关注网络安全,防范网络风险,网安险来帮您

安全动态 发布时间:2024-11-15 21:08:30 0 浏览

点击“迈而斯达”

关注我们


图〡搜狐网

多元金融,服务生命科学

专业  陪伴  成就

在生命科学产业圈投资圈,有很多公众号分享生命科学相关专业问题,我们就不重复占用资源了,迈而斯达分享些不一样的。

本篇科普的主角是网络安全保险。笔者认为网络风险是一个重要的话题,因为它是各行各业面临的共性风险。
在(生成式)人工智能和云技术等科技飞速进步的推动下,网络安全风险在持续升高。全球各行业越来越依赖于信息技术(IT)、物联网(IoT)、运营技术(OT)和数字化服务(如云计算)。对于众多风险责任人而言,这些技术和服务均是供应链中的关键组成部分。此外,日益复杂的网络犯罪和紧张的地缘政治局势也进一步影响了网络威胁态势,并危及全球社会发展。

在过去的几个月中,慕再(慕尼黑再保险,下同)已观察到网络攻击事件激增的趋势,勒索软件攻击也再次上涨。

根据Chainalysis公司的数据显示,每年的加密货币赎金支付额从2022年的5.67亿美元骤升至2023年的11亿美元。其他代价高昂的攻击路径还包括商业电邮泄露(BEC)和供应链攻击。2021年至2023年期间,商业电邮泄露给全球2.2万受害者共造成了约30亿美元的损失(数据来源:Symantec);仅2023年,商业电邮泄露事件的数量就翻了一倍(数据来源:Verizon)。此外,2023年发生的软件供应链攻击数量约为此前三年间事件总和的两倍。2023年,软件供应链攻击事件共发生约24.5万起,给企业造成约458亿美元损失(数据来源:Juniper Research)。其中,利用数据传输软件中的零日漏洞对MOVEit的攻击,是这一类别中最为突出的攻击事件。数据泄露事件的频发,使得平均损失达到了历史新高,约445万美元,(数据来源:IBM)。

主要网络安全风险因素

相关专家和当局在汇编有关网络犯罪的统计数据方面也面临着挑战,官方收集的数据很可能只是网络犯罪的冰山一角。例如,据德国联邦刑事警察局(BKA)估计,未报告的网络犯罪事件占比高达91.5%。据Statista预测,每年全球网络犯罪的成本将从2023年的8.15万亿美元增至2028年的13.8万亿美元。
以上数据皆清晰地表明,保险在网络安全风险管理过程中将发挥着前所未有的重要作用。受网络攻击影响的公司和组织可能会面临因营业中断、应急响应及数据泄露等所产生的费用和损失网络安全保单则可以覆盖以上财务损失

慕再专家认为,影响2024年及未来网络风险格局的主要风险和趋势如下:

根据慕再积累的损失数据和行业经验,我们可以清晰地看到网络安全风险及其对网络安全保险的影响,尤其是在勒索软件、商业电邮泄露、商业通讯泄露、数据泄露和供应链漏洞等方面。

勒索软件

在网络安全保险面临的主要风险和损失上,勒索软件仍将是占主导地位的驱动因素。

通过AI驱动或强化自身,勒索软件即服务(RaaS)模型在暗网市场将变得更具竞争力。在AI的助推下,黑客攻击可以实现高度自动化和个性化,量身定制的网络钓鱼或电子勒索邮件可以轻松且高质量地被翻译成多种语言,同时在多个地区扩散。
此外,慕再专家预计,勒索方法也将更加多样化,双重和三重勒索策略越来越受到攻击者的偏爱,其关注的重点也逐渐转向可供出售的数据,员工、供应商、客户和其他第三方等都可能成为目标对象。

商业电邮泄露和商业通讯泄露
慕再专家预计,2024年及以后,商业电邮泄露 (BEC) 和商业通讯泄露 (BCC)攻击事件将急剧增加。这些攻击事件会诱导公司内部人员做出威胁公司网络安全的行为,例如安排未经授权的付款或与外部共享敏感数据。由于攻击者意在寻找相对容易受骗的目标,BEC仍将是主要的攻击载体,特别是鉴于其易操作性,几乎无需任何专业技术即可收获高昂回报。不仅电子邮件会被用作网关,所有通信平台和社交媒体都可以被利用。毋庸置疑,BEC和BCC攻击不仅会造成巨大的经济损失还会导致信任和声誉受损。
首席执行官(CEO)欺诈,即黑客冒充高管指示员工转账便是个典型的例子。由于AI工具和深度伪造技术已沦为主流犯罪分子的犯罪工具,通过虚假电话或数字会议以及视频用于欺诈的情况屡见不鲜,且犯罪成本较低。2024年初,一名任职于香港某跨国公司的员工受骗,诈骗者利用深度伪造技术换脸成其同事们(包括该公司首席财务官),视频通话后,该员工向对方转账近2600万美元。该员工是参加视频通话的唯一一个真人,其他参与者均为AI冒充。
数据泄露
到2024年底,隐私监管将覆盖全球四分之三的消费者数据,但考虑到技术驱动下的高数据增长率,全球所有受监管实体中有60%都将难以遵守日趋严格的数据保护监管和隐私要求(数据来源:Gartner)。并且,5G将继续带动移动数据增长:到2029年,5G在移动数据流量中的占比将激增至76%。视频流量将成为移动数据中的主力军,在移动数据中的占比预计会从目前的略高于70%,到2029年将提高至80%(数据来源:Ericsson)。
纵观所有技术发展,在讨论数据泄露或其他网络事件时,有一大因素不容忽视,即数据的价值和重要性,以及管理数据监管和有关责任的潜在问题,这些问题将导致更多提供黑客雇佣和数据窃取等服务的团体的出现。尽管如此,即便是使用了AI增强型鱼叉式网络钓鱼攻击技术造成的数据泄露事件,90%左右的情况仍会存在人为因素(数据来源:Forrester)。无论是现在还是将来,我们都必须采取多方面努力,提高风险防范意识并采用技术以外的防御措施来应对人为风险。
慕再理赔数据显示,包括错误披露和错误收集在内的隐私类理赔案件分行业的占比排名如下:

供应链漏洞
市场对软、硬件供应链及数字服务的依赖将持续大幅增加。作为企业的阿喀琉斯之踵,供应链更容易吸引网络攻击者。慕再专家预测,数字供应链(IT/OT/IoT)上的供应商、制造商等遭受网络黑客攻击的风险将进一步增加。各企业将面临更多“供应链攻击即服务”的风险,也更易受到其他技术水平较低的黑客组织攻击。
从潜在影响的角度来看,根据世界经济论坛的一项研究(WEF 2024)显示,41% 的受访公司受到过第三方网络事件的影响。中小型供应商越来越多地成为攻击目标,目的是间接入侵其大型客户的系统。全球企业因软件供应链攻击而产生的损失预计将从2023年的460亿美元增至2025年的600亿美元(数据来源:Juniper Research)。
网络安全保险的基石
近十年来,网络安全保险已成为企业和个人管理网络安全风险的重要工具。在网络威胁态势不断动态变化的大环境中,特别是在地缘政治和技术压力因素的激化下,一个尚在发展中的保险市场要想实现长期可持续发展,关键在于如何应对可保性挑战和管理累积风险。保险公司和风险建模者一直在探索可保性边界。市场有必要进一步审慎发展,同时,保险和另类资本市场也需要做好准备以应对未来全球的承保能力需求。
据中国银行保险报网2024年10月29日报道,人保财险发布网络安全保险风险定价模型,更全面衡量企业的风险水平,制定出更合理的保费,更好更差异化地为企业服务。
网络安全保险市场趋势

2023年,全球网络安全保险市场规模达140亿美元。据慕再估计,到2027年,这一数字将增长至290亿美元左右。随着人们越来越意识到网络攻击的复杂性、发生频率和损失程度在不断增加,监管要求也愈发严苛,全球网络安全保险市场还有巨大的发展潜力。所有行业持续的数字化转型和技术进步,以及供应链上业务合作伙伴有待满足的具体要求也将成为助推市场进一步发展的驱动因素。总体趋势表明,网络安全保险作为网络安全风险管理的核心组成部分,将发挥着重要作用。

过去五年,网络安全保险市场的规模几乎增加了两倍。这也归功于再保险公司对这类风险的坚定承诺以及资本市场近期对这一领域表现出的一定兴趣(尽管当前程度较低)。然而,迄今为止,保险的渗透率还很低,特别是中小企业领域。大型公司仍是保险业务盘子的主要来源。

网络安全保险作为一个跨行业融合创新的新险种,不仅需要保险机构提供专业支持,也需要网络安全企业提供相关技术,赋能网络安全风险事前、事中、事后管理的全流程,如风险评估、风险监测、攻防演练、应急响应、事后恢复等。

工信部、国家金融监管总局于2023年7月2日联合印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》,工信部联网安 〔2023〕 95号

《意见》相关解读指出,随着我国数字经济的快速发展,网络安全基础性、保障性作用增强。网络安全保险作为承保网络安全风险的新险种、网络安全服务的新模式,有利于行业企业提升网络安全风险应对能力,促进中小企业数字化转型发展,推进构建网络安全社会化服务体系,促进网络安全产业高质量发展,助力制造强国、网络强国建设。《意见》的出台,将有力指引网络安全保险健康有序发展。

作为我国网络安全保险领域的首份政策文件,《意见》围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出5方面10条意见,鼓励保险机构面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。

网络安全保险方兴未艾

网络安全保险是为网络安全风险提供保险保障的新兴险种,日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。

“截至目前,我国有37家保险公司(含外资、合资保险公司)提供89款在售网络安全保险产品(含附加险9款),其中企财险达42款、责任保险22款,还有一些为其他类型,如网络安全综合险、应急响应专项险等险种。”国家工业信息安全发展研究中心总工程师黄鹏告诉科技日报记者,据测算,2022年我国网络安全保险保费规模约1.4亿元,较2021年翻一番,保持高速增长。

黄鹏介绍,我国网络安全保险产品服务模式主要有两种。一种是面向行业企业网络安全风险管理需求的“保险服务+安全风控”模式。该模式下,保险公司发挥主导作用,借助网络安全企业、专业网络安全测评机构的网络安全技术能力、场景化评估分析能力和数据整合分析能力,开展产品开发、核保定价、防灾减损等保险服务,为行业企业提供网络安全财产损失险、责任险、综合险等保险产品;另一种模式为面向网络安全产品残余风险转移需求的“安全防护+保险保障”模式。该模式由网络安全企业主导,体现为网络安全企业为行业企业用户提供网络安全防护类产品的同时,附加网络安全专门保险,如在招标文件中明确网络安全服务中包含为服务责任兜底的网络安全保险产品。

END

科技保险相关阅读

知识产权侵权、被侵权,用保险快速、低成本应对!

再谈科技成果转化费用损失保险

重点新材料首批次应用综合保险保什么?怎么买?

首台(套)重大技术装备综合保险保什么?怎么买?

一文读懂:科技保险

临床试验责任险Q&A | 索赔、受试者及投保流程

中试综合保险,为创新药等科技企业提供再来一次的机会!

您的临床试验责任险拒赔过吗?

完善MAH制度,监管部门鼓励通过购买商业保险等形式,保证持有人/注册人具备符合法律要求的责任赔偿能力

生命科学产品责任险,为企业转移潜在的巨额损失风险

知识产权保险,可增信融资,更能对知识产权加强保护

老板们,您知道专利和应收账款也能融资吗?

生命科学保险知多少

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

Python网络安全:最强工具,保护你的网络世界

Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒

美国大选进入冲刺阶段!网络安全问题再成关注焦点!

300个网络安全专业术语,懂一半绝对高手

PTZOptics相机的零日漏洞正在被广泛利用

谷歌警告安卓系统中存在被主动利用的 CVE-2024-43093 漏洞