本周末,一次几十年不遇的“浩劫”席卷全球互联网。包括英国、意大利、俄罗斯、中国在内的近百个国家受到了一种名为“比特币病毒”的攻击,损失惨重,其利用NSA黑客工具包中的“永恒之蓝”0Day漏洞,通过445端口(文件共享)在内网进行蠕虫式感染传播,如果用户没有及时安装Windows补丁,这个病毒基本上处于无解状态。
截止昨日,已经有上百个国家和地区,数十万台电脑被感染,包括我国部分高校和大型企业的内网也遭受到病毒的波及。然而,勒索病毒WannaCry还在继续蔓延。
路透社援引保险公司消息称,因网络安全保险相对较少,美国以外的许多公司可能会因近日爆发的网络攻击承受数百万美元的损失。
欧亚企业损失数十亿美元
怡安集团网络保险业务全球负责人凯文·卡林尼奇(Kevin Kalinich)表示,全球范围内网络安全保单几近九成在美国。年均网络安全保费市场高达25亿至30亿美元。
就网络安全保险在美国有如此高的渗透率的原因,保险经纪公司Marsh的网络保险产品负责人鲍勃·帕里斯(Bob Parisi)在接受路透社采访时表示,“这是因为美国在过去十年间施行了网络安全漏洞通知法(state breach notifiCATion laws)。”此法律规定,若发生可识别个人的信息泄露,企业和政府必须发布通知。
路透社称,公开透明的规范让公司乐于为需要上报的网络安全问题投保,以弥补类似事件对他们造成的损失。
凯文·卡林尼奇称,那些没有为“想哭”的攻击做好准备的公司,因业务中断造成的损失,可能会远远超过300美元赎金。
“如果你是一家医院,遭到攻击后无法为病人看病;如果你是一家全球性的物流公司,无法进行派件;如果你是西班牙或者俄罗斯的一家电信公司,业务中断所造成的损失都远远超过300美元的赎金。”卡林尼奇说道。
据路透社报道,受到“想哭”勒索软件攻击的公司包括英国国家健康中心、法国汽车制造商雷诺(Renault)和西班牙电信(Telefonica)等,这些企业的计算机系统都被“想哭”锁死,需要缴了赎金后才能恢复使用。
另据西班牙电信的知情人士表示,该公司有购买相关的网络安全保险,但目前对经济损失的评估还为时尚早。美国网络风险建模公司Cyence估计,在上周五的病毒事件中,个人平均赎金为300美元,业务中断所造成的总经济损失高达40亿美元。
美国网络影响部门(The U.S. Cyber Consequences Unit,一家非盈利性研究机构,为政府和企业可能受到的网络攻击做经济和战略评估)则认为,“想哭”勒索软件造成的累计损失在几亿美元的范围内浮动,不太可能超过10亿美元。
网络保险利润高
路透社称,通常来讲,典型的网络保险是针对公司遭受的如勒索软件一类的攻击,保险公司称此类保险的销售量在过去的一年半内飙升。帕里斯还透露称,此类网络保险不仅将支付案件的调查费用,还为客户支付赎金。
然而,那些没有下载微软在今年三月份发布的补丁的公司就没有那么走运了,因为许多网络保险公司并不会对此类情况进行理赔。卡林尼奇还表示,那些使用盗版软件的公司也不可能获得保险公司的理赔。
帕里斯则表示,大多数网络保险公司最高的理赔金额为5000万美元,其中大部分损失与公司的业务中断有关;少数的网络保险最高的理赔金额甚至可能达到5亿至6亿美元。
路透社报道中称,网络保险还涵盖如下事项产生的费用:通知信息被泄漏了的受害人、雇佣公关机构处理公司声誉受损问题、安排对受影响人员进行信用监控,处理潜在的法律诉讼等。
网络保险是一个高利润的行业。ScieMUs保险公司曾表示,为价值1000万美元的数据泄露投保费用约为10万美元,这一保费是人身伤害投保的7倍。
除了上述已经提到的提供网络保险服务的公司外,其他同类公司还包括安联保险(Allianz)、美国国际集团(AIG)、美国丘博保险(Chubb)以及苏黎世(Zurich)等等。
在上周末“想哭”的攻击中,有多少损失是可以通过保险公司理赔来做补偿的,仍是一个未知之数。卡林尼奇还表示,保险公司会更加仔细地评估他们会承担的风险,拟定保单和免赔事项时也会更加审慎。
“保险公司想选择那些最不可能遭到黑客攻击的公司来为其承保。”卡林尼奇说道,如果客户在没有通知保险公司的情况下,自行缴了赎金的话,保险公司也许会拒绝理赔。
网络安全险国内罕见
从公开信息看,国内只有有限几家险企推出网络安全保险,对客户因网络攻击而遭受的经济损失进行弥补。
国内首批提供互联网安全保险的险企是美亚保险和安联财险,两家公司都在2015年推出相关产品。美亚保险产品的承保范围包括敏感数据外泄(个人及企业数据)、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃、网络保安系统失效、计算机系统事故所引发的第三方索赔或导致的业务中断,以及网络勒索相关赎金的保障。
安联财险的网络安全险则针对各种原因引起的数据丢失、网络被加插恶意软件、网络盗窃与网络敲诈等风险事件作出理赔,保障范围包括营业中断损失、设备损坏费用、赎金等。
2016年初,众安保险推出数据安全险,产品只面向阿里云用户。若因黑客攻击导致用户云服务器上的数据泄露并造成经济损失,众安保险将为投保用户提供最高100万元的赔付。
其他互联网保险公司和大型财险公司官网展示的,更多的是手机账户、银行卡账户资金安全险,这类产品主要保障的是个人账户被盗刷、盗用等导致的资金损失。而支付宝等平台的账户安全险明确将“由于黑客攻击等原因造成的服务中断或者延迟”列为除外责任。