Cyber​​ Insurance:你需要吗?

不是每个人都相信价值,但公共CIO必须参与决定。

by / February 27, 2014

在电子数据中违反违规行为以及公民的妥协’私人信息,南卡罗来纳州设定了标准。 2012年秋季,国家’据宣布,收入部宣布,在网络内签订了约360万的社会安全号码和387,000名信贷和借记卡号码。

它证明了一个昂贵的事件。国家信贷监测额超过1200万美元,持续560万美元,以更强的加密和130万美元通知纳税人。总之,南卡罗来纳州预算和控制委员会批准了2010万美元的贷款,以支付与违约有关的费用。

也许那里’是一种更好的方法。鉴于私营和公共部门的网络攻击速度,一些市政当局试图通过称为Cyber​​ Insurance的载体接种自己的灾难性损失。就像它的声音一样,Cyber​​ Insurance赔偿一个国家,县或城市,反对由受损技术造成的一系列损失。

亚利桑那州梅萨,技术和创新经理Alex Deshuk认为这一覆盖范围。自2013年底以来,该市在讯息山上携带了高达2000万美元的保险,为该政策支付了几十万美元。

使用4,000名员工,以及在使用中的许多计算机,违反数据或隐私的前景可以’t be overlooked. “它是我们一般风险评估的一部分,以通过我们所有的资产来看待我们所有的资产,网络包装都很重要,” Deshuk said. “它们的价值就像任何有形资产一样,并且总有一些风险。”

虽然这种风险的性质可能很大,但今天有一些共同的元素’S Cyber​​ Insurance政策。在大多数情况下,这些保险涵盖:

危机管理,可能包括调查事故和补救网络的费用。

通知,这将涵盖通知所有受数据丢失影响的个人的成本。

市政损失如城市或县级资金盗窃,或罚款和处罚。

第三方覆盖率支付污染网站或由于政府袭击导致知识产权损失的问题’S系统。这可能包括向第三方拒绝服务’S系统或与第三方盗窃相关的费用。

要衡量潜在的损失,请考虑2013年NetDiligence研究。仅限于与29个单独事件相关的法律费用,研究人员认为国防费用高达1000万美元,结算成本高达2000万美元。 (平均费用分别为575,000美元和258,000美元。)

估计一个人实际需要的覆盖量需要一个令人挑战的手。违规可能有多可能?多常?普遍普遍吗?可能丢失什么?鉴于许多变量,一些城市将毫无疑问地挑战确定适当的覆盖范围。

“我们从最糟糕的情况下接受了它,”Deshuk说。他的团队与城市合作’S风险评估员审查资产,可能的威胁和部署的防御。最后,他们选择以估计最大可能的损失的10%。当然,这留下了一个潜在灾难的大窗口,“但我们觉得那种事件的可能性相对较低。”

有人说,风险评估的运动本身可能是购买网络核心的大益处之一。

作为深入资产勘探和过程控制,“应用程序本身充当风险管理工具, ”Matt Prevost表示,费城保险公司’Cyber​​ Insurance的产品经理。与大多数此类政策一样,这家保险公司’S Cyber​​ Coverage包括第一和第三方覆盖,数字资产丧失,商业中断,越来越大,甚至是以网络万种的影响。

为了完全赔偿网络风险,公民领导人必须考虑不仅仅是他们的数字资产。“例如,当违规时间来临时,您将在违规行为是一个大问题,” Prevost said. “您需要了解立即采取的合适步骤。您希望拥有一个响应模板,作为该保险范围的一部分。”

为了使这种情况发生,所有相关的玩家必须聚集在一起讨论可能的情况。结果,它可能会发现自己占据了桌子上的新座位。“Cyber​​ Insurance的规划将系统管理员和CTO将其进入风险管理谈话,这通常是HASN的’在通过保险购买过程之前发生了。这是IT团队可以加入那个风险管理方程的大点,” Prevost said.

即将结合的效果不仅仅是奖金。它’对政府的基础’努力确保仍然是一种相对较新的覆盖形式。

“我们看到了一个明显不是技术专家的人填写的申请’在那里,斯普什里斯发挥作用,只是因为他们可能不明白他们正在阅读的东西,”保险公司威利斯高级副总裁卡尔·佩德森说。“当我们在谈话中包括来自房子的技术方面的某人时,它往往更加富有成效。”

俯瞰网络核心景观,Pedersen告诉他的政府客户,并非所有政策都是平等的。比较的关键点是什么?

未加密的媒体排除。有些保险公司将拒绝涵盖未加密媒体的损失。举手,员工的全面常见场景,员工占用笔记本电脑或闪存驱动器。作为该数据的托管人,政府官员将希望赔偿他们的潜在损失,无论数据是否被加密。

时间至关重要。许多政策只会支付覆盖期间报告的损失。实际上,您可能没有听到事实后几周甚至几个月的损失。这些事情要光临需要时间。寻找具有追溯日期的政策,在政策前至少两年开始覆盖’S的生效日期和超越政策的生命。

流氓员工。假设IT团队中的某人使用加密密钥,有效地损害整个网络。不是每个政策都将认为这是一个网络阵列。它是,它的覆盖率。

纸— really? Data doesn’只能住在桌子上或服务器上的盒子里。它还生活在地下室的纸箱。纸张记录也是数据,他们应该包括在任何赔偿数据损失的政策中。它似乎是违反直观的—涵盖8.5 x 11信息的Cyber​​ Policy—但是,一个好的政策将使它承认这一切都在同一个连续体内。“人们认为我们只是在谈论电子数据,但真的这是关于隐私,无论格式如何,” Pedersen said.

对于国家和地方的许多人来说,对网络核心的追求尚未归结为比较不同政策的细微差别:它们’仍然在起跑门。尽管对国家零售商的高调的数字攻击升高,但网络技术的现实尚未在所有市政领导人中遇到家。

在亚利桑那州,国家IT领导人已成功地征用了覆盖范围,保险在中央州数据中心的损失方面。代理州Cio Phil Manfredi表示,赢得其他政府领导人的胜利已经采取了一些技巧。

“It’关于外联和培训和教育—不仅仅是员工,而且是立法机关,” Manfredi said. “安全性极其复杂,层次上有层数,因此您需要与立法机关有这种关系,在那里您可以在这些区域传达重要性。”

这通常意味着它必须纪律自己留下血腥技术细节并专注于大局。“挑战是,每个人都在不同的经验。所以我从威胁景观开始:谁试图攻击我们,为什么他们试图攻击我们,多久一次?”亚利桑那州首席信息安全官员Mike Lettman。“当他们开始看到这些人们在试图获取数据时,那种谈话总是一个拐角人。”

另一方面,一些IT领导者尚未说服自己的覆盖优点。例如,在德克萨斯州德克萨斯州的CIO Peter Anderson自2013年中期以来一直在探索该主题。

原则上,安德森希望恢复他的数据和系统,抵消损失的时间和生产力,赔偿被盗的笔记本电脑,以及其他事情。他也想知道他’D覆盖不仅仅是黑客。“我们知道全国范围内的情况,人们因火灾或洪水造成的系统受到损害。即使您在场外备份磁带,恢复这些可能相当昂贵,” he said.

到目前为止他’S定价为每年2,400美元至7,500美元的覆盖率。“对我来说,鉴于它可能看起来的幅度和所有可能发生的事情,这一范围似乎是合理的,”他说。尽管如此,他仍然发现在任何价格标签中很难充满信心。保健保险,汽车覆盖—这些是已知的数量,基于未结块的数据。“但对于一个城市来说,您可以从其他城市看一下相对较少的历史数据。”

分析师表示,这种缺乏数据是在所有部门的网络核心谨慎发展中的一个关键因素,包括政府。“保险定价在没有标准的情况下不可行,无法衡量行为,以及由于未能达到这些标准而产生的责任,”遗产基金会报告。“在Cyber​​domain中,目前都没有。没有普遍接受的网络安全标准,并且没有通常适用的责任制度来解释符合这些标准的故障。”

尽管存在这样的不确定性,但安德森正在推动市议会的是的。考虑到今天的流形风险’s cyberenvironment, “从我的角度来看,我们应该这样做,” he said.

可是等等。作为数字景观的危险可能是,一些市政IT领导者正在撤回。他们说,可能有风险,但支付保险是过度的。

Hillsborough County,Fla。,税务员’Scept Office,信息服务主任Kirk Sexton很高兴能够枚举他的办公室并不令人讨厌的所有原因’需要Cyber​​ Coverage。

他的办公室在扫描点加密信用卡数据。

那里’s一个有限的单个数据中心。

工作人员营业额较低,每个人都会得到强制性的网络传播。

该县收集60万包裹税,通过其各种交易移动20亿美元,但它’是一个有限的个人游泳池,远小于数百万个目标客户—县都知道其中大部分生活的地方,应该是必要的。“因此,当我们看看我们的最大曝光时,我们说,即使他们获得了每一个信用卡,这是一个非常不太可能的,损失将大大少于目标,” Sexton said.

他的判决:“除非有一个针对我们的课程诉讼,否则我们不会那么关心。”

那么为什么要支付保费?

对于许多人来说,Cyber​​ Coverage可能会导致金钱的问题。 Pedersen表示,每辆覆盖范围的每一笔100万美元,州将支付15,000至20,000美元。典型的州纽瓦尔莫里斯可能运营2000万美元至3000万美元。你可能想要它,甚至可能认为你需要它,但最终抵达了网络核心对政府景观的可能性可能会归结为同样的古老问题:你能负担得起吗?


永远不会错过每日Govtech今天的故事时事通讯。

订阅


亚当石 贡献作家

亚当石的经验丰富的记者拥有20多年的经验,涵盖教育,技术,政府和军队,以及不同的其他主题。他的作品出现了全国几十个一般和利基出版物。 

E.Republic平台& Programs