著越來越多的企業(yè)接受網(wǎng)絡(luò)風(fēng)險(xiǎn)的必然性，網(wǎng)絡(luò)保險(xiǎn)正迅速成為企業(yè)開展業(yè)務(wù)不可避免的一部分。人們?cè)絹碓揭庾R(shí)到需要為諸如勒索軟件引起的破壞性安全事件的影響做好準(zhǔn)備，就像公司投資于潛在的物理威脅（例如火災(zāi)或刑事?lián)p失）一樣。

但是，雖然其他潛在的顛覆性因素得益于擁有數(shù)十年甚至數(shù)百年實(shí)踐經(jīng)驗(yàn)的穩(wěn)定保險(xiǎn)提供商，但網(wǎng)絡(luò)保險(xiǎn)是一個(gè)新興領(lǐng)域，事實(shí)證明很難掌握。即使是更有經(jīng)驗(yàn)的保險(xiǎn)業(yè)中堅(jiān)力量也難以完成這項(xiàng)任務(wù)。在許多情況下，隨著供應(yīng)商對(duì)數(shù)百萬美元的違規(guī)行為變得更加謹(jǐn)慎，保費(fèi)迅速增加。

因此，對(duì)于許多小公司來說，網(wǎng)絡(luò)保險(xiǎn)已經(jīng)變得無法獲得。研究表明，負(fù)擔(dān)不起成本的企業(yè)數(shù)量將增加一倍。

那么，是什么讓網(wǎng)絡(luò)保險(xiǎn)比其他形式的保險(xiǎn)更加困難，企業(yè)如何才能承受越來越高的保費(fèi)和準(zhǔn)入要求？

為什么網(wǎng)絡(luò)與其他保險(xiǎn)領(lǐng)域如此不同？　　

從表面上看，網(wǎng)絡(luò)保險(xiǎn)的功能應(yīng)該與任何其他形式的保護(hù)大致相同。根據(jù)各種已知因素評(píng)估風(fēng)險(xiǎn)，并根據(jù)事故發(fā)生的可能性及其潛在的嚴(yán)重性和影響計(jì)算出承保水平和保費(fèi)。

問題在于網(wǎng)絡(luò)環(huán)境的復(fù)雜性和涉及的變量數(shù)量。

以火災(zāi)保險(xiǎn)為例，說明一個(gè)變量非常容易理解的領(lǐng)域——畢竟人們?cè)诶斫饣馂?zāi)方面已經(jīng)有幾千年的實(shí)踐了。保險(xiǎn)公司相對(duì)容易根據(jù)建筑材料、滅火器等預(yù)防措施以及地形和氣候影響等其他影響因素來評(píng)估消防安全。在有變化的地方，它們是非常明顯的。例如，我在澳大利亞的一個(gè)森林地區(qū)長(zhǎng)大，那里的火災(zāi)風(fēng)險(xiǎn)增加了。

相比之下，網(wǎng)絡(luò)要復(fù)雜得多，幾乎無限數(shù)量的變量在起作用。單個(gè)IT環(huán)境已經(jīng)足夠復(fù)雜，但可以像物理結(jié)構(gòu)一樣有效地分析和評(píng)估。

但真正的問題是網(wǎng)絡(luò)環(huán)境不斷變化的混亂局面。去年，國(guó)家漏洞數(shù)據(jù)庫(kù)報(bào)告并記錄了創(chuàng)紀(jì)錄的18,439個(gè)新漏洞，平均每天有50多個(gè)新發(fā)現(xiàn)。

每個(gè)新的軟件產(chǎn)品發(fā)布或更新都代表了未知數(shù)量的新漏洞和威脅行為者要發(fā)現(xiàn)的暴露，以及舊系統(tǒng)發(fā)現(xiàn)問題的可能性。與此同時(shí)，攻擊者變得更有企業(yè)，更有能力利用漏洞。新的攻擊技術(shù)和工具也在不斷涌現(xiàn)。正如網(wǎng)絡(luò)口頭禪所說，我們不知道我們不知道什么。

因此，網(wǎng)絡(luò)環(huán)境比以前的任何業(yè)務(wù)風(fēng)險(xiǎn)都更難理解和跟蹤。雖然取得了進(jìn)展，但保險(xiǎn)業(yè)尚未平衡網(wǎng)絡(luò)領(lǐng)域。提供商仍然不確定他們的客戶可接受的風(fēng)險(xiǎn)水平是什么樣的，這使他們很容易通過過于慷慨的保險(xiǎn)支付巨額費(fèi)用。更高的保費(fèi)和更嚴(yán)格的要求是提供者旨在保護(hù)自己免受這種風(fēng)險(xiǎn)的結(jié)果之一。

兩層現(xiàn)實(shí)的危險(xiǎn)　　

除了保費(fèi)本身的成本外，更復(fù)雜的保單越來越趨向于對(duì)申請(qǐng)人提出復(fù)雜的要求，并包含更多將使承保無效的條款。例如，公司可能需要滿足非常嚴(yán)格的安全解決方案和預(yù)防措施的規(guī)定列表才能獲得覆蓋范圍。

這種趨勢(shì)有可能為網(wǎng)絡(luò)保險(xiǎn)創(chuàng)造不平等的兩層系統(tǒng)。當(dāng)其他一切都失敗時(shí)，保險(xiǎn)應(yīng)始終被視為最后一道防線，但較小的公司將被剝奪這個(gè)安全網(wǎng)，因此更容易受到攻擊。

如果保費(fèi)繼續(xù)增加，只有預(yù)算龐大的大型企業(yè)才能負(fù)擔(dān)得起。這提供了有效的最后一道防線，同時(shí)這些大公司已經(jīng)能夠負(fù)擔(dān)得起更多的安全解決方案和人員。

結(jié)果，無法預(yù)算增加保費(fèi)的小公司將更容易受到網(wǎng)絡(luò)威脅。犯罪團(tuán)伙將非常清楚，這些企業(yè)不僅更容易成為目標(biāo)，而且更有可能陷入勒索軟件或數(shù)據(jù)泄露和勒索等破壞性攻擊，因?yàn)樗鼈內(nèi)狈椭麄兓謴?fù)的保險(xiǎn)資金。

小公司如何增加獲得網(wǎng)絡(luò)保險(xiǎn)的機(jī)會(huì)？　　

網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)可能需要一些時(shí)間才能自行解決，因?yàn)樘峁┥绦枰_定如何才能最好地跟上快速變化的安全形勢(shì)并保護(hù)自己的利潤(rùn)免受嚴(yán)重事件的影響。

與此同時(shí)，想要從額外的保險(xiǎn)保障中受益的企業(yè)將需要專注于在不花費(fèi)所有預(yù)算的情況下滿足更高和更嚴(yán)格的保費(fèi)。預(yù)防性思維在這方面將大有幫助，同時(shí)考慮到系統(tǒng)中可能已經(jīng)存在的威脅。

努力應(yīng)集中在盡可能減少每項(xiàng)投資的風(fēng)險(xiǎn)敞口。勒索軟件是目前最引人注目的威脅之一，也是保險(xiǎn)業(yè)最為緊張的問題之一。AXA去年作為第一家在其保單中退出勒索軟件支付的主要供應(yīng)商引起了轟動(dòng)，但即使不考慮需求本身，勒索軟件也可能是一個(gè)極其昂貴的前景。

顯然已經(jīng)認(rèn)真對(duì)待這種風(fēng)險(xiǎn)并投資于檢測(cè)和緩解勒索軟件的能力的公司將有更好的機(jī)會(huì)安撫不確定的供應(yīng)商。這里的關(guān)鍵因素包括及早識(shí)別攻擊的能力，并通過分段等過程最大限度地減少損害。

同樣，數(shù)據(jù)泄露是一個(gè)嚴(yán)重的問題，將成為許多政策的焦點(diǎn)。除了數(shù)據(jù)丟失的影響之外，攻擊者越來越多地通過類似于勒索軟件的勒索要求將受害者加倍。公司需要證明他們能夠可靠地檢測(cè)和防止外泄企圖。

自動(dòng)化是在預(yù)算內(nèi)實(shí)現(xiàn)這些功能的最重要資產(chǎn)之一。自動(dòng)化訪問權(quán)限、檢測(cè)和響應(yīng)等關(guān)鍵流程將釋放資源和人力，從而可以重新投入到其他有價(jià)值的活動(dòng)中。如果做得好，自動(dòng)化可以幫助小公司在檢測(cè)和響應(yīng)威脅的能力方面遠(yuǎn)遠(yuǎn)超過他們的體重。

雖然兩層方案可能是不可避免的方案，但較小的公司可以跟上正確的戰(zhàn)略。專注于最大的風(fēng)險(xiǎn)，以及簡(jiǎn)化和自動(dòng)化流程，將使他們更有可能滿足嚴(yán)格的政策，并能夠?yàn)楦叩谋ＹM(fèi)進(jìn)行預(yù)算。當(dāng)然，符合政策要求的相同行動(dòng)也將增加公司完全需要依靠保險(xiǎn)安全網(wǎng)的機(jī)會(huì)。