2023 年网络保险的现实状况

网络保险行业日趋成熟。在早期，它只是简单地接受了网络风险，几乎没有提出任何问题。它赔了钱。保险公司提出了更多问题，并增加了保费、除外责任和拒绝赔偿。

这造成了保险公司和被保险人之间的差距——保险愿望和保险现实之间的差距，以及保单请求和保单交付之间的差距。Censuswide 为 Delinea 对 300 多家美国组织进行了一项调查，旨在了解这一网络保险缺口的性质和影响，以及如何弥补这一缺口。

其背景是董事会对网络保险的强烈支持和渴望。商人了解保险的本质、风险转移的本质以及保险改善灾难性损失的能力。董事会有时要求其组织购买网络保险，有时根据合同要求拥有网络保险，并且大多愿意为其提供资金。

也就是说，自去年以来，董事会预算支持率已从 94% 下降到 81%，下降了 13%。这可能部分是由于当前经济的不确定性，但也可能是由于网络保险行业的要求增加。 

67% 的受访者表示，2023 年他们的网络保险成本增加了 50% 至 100%。 

购买的复杂性：保险公司现在要求在提供保险之前采取特定的安全控制措施。如果未安装，则必须购买。其中许多都围绕访问管理，包括 IAM、PAM、MFA 和密码管理。55% 的受访者表示，他们需要使用保险公司认可的解决方案，而一些保险公司拥有自己的设备，希望安装在公司的 IT 环境中。

排除的复杂性：经验导致保险公司增加了他们不承保的情况的数量和复杂性。最著名的是NotPetya/Merck事件所强调的战争排除条款，但其他条款还包括缺乏适当的安全协议、内部不良行为者、某些人为错误、未能遵守合规程序、恐怖主义行为以及未能及时报告保险公司。所有这些都有可能使任何保险失效。

未能首先向保险公司报告事件是一件有趣的事情，因为它可能与某些合规要求相冲突。“我已经与许多保险公司讨论了如何应用这一点，”Delinea 的首席安全科学家兼顾问 CISO Joseph Carson 告诉《SecurityWeek》。“他们的意思是，如果您在通知保险公司索赔之前产生了费用，那么您在此之前产生的费用可能不会包含在保险索赔中。”

基于保单内的排除条款而拒绝索赔可能会导致法庭诉讼，就像默克公司通过战争排除条款来否认其 NotPetya 索赔一样。最终，法院永远是最终的仲裁者。

保单成本和复杂性的增加对达成保单所需的时间产生连锁反应。45% 的受访者预计需要一到三个月的时间才能获得或更新保单（低于去年的 60%）；30% 预计需要四到六个月（与去年相同）；7% 的人预计需要六个月以上（高于去年的 0.46%）。

“在过去的一年里，很明显，网络保险公司正在从他们的数据中学习，并且现在正在走向成熟。在网络保险的早期，他们只是试图满足巨大的需求，但现在他们意识到必须减少自己面临可避免和不可控情况的风险，”卡森说。 

“我们的调查 ( PDF ) 结果发现，大多数组织并没有以同样的态度对待网络保险——他们只是希望获得保险。他们没有检查去年的保单是否是他们现在需要的，或者他们的保单在续保时是否发生了变化。当网络安全事件发生时，这种‘网络保险缺口’可能会让许多组织陷入困境，而他们希望利用这个金融安全网。”

这项调查的总体信息是，网络保险不再是可以简单地附加到网络安全之上的东西。如果组织决定将网络保险纳入其总体网络风险管理态势，则该网络保险必须与组织的网络安全态势完全整合。这将涉及对风险接受（免赔额）的详细了解，以及避免任何可能导致基于细则排除的索赔被拒绝的情况。最重要的是，这需要被保险人和保险公司之间建立伙伴关系，但保险公司是主要合作伙伴。