Ransomware 肆虐保險公司擔心了?

| 鍾案平 | 22-05-2017 20:33 |
Ransomware 肆虐保險公司擔心了?

【e-zone 專訊】出天災人為意外,事前有買保險的話理論上可獲賠償(包括勒索綁架),有關保險制度亦頗成熟,但被黑客用 Ransomware(勒索軟件)入侵網絡系統並加密後檔案後造成的損失呢?理論上也是可以,在美國許多公司也有買「網絡保險 (cyber insurance)」,但美國以外的地方則不多見,這又牽涉定義問題 - 因「WannaCry」之類勒索軟件而蒙受損失,應屬哪種保險?

受勒索軟件攻擊的損失可能比管理層遭綁架對公司業務的影響還要大。保險經紀 Marsh 網絡產品主管 Bob Paris 表示,如果公司 CFO 被綁架勒索,公司還可以如常運作;但企業系統受惡意軟件入侵,生產線停頓,實際損失將大得多。於是,無購買網絡保險的公司便考慮買覆蓋綁架勒索和敲詐的保險,以挽回損失。

綁架勒索保險包?

保險顧問怡安(Aon)數據顯示,全球每年網絡保險費支出約 25 至 30 億美元,9 成來自美國,而購買網絡保險費用一般很高,故在美國之外不是特別流行;更多公司從不考慮買,因為它們認為自己不會成為攻擊目標。有保險公司透露,通常公司會購買數據洩漏保險,投保 10 萬美元大概可獲得 100 萬美元賠償。有公司欲把 Ransomware 歸類為「綁贖險(K&R)」,申請相關保險。綁贖險是跨國公司為在非洲及中南美洲工作的員工投保,因當地常出暴力或綁架勒索事件。

有保險公司認為,若遭勒索軟件攻擊用綁贖險保償損失,獲賠金額可能比傳統網絡險低,保障條款亦沒有那麼匹配。Aon 網絡風險實踐全球主管 Kevin Kalinich 說,一般綁贖險沒有免賠額,故勒索贖金和危機響應(crisis response,如跟罪犯或監管機構接觸)服務也在理賠範圍 - 但購買綁贖險只屬權宜之計,因它不是為勒索軟件而設。

業務中斷難計算?

又有公司改為購買包含「業務中斷(business interruption)」條款的保險,但賠償額上限一般比網絡保險低。事實上,保險公司亦已因應形勢,一面革新服務配合,甚至為客戶開立比特幣(Bitcoin)帳戶,加快贖金的支付速度;另一面修改政策以保障自己,如 AIG 調整政策,客戶購買綁贖險中的業務中斷類別,遭網絡敲詐勒索時賠償的上限降至 100 萬美元。該公司網絡保險全球主管特 Tracie Grella 坦言,保險界確實無料到勒索軟件冒起得如此快,一時難以應對。

光子網路行政總裁馮德聰認為,其實公司為受網絡攻擊而買保險的性質有基本跟「火險」類似,後者經營模式成熟,若香港想發展類似業務可以參考,其中關鍵應是 IT 法證或核數公司評估客戶的系統保安風險,並按其營業額定保費數目。他又指系統內的檔案、數據中心安全的保險很普遍,但因為 Ransomware 肆虐而投保的企業比較少,故保險界和客戶本身可留意自身風險或商機。不過,很多時客戶並未在使用服務時同時購買,現在多是金融界客戶對這類服務認識較深,WannaCry 事件後便多了查詢。

Photo:Christiaan Colen
Source:ezone.hk、路透社

Page 1 of 8