大规模数据泄露已经变得如此普遍,以至于不再是大新闻。确实成为头条新闻的网络攻击通常涉及银行或大型零售商,其中数千万或数亿条记录可能被盗。
由于大多数企业没有保持如此规模的机密信息,因此较小的公司成为黑客攻击目标的可能性似乎很小。这可能是许多企业不购买网络保险的原因之一。但是这个决定误解了小公司确实面临的网络风险。
事实上,网络保险政策下的大多数索赔不涉及目标或索尼式的攻击,而是更平凡的事件。这些可能包括员工或承包商在处理信息时的错误,丢失或被盗的笔记本电脑,未能更改被解雇的员工的网络权限或不幸的做法,使系统数据暴露在外。
显然,小企业也不能幸免于外部攻击。他们还没有复杂的数据安全保护措施,使他们成为一个有吸引力的目标: 只有一名员工必须购买网络钓鱼电子邮件,或者在网络受到威胁之前单击导入蠕虫或恶意软件的链接,从而导致成本严重影响公司的声誉和财务状况。
一个例子: 2013年,一家专业t恤商店的老板80sTees收到了银行关于可疑信用卡费用的通知。得知该问题后,该公司停止接受信用卡,重新编码该公司的网站,以便不再存储信用卡信息,并通知大约3,500名客户他们的个人信息可能已被泄露。
该公司认为它是计算机黑客的受害者。但更有可能的罪魁祸首是一名前高级员工,他建立了一个未经授权的电子邮件帐户,该帐户捕获了有关信用卡交易的信息。
尽管违规规模相对较小,但响应成本却很高。根据已发布的报告,该违规行为造成了200,000美元的损失,其中不包括公司不接受信用卡期间的销售损失。
80条骏马幸免于难。但并非所有公司都这样做。在2012的一项研究中,国家网络安全联盟得出的结论是,60% 的小公司在违约后的六个月内倒闭。为了减轻这些事件的风险,并保护公司的底线,公司应该采取一些基本的补救措施。
1.任何规模的企业都必须认识到,数据安全不仅是IT问题,而且是企业风险管理问题。
数据泄露风险来自多个来源,而不仅仅是外部威胁。因为数据安全应该在公司范围内进行管理,所以高级管理层而不是IT人员应该根据公司的投入来制定公司的数据管理和保护政策。
2.与任何主要的商业风险一样,保险应该是等式中不可或缺的一部分。
公司应至少每年检查一次保险,以确保对与网络相关的风险进行充分的保护。
3.企业不应该期望传统保险能够弥补这类损失。
传统产品 (例如商业一般责任政策或财产政策) 旨在涵盖人身伤害或有形财产的损害。数据泄露和其他网络事件则涉及信息或计算机软件等无形资产的损害。为了防范这种风险,公司需要网络保险。
第三方网络风险政策可防止因数据泄露而产生的责任和其他成本。这些成本可能包括违约通知成本,对潜在受影响客户的免费信用监控,民事诉讼的责任和辩护成本以及响应监管查询的成本。
第一方网络保险保护投保人免受业务中断损失或修复或恢复丢失的数据或软件的费用。如果发生违规行为,法医团队可能将不得不搜寻公司的系统以识别和解决任何问题-这一过程可能会很昂贵。
网络政策倾向于为离散危害提供有针对性的承保范围,每个承保范围都有单独的保费。一个覆盖部分可能仅适用于数据泄露通知费用和民事诉讼引起的索赔; 另一个覆盖部分可能仅适用于识别或修复违规行为的法医费用; 第三部分可能适用于应对监管程序的费用。
由于与网络相关的覆盖范围往往是分开的,因此公司应仔细检查其面临的风险,并确保其网络政策实际上涵盖了这些潜在损失。