香港網絡安全保險:企業指南
香港企業需要了解的網絡保險知識——保單保障內容、需要了解的關鍵除外責任、如何評估保障需求,以及事故後的理賠流程。
香港企業需要了解的網絡保險知識——保單保障內容、需要了解的關鍵除外責任、如何評估保障需求,以及事故後的理賠流程。
網絡保險保單保障因網絡安全事故而產生的財務損失——包括勒索軟件攻擊、數據洩露、商業電郵詐騙及其他網絡犯罪。保障通常分為第一方損失(您的企業直接承擔的費用)和第三方責任(受影響客戶或合作夥伴對您的企業提出的索賠)。第一方保障通常包括:事故應對費用(法證調查、法律顧問、公關)、業務中斷損失(系統離線期間損失的收入)、數據恢復和系統重建費用、贖金支付保障(受條件和法律審查影響)以及與事故相關的監管罰款和罰則。
網絡保單中的第三方責任保障,防範客戶、合作夥伴或監管機構因您系統洩露影響他們而提出的索賠。對於持有客戶個人資料、信用卡數據或商業機密的香港企業而言,第三方責任意義重大——影響數千名客戶的數據洩露可能產生大量通報費用、集體訴訟風險和監管調查費用。第三方網絡責任保障通常涵蓋:數據洩露引起索賠的法律辯護費用、和解費用、監管調查費用和罰款保障,以及向受影響個人的洩露通報費用。
隨著網絡事故 ↗日趨頻繁和代價高昂,香港網絡保險市場已大幅增長。在香港提供網絡產品的主要保險公司包括AIG、Zurich、AXA XL、CNA、Chubb,以及專注於中小企的專業網絡保險公司Cowbell和Coalition。保險經紀包括Marsh、Aon和Willis Towers Watson在香港設有專職網絡保險業務。對中小企而言,許多保險公司現在提供簡化申請流程和預設保障層級的中小企網絡產品,保費合理——安全狀況良好的中小企的網絡保障成本已變得可承受,大多數情況下未投保事故的成本遠超年保費。
網絡保險除外責任定義了保單不涵蓋的內容——了解除外責任與了解保障同樣重要。許多香港企業購買了網絡保險,後來才發現他們的具體事故屬於保單除外責任,在最需要時得不到保障。網絡保單中商業意義最重大的除外責任,是戰爭或國家行為者除外責任,將歸因於戰爭行為或國家行為者網絡行動的損失排除在外。2017年的NotPetya攻擊——被歸因於俄羅斯國家行為者——在保險公司試圖適用戰爭除外責任時引發了保障爭議。由於國家贊助的網絡活動增加,保險公司尋求擴大這一除外責任。
香港企業在網絡保單中應仔細審查的其他常見除外責任包括:已知情況除外責任(在保單生效前開始的事故通常被排除——如果您在購買保單前已存在未被發現的洩露,該洩露造成的損失可能不在保障範圍內);安全不足除外責任(一些保單排除因未能維護指定最低安全管控而產生的索賠——如果您聲稱在所有帳戶上啟用了MFA但實際未啟用,利用這一缺口的洩露可能被排除);社會工程和BEC詐騙(商業電郵詐騙電匯詐騙有時在標準網絡保單中有副限或被排除——一些保單需要單獨的犯罪或BEC附加險才有此保障);以及基礎設施故障除外責任(因您的互聯網服務提供商或雲端提供商故障造成的損失,可能因不符合「網絡事故 ↗」定義而被排除)。
網絡保險的申請和保證流程創造了重要的保障義務。申請網絡保險時,您通常需要證明您的機構維護了指定的安全管控——所有遠端存取和雲端應用程式的MFA、功能正常的終端設備保護、定期修補和備份能力。這些聲明可能成為保單中的保證——意味著如果它們在保單生效時不準確,或在保單期間變得不準確而您未通知保險公司,保險公司可能對因未申報缺口而產生的索賠撤銷保障。了解您承諾維護哪些安全管控,並確保這些管控確實到位且得到維護,是有效保障的條件。
確定香港企業合適的網絡保險保障限額,需要量化重大網絡事故的最大可能損失。評估的關鍵因素包括:您的收入(業務中斷保障應反映您在實際恢復期間可能損失的收入——重大勒索軟件事故通常需要30至90天恢復);您持有的個人資料 ↗的數量和敏感度(確定通報費用和第三方責任風險);您面對BEC電匯詐騙的暴露(金融企業和高應付帳款的企業風險較高);香港事故應對服務的費用(重大事故的法證調查和法律顧問費用通常為數十萬港元);以及您的監管情境(受HKMA監管的機構面臨與未受監管的中小企不同的監管調查風險)。
網絡保險也作為事故應對準備的採購驅動因素。許多網絡保險保單包括以預先談判費率提供批准的法證調查公司、法律顧問和危機通訊專家的事先安排存取,作為保單的一部分。這些保險公司面板供應商在處理數百宗網絡事故方面帶來經驗,比在事故中臨時聘用更能快速有效地回應。在購買前審查您的網絡保險公司提供的事故應對面板——了解這些公司是誰,以及他們是否具有香港能力——是超越財務保障條款本身的保單選擇的重要因素。
對於香港受監管企業——受HKMA和證監會監管的銀行、保險公司和證券公司——監管指引中可能規定了網絡保險要求。HKMA的網絡彈性指引包括對風險轉移的期望,而證監會網絡安全通函建議網絡保險作為全面網絡安全計劃的一部分。即使對未受監管的企業,HKPC的中小企網絡安全指引也將網絡保險列為建議管控。在購買保障前審查您行業的行業特定監管指引,確保您的保單針對適用於您企業的具體期望。
當網絡事故發生時,您在最初幾小時內與網絡保險公司的接觸方式,對保障結果有重大影響。大多數網絡保單要求及時通知保險公司——通常在發現事故後24-72小時內,一些保單要求「盡快通知」。延遲通知可能引發保障爭議。您的事故應對計劃應包括您的保險公司的緊急通報聯絡號碼(大多數網絡保險公司提供24小時事故通報熱線)以及報告索賠所需的初始信息。在聘請外部法證調查員之前致電您的保險公司——您的保單可能要求使用批准的面板供應商,在未獲保險公司預先批准的情況下聘請非面板公司可能造成保障複雜。
從事故發生第一刻起的文件紀律可保護您的保險索賠。從發現時刻起記錄所有採取的行動——包含時間戳的發現內容、時間、由誰發現、採取了什麼行動及其結果的日誌。妥善保留證據——在法證成像之前不要立即清除或重建被入侵系統,因為這會摧毀確認事故性質、範圍和時間線的證據。收集和保留損失產生的財務記錄——用於事故應對的員工工時、更換硬件和軟件費用、第三方服務發票——因為這些支持您的業務中斷和恢復費用索賠。及時聘請的保險公司事故應對面板法證公司將指導證據保存。
勒索軟件事故中的贖金支付決策,在香港情境下需要特別謹慎。在支付任何贖金之前,通知您的保險公司——大多數保單要求保險公司預先批准贖金支付,未經授權的支付將不獲保障。就特定勒索軟件組織是否受到制裁(向OFAC或同等制裁名單上的勒索軟件組織支付可能造成法律責任)諮詢法律顧問。聘請專業的勒索軟件談判公司——保險公司面板通常包括此類公司——他們可以在支付前驗證數據恢復能力、談判支付金額並管理加密貨幣支付物流。應同時通知HKPF CSTCB,報警不妨礙支付,但向執法部門提供意識和潛在調查協助。
