網絡保險行業日趨成熟。在早期，它只是簡單地接受了網絡風險，幾乎沒有提出任何問題。它賠了錢。保險公司提出了更多問題，并增加了保費、除外責任和拒絕賠償。

這造成了保險公司和被保險人之間的差距——保險愿望和保險現實之間的差距，以及保單請求和保單交付之間的差距。Censuswide 為 Delinea 對 300 多家美國組織進行了一項調查，旨在了解這一網絡保險缺口的性質和影響，以及如何彌補這一缺口。

其背景是董事會對網絡保險的強烈支持和渴望。商人了解保險的本質、風險轉移的本質以及保險改善災難性損失的能力。董事會有時要求其組織購買網絡保險，有時根據合同要求擁有網絡保險，并且大多愿意為其提供資金。

也就是說，自去年以來，董事會預算支持率已從 94% 下降到 81%，下降了 13%。這可能部分是由于當前經濟的不確定性，但也可能是由于網絡保險行業的要求增加。 

67% 的受訪者表示，2023 年他們的網絡保險成本增加了 50% 至 100%。 

購買的復雜性：保險公司現在要求在提供保險之前采取特定的安全控制措施。如果未安裝，則必須購買。其中許多都圍繞訪問管理，包括 IAM、PAM、MFA 和密碼管理。55% 的受訪者表示，他們需要使用保險公司認可的解決方案，而一些保險公司擁有自己的設備，希望安裝在公司的 IT 環境中。

排除的復雜性：經驗導致保險公司增加了他們不承保的情況的數量和復雜性。最著名的是NotPetya/Merck事件所強調的戰爭排除條款，但其他條款還包括缺乏適當的安全協議、內部不良行為者、某些人為錯誤、未能遵守合規程序、恐怖主義行為以及未能及時報告保險公司。所有這些都有可能使任何保險失效。

未能首先向保險公司報告事件是一件有趣的事情，因為它可能與某些合規要求相沖突。“我已經與許多保險公司討論了如何應用這一點，”Delinea 的首席安全科學家兼顧問 CISO Joseph Carson 告訴《SecurityWeek》。“他們的意思是，如果您在通知保險公司索賠之前產生了費用，那么您在此之前產生的費用可能不會包含在保險索賠中。”

基于保單內的排除條款而拒絕索賠可能會導致法庭訴訟，就像默克公司通過戰爭排除條款來否認其 NotPetya 索賠一樣。最終，法院永遠是最終的仲裁者。

保單成本和復雜性的增加對達成保單所需的時間產生連鎖反應。45% 的受訪者預計需要一到三個月的時間才能獲得或更新保單（低于去年的 60%）；30% 預計需要四到六個月（與去年相同）；7% 的人預計需要六個月以上（高于去年的 0.46%）。

“在過去的一年里，很明顯，網絡保險公司正在從他們的數據中學習，并且現在正在走向成熟。在網絡保險的早期，他們只是試圖滿足巨大的需求，但現在他們意識到必須減少自己面臨可避免和不可控情況的風險，”卡森說。 

“我們的調查 ( PDF ) 結果發現，大多數組織并沒有以同樣的態度對待網絡保險——他們只是希望獲得保險。他們沒有檢查去年的保單是否是他們現在需要的，或者他們的保單在續保時是否發生了變化。當網絡安全事件發生時，這種‘網絡保險缺口’可能會讓許多組織陷入困境，而他們希望利用這個金融安全網。”

這項調查的總體信息是，網絡保險不再是可以簡單地附加到網絡安全之上的東西。如果組織決定將網絡保險納入其總體網絡風險管理態勢，則該網絡保險必須與組織的網絡安全態勢完全整合。這將涉及對風險接受（免賠額）的詳細了解，以及避免任何可能導致基于細則排除的索賠被拒絕的情況。最重要的是，這需要被保險人和保險公司之間建立伙伴關系，但保險公司是主要合作伙伴。