資安險從2012年推出5年多來,總是詢問者多、願意投資者少,根據行政院主計處統計,臺灣在2016年上市上櫃總數高達1,624家,但投保資安險的公司在2016年才41家僅占全臺的0.02%左右。為何企業經常詢問資安險內容,但後來企業又卻步,而那些願意購買資安險的企業,又擁有何種共同特質才投保資安險,身為第一線與客戶接觸的華亞產物保險顧問陳賢德,分享以他擔任保險顧問20幾年的經歷,以及這5年經常與意願購買資安險企業互相交流的心得,從企業角度說明企業對資安險的顧慮和需求。
決策者的資安意識,決定企業是否願意投入資安險
一般來說,企業真正遭遇到網路攻擊後,才會意識到公司網路系統的安全不足,發現資訊安全的重要性,正所謂「不打不相識」。
臺灣多數中小企業在業務決策上面都是企業直接決定,擁有資安意識企業主與沒有資安意識的企業主相比,較願意購買資安險,陳賢德解釋,雖然前來諮詢資安險都是公司內部的資訊人員,但資訊人員本來就已經擁有了資安意識,能夠判斷公司需要資安險來提供保障,可是能夠決定購買資安險的決策者都是企業主。
通常願意購買資安險的企業主不僅有資安意識,也有風險管理的概念,他們能理解公司就算已經投入了資安方面的措施和設備,但仍然會發生不可預期的資安事件,資安公司不一定能夠防護到所有資安問題,才選擇投保資安險,來彌補目前無法預測的資安問題。
舉例來說,陳賢德揭露過去有一名具有資安意識的客戶,其公司有建置資安措施,但仍發生幾十萬筆資料外洩事件。起初客戶無法找到駭客利用何種漏洞來入侵,後來陳賢德邀請了國內資安團隊進入公司,針對公司整個資訊系統來做完整檢查,發現該公司客服主機系統在2年前早已遭駭客入侵,主要原因是駭客在安裝客服主機系統的光碟片內植入木馬程式,1年多前木馬才開始被駭客喚醒,暗中偷竊公司內部資料,甚至還偷了公司所有系統的帳密。
同時陳賢德安排的資安團隊也發現到,雖然公司已經在每個電腦安裝防毒軟體,但很多電腦都有中毒情形。
這些會考慮投保資安險的公司規模,除了擁有專門資訊部門的大公司之外,其他大部分都落在30人至50人以上的中型企業,而且資料數量都超過上千筆。
臺灣經濟環境差,企業節省成本拒絕使用資安險
在臺灣購買資安險的企業仍是極少數,企業主多數認為,用經費來投入資安等同把錢丟進水中,除了增加經濟負擔也無法為公司帶來實質收入,尤其是中小企業。陳賢德表示,因為現今臺灣經濟環境不太好,願意投資資安險的客戶都來自於大型科技業和金融業,很多中小型企業的老闆為了節省企業成本,不僅是節省資安險費用,甚至對資安的投入也省下來。
雖然蠻多企業與保險公司詢問關於資安險的內容,企業希望能夠在先前要求保險公司提供報價單來參考,但是企業看完報價單結果後,大多數企業主最後還是不採用。陳賢德承認,通常不願意投保因素都是老闆對成本的考量,很多老闆認為資安風險造成的嚴重性不會太大,如果沒有投保資安險也不會影響任何營運。
而且,陳賢德進一步強調,在意資安風險的人都是資訊部門的人員,只要該公司資訊部門採購新的產品,或者有資訊建置政策的改變,資訊人員會告訴他,希望他能夠為此估價,了解新措施的執行會造成的風險有多少,但因為企業主對資安風險不了解,經常都是有去無回的結果。
另外,雖然臺灣已經有個資法,但是投保個資險的企業也不多,過去認為能夠推動資安險的發展,但除了金管會根據其他金控法,懲罰資料外洩的金融機構需要支付幾百萬的罰款,其他產業懲罰金額卻不高,例如,一般公司或電商個資外洩的話,一般也只會罰款6萬元左右,企業普遍認為,罰款數目如此少,根本也不會影響企業營運。
陳賢德提到,因為歐盟在2018年提出個人資料保護規範(GDPR),直接衝擊在歐盟有設點的跨國企業,包括科技業、服務業和金融業等,現在有許多企業擔心這種法律風險,最近又再度有企業諮詢資安險相關內容。
除此之外,企業購買其他一般產險時,保險公司會利用填表方式來評估企業狀況,並且進一步提供合適的保單給企業參考,而且很多產險保費都是投保人與保險公司相互喊價而決定,充滿了不確定性,但是,資安險需要檢驗投保公司內部資安措施現況,無法只是利用填表單方式來評估保單服務,必須親自進入公司檢測才能評估。
資安險在臺灣是新興的險種,無法利用過去大量的客戶資料來得知不同程度資安措施,需要投資保費的價格範圍,陳賢德談到,因為每個人認知不同,如果使用填問券方式,同樣題目勾是或否,每個客戶理解可能有差距,造成評估資安狀況時,會有所嚴重誤差,企業前來諮詢資安險內容時,多數都想要知道資安做到何種程度,需要投資多少保費,但這需要根據不同產業特性、規模大小與資安措施程度來評估,而不是利用列表方式的結果來了解。
資安顧問加入強化資安險專業性,也增進企業使用資安險可靠性
保險公司在評估企業資安狀況時,一定會邀請資安顧問鎖定企業資訊系統來執行初步的資安健診,企業這時比較信任保險公司審查的結果報告,保險公司也能夠告訴企業需要改善資安措施的項目,直到達到合理的資安標準,保險公司更可以根據評估結果告訴企業適合的保費。
這類評估方式對保險公司與投保企業能夠造成雙贏的效果,一方面保險公司可以協助該公司達到標準的資安措施,也能夠讓公司理解內部資安措施不足的地方,另一方面,保險公司根據結果報告提出適合該公司的保單,也能夠凸顯保險公司在資安險的專業性。
陳賢德舉例指出,先前他拜訪了一家最近發生資料外洩事件的準客戶,首先,他邀請資安顧問了解該電商的資安情況,在顧問公司還未進入電商公司內部之前,保險公司先把該電商的網站網址交給資安顧問調查。資安顧問點擊網址之後,馬上就可以觀察出該電商隱含多項重大資安問題,必須立刻解決,這就能夠利用資安顧問的身份,增加資安險的可靠性,企業的投保意願也較高。
不僅如此,資安顧問也會給客戶短、中、長期的建議,如首先建議客戶在網站上先做權限控管,之後根據ISO 27000標準來建議客戶遵循,但如果企業本身規模不大,無法遵循所有內容,可以選擇幾項要點來實施。
企業需要建立信任與客觀評估,才願意投資資安險
資安險畢竟是個新興的險種,臺灣過去沒有豐富的經驗,造成企業目前還無法信任保險公司能夠確實協助處理資安事件的善後。陳賢德表示,如果企業無法信任的話,也很難推動資安險,只有少數投保資安險客戶都是互相彼此有建立信任關係才願意購買。
至於如何取得企業信任?陳賢德認為,他們去跟客戶談資安險,一定要直接跟用戶說資安險的保障範圍,以及不保範圍,特別是不保範圍與定義一定要跟客戶說清楚,不能讓客戶只聽到防護面,而沒了解無法防護的地方,甚至也需要把過去的案例跟客戶分享。
如果一旦用戶發生了資安事件,客戶才發現哪些部分不是承保範圍,不僅對保險公司失去信任,更是影響資安險的推動。
不僅如此,資安險不只企業需要信任保險公司,保險公司也要信任客戶的選擇,其中,資安險保單中有提供保險公司信任的資安團隊來處理,但是仍有客戶希望能夠使用自己信任的資安團隊,陳賢德表示,保險公司為了守住客戶自行挑選資安團隊的品質,避免客戶網路仍經常遭到攻擊,客戶需要等待保險公司評估審核通過後才能夠使用。
因此,企業願意購買資安險,保險公司與企業之間就要先前建立信任,保險公司需要和客戶想法一致。
保險公司不僅要邀請專家來強化資安險可信度,也必須把資安險承保範圍的模糊地帶向企業釐清,逐步地解釋給企業,讓企業能夠真正理解資安險內容,避免發生事情當下造成保險公司和企業兩者之間的誤差,而破壞客戶和保險公司的信譽。
.png)
