35%的員工願當內鬼?我找到了一個好辦法
幾天前,雷鋒網宅客頻道編輯參加綠盟科技(以下簡稱綠盟)的媒體溝通會時,對方發佈了一系列產品與戰略合作計劃。其中,有一組數據和一項合作引起了我的關注。
綠盟和平安金融聯合發佈了一份《2017金融科技安全分析報告》,平安金融的妹子解讀了目前金融業的網絡安全風險,然後表示,根據他們的調查:籌碼到位的話,35%的員工願意泄露企業內部數據。
編輯仔細翻了翻這份報告,發現這是妹子演講時新增的料(報告中沒有)。
其實,去年雷鋒網宅客頻道就發佈了普華永道的一項調研結論:42% 的中國內地與香港受訪企業認為前僱員是導致安全事件發生的重要來源,前員工比黑客和友商更危險。
按照“不寫在對外資料中的信息可能更加有點意思”的定律(我自己總結的),我在朋友圈把這一調查結論發佈,獲取了一波業內外人士的討論。
我們來看下主要觀點是什麼樣的:
總結一下:基本沒有反對觀點,而且大家對於“人是薄弱環節”這個觀點是認同的。
提出了問題,總要有解決方案。
其實,對於心懷惡意的前員工也好,無法抗拒利益誘惑,主動或者無意識泄露企業內部機密數據的“內鬼”也罷,我們看到的,要麼是法律法規和企業內部相關條例的約束與應對,要麼是加強員工安全意識培訓,再者就是從技術層面對企業內部行為的跟蹤與規範。關於損失如何處理,還真的很少有好的解決方案。
因此,雷鋒網還注意到了上述會上的另外一項合作,綠盟科技聯合前海財險推出網絡安全險,比較明晰地寫出了承保的具體範圍:
編輯沒有輕易相信,網絡安全險可以解決或者真的降低上述“問題”裏的內鬼風險。但是,有沒有可能,它真的是解決方案選項之一?這是我接下來主要想討論的問題。
困境
讓編輯產生疑慮的地方有:
第一,網絡安全險在國外已有較長應用實踐,但在國內推廣不是特別多。從網搜資料看,2015年,美亞保險和安聯財險推出了相關產品,2017年,藍盾股份與平安保險廣東分公司簽訂網絡安全保險合作框架協議,眾安保險與杭州安恆信息了簽訂戰略合作協議,陽光產險也推出了網絡安全綜合保險。不過,也就如此了,尚未有什麼轟動的“後續劇情”。
第二,出人意料的是,綠盟科技金融事業部技術總監徐特對我強調了兩點:他們不是迫於友商競爭壓力聯合推出相關險種,他們在與客户的實際接觸和調研中,也沒有類似客户發出急切的需求,希望安全公司和保險公司推出這類險種。
這就有意思了。於是,我聯繫了徐特和前海財險的相關人員。
先來説説徐特對這個市場的態度。
觀點1:一些網絡安全險其實在變相收取“應急響應”的錢。
徐特認為,有些網絡安全險更像換了一個方式在收應急響應的錢。
比如,網絡安全公司也提供應急響應的服務。
應急響應如何收費?客户自己根據公司情況選擇一年需要的應急響應的次數:四次、六次、八次、十次,安全公司基於次數或者人天收費。
很多情況下,到了年底,並沒有發生這麼多次的安全事件,部分客户會認為這部分服務買虧了。有些網絡安全險的內容主要就是應急響應,收取較為低廉的保費協助被保險人處置安全事件。
假如保險公司有 100 個這樣的客户,100 個客户平均出兩次險,以 3 萬塊錢一家的數額來收,即使有個別的公司事故特別多,保險公司這種險種賣得多了,可以以較低的平均出險率為個別客户提供較多次的應急響應,同時保證整體的盈利水平。
“它其實就在憑運氣。因此,現在網絡安全險市場上沒有出現很強的競爭。因為大家並沒有找到好的點,即使大家都在談網絡安全險,覺得是一個藍海,但這個東西怎麼做,並沒有非常明晰的路徑。”徐特説。
觀點2:網絡安全險賣給誰,這是一個問題。
相對於旅行險等基數大、風險評估比較簡單的險種,網絡安全險面臨劣勢:第一,基數不大;第二,保險公司很難在專業領域內對一家企業的安全情況進行評估、確定保額、賠率等。這也是之前一些網絡安全險種尋找“替代應急”這種簡單可操作方案的原因。因此,保險公司在專業險領域,要與專業公司進行合作。
説白了,就是風險評估。
但是,問題來了。這類風險評估包括漏洞掃描、背景檢查、深度測試等一堆的基礎工作,可能需要花費10-20天時間、10萬左右的成本。
“客户想來買網絡安全險,需要先花個10萬塊錢測試,測試做完後,有可能機構還是不賣給你。這種商業邏輯不太現實。”徐特説。
嘗試
事實上,徐特透露,在此之前,綠盟和多家財險公司有過探討,但面臨了這一問題——很難找到種子客户。
從已經接受了網絡安全公司服務的公司裏找種子客户,是徐特和前海認為,可能可以獲取種子客户的一種最優路徑——假如對方已經向網絡安全公司投資了一筆100萬的綜合服務費用,再加上5萬的保費,對他們而言,並不是多麼難以下定決心的事情。
前海方面告訴我,目前在網絡保險方面確實面臨缺乏技術儲備,數據支撐和承保理賠經驗等困難,聯結非常重要。“通過行業聯合,與國際優秀再保人合作,打造產品,解決定價,承保和理賠的問題。”
這意味着,此次與綠盟的聯手,他們可以解決上述問題。此外,他們還要和合作方綠盟一起,完成事前的信息安全評估、事中的應急響應服務、事後的成本和責任認定。在網絡風險事故發生後的損失確定方面,前海表示,會與綠盟合作,在客户發生網絡安全事故時,提供應急響應和恢復。“對於複雜情況的損失鑑定,必要時我們也會聘請第三方專業機構進行協助。”
其實,這樣表述也許更加清晰:保險公司不用再擔心自己在專業領域裏的短板——他們能借助安全公司找到種子客户,他們多了一把尺子,知道應該把網絡安全險賣給誰,而願意為自己的安全大力付費的用户會更認可網絡安全險的價值。對安全公司而言,他們能為客户提供更全面的服務,保險+一攬子解決方案可以幫客户消除和減輕各類殘餘的安全風險,將其轉移給財險公司,實現對不可預知風險的財務覆蓋。
這就是他們目前正在探索的路徑。
面向未來的動作
回到最初的問題,兩家在網絡安全險進行嘗試的“合作”真的能解決問題嗎?
徐特告訴雷鋒網(公眾號:雷鋒網),綠盟的出發點是——這是一個面向未來的動作。
我試圖詢問,上面承保的 7 項中,有哪幾項可能是“賠付”最多的風險。倍感意外的是,徐特説,之前很多安全公司發出預警的“勒索蠕蟲威脅”可能不是現階段最可怕的點。
“勒索蠕蟲不是最可怕的,蠕蟲面對對象都是同一動作的,要命的是勒索的場景化,弄到隱私勒索一個小職員‘支付企業內部數據’,通過網絡劫持拿到 CEO 電腦裏的重要合約,問他要1000萬。什麼時候做電信詐騙的轉行定向勒索問題就大了。”徐特認為。
另外,數據泄密責任的賠付可能是未來的重點。比如,不久前鬧得沸沸揚揚的 Facebook 泄露隱私事件,用户就數據泄露起訴 Facebook,要求對所有涉及用户賠償。
“但在中國,現在的實際狀況是沒人罰它,包括一些大型企業曾有泄露過大量用户數據的事件,沒有哪一個被執法機構開過高額的懲罰性罰款。長期來看,早晚有一天也要跟人家一樣開始罰的,這個時候就真的很需要這個險了。”徐特説。
所以,也許這能部分解決開頭所提到的,無論是有心的內鬼,還是無意的員工,或是不靠譜的第三方帶來的數據泄露風險及損失的問題。
不過,對綠盟和前海而言,完全解決眼前的問題“實屬野心太大”。他們的目標更加現實——接下來的一段時間裏獲取一些種子客户,運營一段時間,積累一些經驗後,才能再談進一步的推廣。
網絡安全險會有“爆點”出現,只是時間早晚的問題。
徐特希望,這是擴大一家老牌網絡安全企業版圖上的一塊重要拼圖。他們想做的,就是儘早開始。
本文作者:雷鋒網宅客頻道主筆,李勤,qinqin0511
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
綠盟和平安金融聯合發佈了一份《2017金融科技安全分析報告》,平安金融的妹子解讀了目前金融業的網絡安全風險,然後表示,根據他們的調查:籌碼到位的話,35%的員工願意泄露企業內部數據。
編輯仔細翻了翻這份報告,發現這是妹子演講時新增的料(報告中沒有)。
其實,去年雷鋒網宅客頻道就發佈了普華永道的一項調研結論:42% 的中國內地與香港受訪企業認為前僱員是導致安全事件發生的重要來源,前員工比黑客和友商更危險。
按照“不寫在對外資料中的信息可能更加有點意思”的定律(我自己總結的),我在朋友圈把這一調查結論發佈,獲取了一波業內外人士的討論。
我們來看下主要觀點是什麼樣的:
引用前同事 K:請我吃頓飯,我把上家公司所有單身男同事聯繫方式給你。(呸,不要!)
業內人士1:這個比例不合理,説明籌碼不到位,到位了,肯定遠高於50%。
某警察蜀黍:有很多現實案例。
業內人士2:這麼低???人是最薄弱的環節。
業內人士3:多數企業的安全問題確實不是技術問題。
業內人士4:太保守,至少50% 。
。。。。。
總結一下:基本沒有反對觀點,而且大家對於“人是薄弱環節”這個觀點是認同的。
提出了問題,總要有解決方案。
其實,對於心懷惡意的前員工也好,無法抗拒利益誘惑,主動或者無意識泄露企業內部機密數據的“內鬼”也罷,我們看到的,要麼是法律法規和企業內部相關條例的約束與應對,要麼是加強員工安全意識培訓,再者就是從技術層面對企業內部行為的跟蹤與規範。關於損失如何處理,還真的很少有好的解決方案。
因此,雷鋒網還注意到了上述會上的另外一項合作,綠盟科技聯合前海財險推出網絡安全險,比較明晰地寫出了承保的具體範圍:
引用1.事故鑑定服務費用
企業聘請專業機構進行事故鑑定需要支付的服務費用。
2.數據恢復費用
企業為恢復、重建或重新收集電子數據,需要支付的費用。如:服務器數據恢復、硬件或軟件數據恢復費用等。
3.計算機勒索贖金
由於遭受安全威脅而支付的勒索贖金。如:黑客攻擊並竊取了網站信息,向網站提出贖金要求。
4.數據泄密責任
因個人信息或公司信息發生泄漏,受害者向泄露信息的企業提出的賠償要求。如:酒店泄露客户信息數據,受害者向酒店及數據商提出的索賠。
5.外包商導致的數據泄密責任
因外包商原因導致信息泄漏,受害方向企業提出的賠償要求。如:企業使用外包商維護系統,由於外包商自身的管理原因造成信息泄露。
6.數據安全責任
企業因疏忽或過失,致第三方財產損失而需要支付的賠償金。如:企業被植入惡意代碼、竊取口令或硬件被盜而造成其服務的客户遭受損失。
7.法律服務費用
企業發生數據安全事故而被提起仲裁或者訴訟而產生的仲裁費、訴訟費、律師費等。
你可以發現,這 7 項內容中,4、5、6 項都與數據泄密相關。
編輯沒有輕易相信,網絡安全險可以解決或者真的降低上述“問題”裏的內鬼風險。但是,有沒有可能,它真的是解決方案選項之一?這是我接下來主要想討論的問題。
困境
讓編輯產生疑慮的地方有:
第一,網絡安全險在國外已有較長應用實踐,但在國內推廣不是特別多。從網搜資料看,2015年,美亞保險和安聯財險推出了相關產品,2017年,藍盾股份與平安保險廣東分公司簽訂網絡安全保險合作框架協議,眾安保險與杭州安恆信息了簽訂戰略合作協議,陽光產險也推出了網絡安全綜合保險。不過,也就如此了,尚未有什麼轟動的“後續劇情”。
第二,出人意料的是,綠盟科技金融事業部技術總監徐特對我強調了兩點:他們不是迫於友商競爭壓力聯合推出相關險種,他們在與客户的實際接觸和調研中,也沒有類似客户發出急切的需求,希望安全公司和保險公司推出這類險種。
這就有意思了。於是,我聯繫了徐特和前海財險的相關人員。
先來説説徐特對這個市場的態度。
觀點1:一些網絡安全險其實在變相收取“應急響應”的錢。
徐特認為,有些網絡安全險更像換了一個方式在收應急響應的錢。
比如,網絡安全公司也提供應急響應的服務。
應急響應如何收費?客户自己根據公司情況選擇一年需要的應急響應的次數:四次、六次、八次、十次,安全公司基於次數或者人天收費。
很多情況下,到了年底,並沒有發生這麼多次的安全事件,部分客户會認為這部分服務買虧了。有些網絡安全險的內容主要就是應急響應,收取較為低廉的保費協助被保險人處置安全事件。
假如保險公司有 100 個這樣的客户,100 個客户平均出兩次險,以 3 萬塊錢一家的數額來收,即使有個別的公司事故特別多,保險公司這種險種賣得多了,可以以較低的平均出險率為個別客户提供較多次的應急響應,同時保證整體的盈利水平。
“它其實就在憑運氣。因此,現在網絡安全險市場上沒有出現很強的競爭。因為大家並沒有找到好的點,即使大家都在談網絡安全險,覺得是一個藍海,但這個東西怎麼做,並沒有非常明晰的路徑。”徐特説。
觀點2:網絡安全險賣給誰,這是一個問題。
相對於旅行險等基數大、風險評估比較簡單的險種,網絡安全險面臨劣勢:第一,基數不大;第二,保險公司很難在專業領域內對一家企業的安全情況進行評估、確定保額、賠率等。這也是之前一些網絡安全險種尋找“替代應急”這種簡單可操作方案的原因。因此,保險公司在專業險領域,要與專業公司進行合作。
説白了,就是風險評估。
但是,問題來了。這類風險評估包括漏洞掃描、背景檢查、深度測試等一堆的基礎工作,可能需要花費10-20天時間、10萬左右的成本。
“客户想來買網絡安全險,需要先花個10萬塊錢測試,測試做完後,有可能機構還是不賣給你。這種商業邏輯不太現實。”徐特説。
嘗試
事實上,徐特透露,在此之前,綠盟和多家財險公司有過探討,但面臨了這一問題——很難找到種子客户。
從已經接受了網絡安全公司服務的公司裏找種子客户,是徐特和前海認為,可能可以獲取種子客户的一種最優路徑——假如對方已經向網絡安全公司投資了一筆100萬的綜合服務費用,再加上5萬的保費,對他們而言,並不是多麼難以下定決心的事情。
前海方面告訴我,目前在網絡保險方面確實面臨缺乏技術儲備,數據支撐和承保理賠經驗等困難,聯結非常重要。“通過行業聯合,與國際優秀再保人合作,打造產品,解決定價,承保和理賠的問題。”
這意味着,此次與綠盟的聯手,他們可以解決上述問題。此外,他們還要和合作方綠盟一起,完成事前的信息安全評估、事中的應急響應服務、事後的成本和責任認定。在網絡風險事故發生後的損失確定方面,前海表示,會與綠盟合作,在客户發生網絡安全事故時,提供應急響應和恢復。“對於複雜情況的損失鑑定,必要時我們也會聘請第三方專業機構進行協助。”
其實,這樣表述也許更加清晰:保險公司不用再擔心自己在專業領域裏的短板——他們能借助安全公司找到種子客户,他們多了一把尺子,知道應該把網絡安全險賣給誰,而願意為自己的安全大力付費的用户會更認可網絡安全險的價值。對安全公司而言,他們能為客户提供更全面的服務,保險+一攬子解決方案可以幫客户消除和減輕各類殘餘的安全風險,將其轉移給財險公司,實現對不可預知風險的財務覆蓋。
這就是他們目前正在探索的路徑。
面向未來的動作
回到最初的問題,兩家在網絡安全險進行嘗試的“合作”真的能解決問題嗎?
徐特告訴雷鋒網(公眾號:雷鋒網),綠盟的出發點是——這是一個面向未來的動作。
我試圖詢問,上面承保的 7 項中,有哪幾項可能是“賠付”最多的風險。倍感意外的是,徐特説,之前很多安全公司發出預警的“勒索蠕蟲威脅”可能不是現階段最可怕的點。
“勒索蠕蟲不是最可怕的,蠕蟲面對對象都是同一動作的,要命的是勒索的場景化,弄到隱私勒索一個小職員‘支付企業內部數據’,通過網絡劫持拿到 CEO 電腦裏的重要合約,問他要1000萬。什麼時候做電信詐騙的轉行定向勒索問題就大了。”徐特認為。
另外,數據泄密責任的賠付可能是未來的重點。比如,不久前鬧得沸沸揚揚的 Facebook 泄露隱私事件,用户就數據泄露起訴 Facebook,要求對所有涉及用户賠償。
“但在中國,現在的實際狀況是沒人罰它,包括一些大型企業曾有泄露過大量用户數據的事件,沒有哪一個被執法機構開過高額的懲罰性罰款。長期來看,早晚有一天也要跟人家一樣開始罰的,這個時候就真的很需要這個險了。”徐特説。
所以,也許這能部分解決開頭所提到的,無論是有心的內鬼,還是無意的員工,或是不靠譜的第三方帶來的數據泄露風險及損失的問題。
不過,對綠盟和前海而言,完全解決眼前的問題“實屬野心太大”。他們的目標更加現實——接下來的一段時間裏獲取一些種子客户,運營一段時間,積累一些經驗後,才能再談進一步的推廣。
網絡安全險會有“爆點”出現,只是時間早晚的問題。
徐特希望,這是擴大一家老牌網絡安全企業版圖上的一塊重要拼圖。他們想做的,就是儘早開始。
本文作者:雷鋒網宅客頻道主筆,李勤,qinqin0511
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網