从Facebook近期泄密门事件看网络安全责任保险的崛起

  3月22日,乌云漏洞平台发布消息称,携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等。携程方面23日对此回应称,携程技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除共涉及93名潜在风险用户,已通知上述用户更换威尼斯网上手机官网,信用卡并负责全部费用。

  道口保险观察

  随着互联网的发展,为网络安全提供保障也成为保险业追逐的对象。继苏黎世保险、安联财险、美亚保险相继为互联网企业信息安全和资金安全提供保障后,近日,为全面保障互联网云计算的闭环交易,国内首款云计算保险也正式问世。

威尼斯手机娱乐官网平台,  继上月携程被曝用户支付信息出现漏洞后,4月8日,全球互联网通行的安全协议OpenSSL曝出本年度最严重的漏洞。据悉,利用该漏洞黑客坐在自家的电脑前,就可以实时获取到很多https开头网址的用户登录账号密码。

  新闻回顾

  据了解,此款云计算保险由阿里云[微博]向所有用户免费提供。依据条款,保障范围覆盖数据安全、服务可用、硬件设备、网络通信等多个层面。阿里云的用户如遇到数据安全、云服务、硬件设备故障等问题,都将由专业的众安保险提供赔付,同时也对数据的100%私密性、100%可销毁性等提供。

  接连曝光的网络漏洞让大家更为关注互联网时代的信息安全,近日,在中央财经大学举办的“中财-苏黎世保险沙龙”上,国内首款网络安全与隐私保护险成为大家关注的话题。

  3月18日,《卫报》报道称,一家名为剑桥分析(Cambridge
Analytica)的数据公司窃取了5000万Facebook用户资料,根据每个用户的日常喜好、性格特点、教育水平,预测他们的政治倾向,进行新闻的精准推送,达到洗脑的目的,间接促成了特朗普的当选。

  后期如用户遭遇损失,只需联系阿里云客服反馈情况配合理赔即可,保险公司将根据损失情况进行赔付。按照规划,未来还会有更多用户可选的增值服务,如用户可为自身系统投保购买更高保障,若遭遇黑客攻击造成损失,将可获得保险赔付。

  据了解,去年11月,苏黎世财险保险(中国)有限公司在我国率先推出网络安全与隐私保障保险。据介绍,该产品包含了对企业面临的第一方损失和第三方责任等多方面保障,如包括被保险人因安全事件导致的营业中断以及从属的营业中断损失,或被保险人因安全事件导致数字资产损失或损毁而产生的费用等等;此外,还将承保包括网络或离线数据泄露的第三方责任、符合一定条件的监管调查抗辩费用,甚至还包括互联网媒体责任等。

  有消息称,剑桥分析公司并不是通过侵入数据库的方式拿到的用户数据,而是完全基于Facebook当时的服务条款和正常的API,用钻空子的方式,取得了Facebook通过大规模数据监控收集来的5000万用户信息。

  目前,在网络安全保险方面推动力度较大的险企包括苏黎世保险、安联财险、美亚保险等。据了解,2013年,苏黎世财险(中国)推出了安全与隐私保护综合保险,范围包括隐私侵犯费用——用于聘用会计师、法律顾问、公关顾问或其他第三方,进行计算机取证分析,赔偿责任的界定,支付通知费用、公关费用以及营业中断损失赔偿等,对第三方责任的承保范围包括符合一定条件的监管调查抗辩费用,以及可选承保范围如互联网媒体责任等。

  苏黎世保险金融险部负责人在此次保险沙龙上介绍,该保险承保以组合方式推出,投保人可根据自身企业风险特点选择其中一项或者多项进行投保。据介绍,在承保时,保险公司会考查该公司的经营数据,包括上一年度的财报、营业额销售分布区域以及IT运营状况,从而根据其风险情况来计定保费。

  受此影响,Facebook市值在一度缩水600多亿美元。Facebook
CEO马克·扎克伯格(Mark
Zuckerberg)在事件发生一周之后才发表声明,对该事件做出了解释,称开发者过多地收集用户信息的问题如今已得以解决。然而这并没有让民众买账。

  苏黎世财险金融险部负责人毛亮认为,在保护隐私和个人信息方面,面对越来越有隐蔽性和多变化性的欺诈手段,仅仅依靠个人客户通过常识来识别和规避风险是非常有限的。通过更新技术和引入保险产品联合治理网络安全也是应对手段之一。

  据了解,网络安全与隐私保障这类保险目前在亚太地区仅有新加坡、澳大利亚和中国香港等相对发达的国家和地区推广得相对较好,不过,随着互联网技术的发展,我国市场这类保险也将迎来发展契机。

  下文编自未央网

  6月8日,安联财险针对各种原因引起的数据丢失、网络被加插恶意软件、网络盗窃等风险事件推出网络安全险。保障范围包括营业中断损失、设备损坏费用、赎金等。安联财险企业及特殊风险部总监曾万里介绍,安联网络安全险包括一份综合性保单,保额最高可以达到5000万欧元,覆盖一系列的网络风险。

  苏黎世保险负责人在自有讨论环节接受北京商报记者采访时指出,目前在中国,这类保险仍处在培育市场的阶段,近半年多来已与多家有需求的企业以及保险经纪公司进行交流,让其了解这类产品所能提供的保障。不过即便在美国市场,这类产品也进行约五年的推广才得到市场的普遍认可,不过目前美国已经有理赔案例。特别是伴随着中国近两年电商市场的快速发展,相信会有更多的企业会需要这类产品。

  《网络责任保险:保险与信息安全的协同发展》

  随着云计算发展上升到国家战略性产业层面,云计算的安全保障问题也成为不可或缺的一环。国外市场,早在2011年美国就从国家战略层面提出了《云计算技术发展白皮书》,把云计算纳入国家发展战略。2015年2月,国务院发布了《关于促进云计算创新发展培育信息产业新业态的意见》,从政策上支持云计算技术;同时,国家支持把政府上云、把社会基础服务上云,比如将12306的铁路票务查询系统接上阿里云、将杭州政府信息系统接上阿里云。

  近年来我国监管部门也对信息安全加强管理,此前时常有银行等机构以及快递公司等泄露客户信息,去年国务院颁布的《征信业管理条例》已对此类行为进行约束,并对非法获取信息、采集禁止采集的个人信息进行处罚。如银行违法泄露客户信息最高将被罚50万元,直接责任人将面临最高10万元罚款。

  2017年以来,网络安全界似乎进入了“多事之秋”。3月,2100万Gmail和500万雅虎账户在黑市公开售卖;4月,黑客团体影子经纪人曝光NSA黑客工具;同月,安恒安全研究院检测到全球有超过9万台机器被利用曝光的黑客工具植入后门;5月,勒索病毒席卷全球,入侵150多个国家近30万台电脑;6月,一款名为“暗云Ⅲ”的木马程序在互联网上大量传播······一次次触目惊心的网络安全事件,让全球公民一度陷入前所未有的恐慌,也再次提醒大众,网络安全防范已迫在眉睫。

  业内人士认为,虽然云计算得到快速发展和普及,但用户仍然对云计算的安全性和可靠性表示出担忧。云计算保险产品的推出让云安全迈出了实质性的一步。云保险这一举措还将推动更多企业上云,云计算保险在未来将成为云服务商的标配。

  那么网络安全与隐私保障保险又将如何发挥作用?据介绍,如一家企业不慎泄露客户信息,可能面临监管部门的调查甚至是处罚,还可能面临客户的诉讼。如果该企业投保了此类保险,保险公司将按照当地的法律,为其提供监管调查及抗辩等法律方面的费用。值得一提的是,有些信息泄露事件不会立即产生损失,比如某网站存在漏洞导致客户银行卡相关信息泄露,可能一段时间内并未有盗刷等事件,但如果放任事件的发展,不排除扩大的可能。当这种情况发生时,保险公司会向投保人及时提供一些专业的指导措施,例如帮助消除泄露信息、提醒客户换卡并刊登一些广告等,尽早将潜在的风险消除,并承担相关法律、公关费用以及广告费用等。

  中国大陆近年来也发生多起电商、门户网站、互联网金融平台“泄密门”事件,既有邮箱账号、密码泄密,更有多起银行卡信息泄露事件,包括持卡人姓名、身份证号、持卡类别、卡号、CVV码等所有信息,均在地下产业链中进行明码标价,公开买卖。

  北京商报记者 崔启斌  许晨辉

  北京商报记者 刘伟

  这种情况下,消费者迫切希望并且愿意从那些他们值得信赖并对他们提供足够保护的公司获得所需要的服务。而对于各大企业而言,维护公司网络安全和用户隐私成为企业成功经营的一个关键因素。

  相关链接

  随着互联网+的发展,因为对信息安全不够重视,滋生出的各种重大安全问题也慢慢暴露,个人信息泄露问题就是其中之一,也是涉及面最广、影响最大的问题。当今全球范围内企业出现数据泄露事故的可能性和实际案件都在不断上升,每家公司都在大量存储企业经营数据、客户信息、雇员信息,自己或商业合作伙伴的商业机密,一旦发生数据泄露,损失将难以预估。

  数据库遭黑手引发连环损失

  网络责任保险,是传统保险中留下的缺口,普通责任险的保单不承保电子数据损失,被保险人或其员工的犯罪或故意行为,或索赔前发生的费用。财产险保单通常将承保范围限定为风险导致的有形财产损坏或用途损失以及特定地点的有形财产损失。而网络责任安全保险可以承保计算机因实际或被指称发生安全故障而未能阻止或减轻计算机攻击所造成的索赔等。

  美国某大型网络零售商因网络被病毒入侵,造成数据库破坏。

  – 国外视角 –

  保险公司对此安全事件将聘请三方调查机构介入,对数据资产进行恢复并提供了相关费用。由于病毒破坏使公司在中国的网购平台瘫痪了72小时,造成的税后损失大约为280万美元。同时也将支付额外费用4万美元,主要用于处理事件相关的取证会计流程及内部资源的重新分配。

  首先,国外对安全事件强制公开有成熟的法律保证,在国际范围内网络责任险并非新生事物且受众颇广,最为成熟且渗透率最高的是美国市场,美国50个州中有46个州颁布了在发生数据泄露事件时需强制通知客户,英国也在起草《欧盟数据保护规定EU
Data Protection
Regulation》,包括了数据泄露的强制通知。企业为了减少这类安全事件,一般会部署相应的安全机制,但再强大的系统也可能被攻破,一旦发生安全事件,企业就需要告知用户,采取相关的补救措施。

  在调查过程中发现,该安全事件还造成了三方损失,其客户的账户信息包括信用卡信息在破损前被盗取,估计有1100万条客户记录被盗取,已有客户遭受到实际损失。保险公司向该零售商提供250万美元的抗辩及一般法律费用,此外还有3万美元呼叫中心费用。

  这种情况下,对于企业自有损失包括:取证调查、危机公关、法律咨询、通知费用、系统宕机的业务损失;对于企业的客户,则面临重发信用卡、应对管理机构询问,数据泄露等损失。这么大的损失,在现实社会中可以通过保险补偿全部或部分损失,而同样在网络空间,也可以通过网络保险解决企业在信息安全方面遇到“不可抗力”的难题。

admin

网站地图xml地图