網路安全值多少錢？這可能會遠超你的想象

保險公司需要在災難性網路安全事件發生前計算出其最大保值。

在1992年，颶風安德魯給美國佛羅里達州南海岸造成了巨大的傷害：總共有數十人死亡，以及高達250億美元的財產損失。而事後的賠損又給美國保險業造成了重大的損失：由於當時主流保險條款對自然災害賠償的估值有著一些漏洞，許多保險公司不得不給出天價賠償，還有好幾家直接破產了。

而今日的保險業不得不再次面對一種價值未知的災難，這次的災難屬於人禍：網路安全。對於保險公司來說，許多1992年的教訓還可以用在網路安全上。但是在許多方面，網路安全是一種完全不同的問題。

大型保險公司，比如美國國際集團（AIG）和丘博保險集團（Chubb），自從1990年底就開始出售網路安全保險了。如今，全球大約有80家保險公司擁有網路安全保險產品，而絕大多數的產品只保數據泄露。不過，由於這幾年發生了多次嚴重黑客入侵事件，網路安全保險的市場得到了巨大的增長。普華永道預測，在2020年，全球網路安全保險的份額將從2015年的27.5億增長至75億。

但是，雖然保險公司開始賣出越來越多的網路安全保險，他們還未能完全了解「網路安全」這四個字背後的性質。這意味著，他們目前還無法設計出可以避免災難性賠償的條款。

Cyence是一家已經運行了3年的公司，其主要業務是為保險公司提供網路安全風險模型。 其CEO Arvind Parthasarathi 表示，人們開始把網路安全歸類於商業風險，而不再是一個IT問題了。這意味著，他們開始認識到這不是一個有著明確答案的問題，而是一種可以通過各種手段減少（但無法完全消滅）的風險。如今，公司高管們面對的問題就是「我可以承受多大的風險」。

而這也正是需要對網路安全保險進行標價的保險公司所面對的問題。現代的網路安全隱患十分複雜，也在正在迅速進化。所以，保險公司需要計算出一場影響巨大的的網路安全災難的最高保值是多少。因為，這正是由於他們在颶風安德魯之前沒有做到，從而導致事後保險業屍橫遍野的原因。

難處在於，由於一場可以媲美颶風安德魯的網路安全事件還暫未發生過，保險公司很難做出其模型。不過，去年10月，我們有幸看到這場事件一種可能的開始方式：黑客啟用了數百萬台被感染的攝像頭，數字視頻錄像機以及其他物聯網設備，發起了一場針對域名系統提供商Dyn的DDoS攻擊。這場攻擊的後果就是包括亞馬遜、Netflix以及Spotify等北美網民常用網站在數個小時之內無法連接上。

Dyn攻擊事件的後果還未被計算出來。但是，據Cyence預測，今年2月末亞馬遜雲服務S3雲存儲系統掉線4小時為全球500強企業造成了1.5億美元的損失（此次事件屬於亞馬遜員工操作失誤，並非黑客攻擊）。可以想象一下，如果亞馬遜雲服務遭遇大型黑客攻擊，其後果很有可能是數十億美元級別的。

在此之外，對民生基礎設施的網路攻擊也是一種可能。在去年12月份，由於黑客攻擊，烏克蘭首都基輔一大部分電網被迫斷電。網路安全研究人員表示，這夥人與在去年美國大選中呼風喚雨的黑客很有可能是同一夥俄羅斯政府黑客。

Lloyd』s of London近日對一個假設做出了分析：黑客攻擊導致美國東北部9300萬人停電。他們的結果顯示，該事件將會為保險公司帶來210億～710億美元的賠償。而這整整500億美元的範圍恰恰顯示出了計算這類事件具體估值的難度。

保險業難以估算網路安全風險的原因，與他們在20世紀90年代難以估算自然災害的原因十分相似：缺少數據和經驗。Risk Management Solutions公司的產品經理Tom Harvey表示，保險業花了15年才收集足夠的數據來設計出今日關於自然災害的風險模型。

他公司的主要業務就是為保險公司提供災害風險模型。他表示，雖然對網路安全的數據收集已經算是「迅速的」，但各公司收集的數據還是存在不一致的問題，從而增加了通過統計數據找出行業趨勢的難度。

當然，自然災害和網路安全災害的模型之間有著巨大的區別。比如，網路安全災害是由人類技術導致的，而不是大自然。而黑客的動機、戰術、技術以及目標都可以迅速改變，從而避開防禦手段。Cyence的Arvind Parthasarathi表示，對應網路安全的難度在於其需要理解一個「主動的對手」。他的公司會通過博弈論和行為經濟學來為黑客行為搭建模型。

加深對互聯網的理解對分析網路安全的風險也十分重要。BItSight的CTO及聯合創始人Stephen Boyer表示，保險公司需要一幅高價值數據存儲地點的「地圖」，包括這些數據主人採取了什麼手段來保護這些數據。Boyer的公司的主要業務就是創造這種互聯網數據存儲地圖，以及對那些數據主人的安全性進行打分。

Boyer表示，保險公司必須避免重蹈網路安全版的「颶風安德魯之錯」，也就是在颶風來臨之前為佛羅里達州海岸線上的所有人提供保險。具體來說，他們必須避免為大量依賴一個技術或服務商的公司們提供保險，比如使用亞馬遜雲服務的公司。他說道：「如果AWS（亞馬遜公司旗下雲計算服務平台）出事，所有人都會來索賠。