被勒索病毒困扰 企业开始用保险应对损失
安科网讯 北京时间5月22日消息,保险公司指出,类似WannaCry这样的勒索病毒让企业蒙受损失,为了挽回损失,一些没有购买网络险的企业重启购买政策,保险内容覆盖绑架、勒索和敲诈。
购买网络险费用很高,在美国之外并不是特别流行,保险公司之前曾透露说,购买数据泄露保险服务时,投资10万美元可以获得100万美元赔偿。
企业用绑赎险应对
一些企业想都没有想过购买此类保险,因为它们认为自己不会成为攻击目标。
绑架险(又叫作K&R coverage,即绑赎险)一般被跨国企业使用,它们用绑赎险保护某些地区的员工,这些地区石油和采矿业发达,暴力事件很多,比如非洲和拉美一些地区。
如果遭到WannaCry攻击,企业也可以用绑赎险挽回损失。WannaCry攻击用恶意软件(也就是勒索病毒)锁定20多万台计算机,波及150多个国家,黑客要求计算机用户支付赎金才能解锁。
保险公司认为,与传统网络险相比,如果遭到勒索攻击用绑赎险挽回损失,获赔的资金可能低一些,政策也没有那么匹配。
伦敦专业商业保险公司CNA Hardy的首席承销官帕特里克·盖奇(Patrick Gage)认为:“一些富有创造力的法医律师可能会深入研究条款。”他还说绑赎险一般针对生命所遭受的威胁,用户购买特定范围的保险会优先对待,不是那些模糊的保险类别。
美国国际集团(American International Group)、Hiscox和Travelers已经收到一些客户的请求,它们因为勒索软件索赔,这些客户购买了绑赎险。
保险公司拒绝透露总索赔金额,主要是出于机密原因和客户安全方面的考虑。Hiscox新闻发言人表示:“在过去18个月里我们收到了索赔请求,不过金额并没有增加太多。金额在预期之内,整体上是可控的。”
是否有客户因为WannaCry攻击申请索赔?Hiscox新闻发言人拒绝置评。不过灾难建模公司RMS的网络安全管理专家汤姆·哈维(Tom Harvey)认为,如果保险公司提供绑架、勒索保险服务,它们将会深入查看保单条款,看看自己是否会受到影响。
在过去18个月里,由于勒索攻击的数量迅速增加,迫使企业利用绑赎险挽回损失,因为它们没有直接购买网络险,或者根据网络保险条款索赔金额比免赔额还要低。
赛门铁克表示,2016年发现46万起勒索攻击事件,比2015年增加36%;要求受害者支付的赎金平均额度从294美元上升到1077美元,增长266%。
威胁越来越大,提供绑赎险的保险公司风险加大,索赔金额可能比预期多得多。保险经纪商说,保险公司已经开始响应,它们修改了政策,原本政策就不是根据勒索病毒设计的。
保险公司担心了
有许多计算机受到WannaCry影响,当中的大多数不在美国,而且美国之外的企业一直不愿意购买网络险。全球每年购买的网络保险费约为25-30亿美元,当中90%来自美国。
企业购买绑赎险时也没有将勒索软件考虑进去。但是之前有案例显示,高科技黑客与网络勒索可以对企业业务造成巨大影响,比一名高管被绑为人质威胁还要大。
保险经纪商Marsh的安全产品主管鲍勃·帕里(Bob Parisi)认为:“如果CFO被绑架了,公司还是会继续运营。如果系统内部出现恶意软件,两座工厂可能会停产,实际损失大得多。”
Aon网络风险实践全球主管凯文·卡林尼池(Kevin Kalinich)说,一般来讲绑赎险没有免赔额,勒索赎金和危机响应服务也在赔付范围之内;例如,与罪犯或者监管机构接触就属于危机响应范围。
尽管如此,绑赎险可能只是权宜之计,因为它不是针对勒索软件设计的。保险公司指出,企业可以再购买营业中断险,不过赔付的最高额度一般比网络险低。
经纪商还说,提供绑赎险的保险公司已经修改政策,为勒索软件受害者支付赔偿金,一些保险公司甚至为客户设立比特币帐户,加快赎金的支付速度。
不过保险公司已经开始重视自身风险。Willis Towers Watson PLC全球网络风险主管戴高斯提诺说,一些企业增加了免赔额。AIG也对政策做出调整,如果购买绑赎险中的营业中断类别,遭遇网络敲诈勒索事件最高只能赔100万美元,金额下调。AIG网络安全保险全球主管特蕾西·格雷拉(Tracie Grella)说:“保险公司没有料到勒索软件如此猖獗。”(星海)