Search Results: 網絡安全保險 (7)

    勒索軟件集團愈來愈貪得無厭,部分企業管理者為求自保,都選擇購買網絡安全保險 (cyber insurance) 減少損失。不過有安全專家就呼籲,企業即使買了保險都要低調,因為一旦讓勒索軟件集團得悉,他們就會將贖金金額推高,務求 claim 盡受害者的保險費。只要有買過醫療保險,應該好易理解…… 勒索軟件 (ransomware) 集團的賺錢手法,主要是透過加密受害企業的電腦設備,或以公開對方的機密資料作為勒索贖金的籌碼,以往勒索金額相對較少,但在近兩、三年卻大幅飆升,有調查顯示即使是中小企業,被要求的贖金金額也由數十萬美元起跳,如以中小企的每年盈利計算,基本上無法支付贖金,令人無法理解犯案集團何以獅子開大口。 最近謎底終於被解開,Fox-IT 網絡安全研究員早前為了分析勒索軟件集團的營運模式,一共分析了 700 宗被攻擊企業與犯案集團之間的談判內容,結果發現,如果受害企業有購買安全保險而又讓犯案集團知道,對方在衡量贖金時,便會以相關保險的最高賠款去設定贖金,而且更會在勒索訊息上表明由於贖金只是由保險公司支付,因此減一蚊也不會考慮。 有見及此,網絡安全專家認為企業必須將投保事情保密,盡量不要公開公司要購買網絡安全保險,即使不幸中招,仍有可能與勒索軟件集團商討一個較合理的贖款金額。另外,由於現時勒索軟件集團在入侵公司內部網絡後,會傾向先暗中搜集公司的重要資料,所以如企業將投保資料儲存在內部網絡或電郵信箱中,便有可能被對方發現,因此亦應該將相關資料儲存在隔離的地方,發送相關電郵亦最好使用其他電郵地址,總之跟買中六合彩一樣,盡量要低調。 資料來源:https://zd.net/3oh4dSw

    上次邀請了網絡安全保險專家盧子頴,講解這類保險的保障範圍,以及哪一類企業應該盡快考慮投保。不過,原來並非想買就可以買到,因為保險公司會先評估投保人有沒有做足安全措施,除了影響投保成功投保率,更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出,雖然遇到的個案不多,但間中也會有投保人以為只要有錢就可投保,但其實保險公司也需要核保,評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有,試問怎會有保險公司受保?」他指出保險公司首先會檢查企業現有的網絡安全措施,例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等,「如果企業完全沒有做,保險公司會建議對方先做好基本的網絡安全措施,之後才考慮投保,因為即使轉投其他保險公司,相信也不會成功。」盧子頴補充說,其實投保不能賺錢,只能減少損失,所以如果站在預防被攻擊的立場,企業都應先做好防禦工作。 除了檢查安全措施,盧子頴表示保險公司還會考慮企業的業務性質,如屬於高風險行業,例如涉及加密貨幣交易,又或處理的個人私隱數據太多,就並非所有保險公司就會受保。另外,一些規模較細的保險公司,如投保企業每年的生意額太高,也可能因為承受不到風險而無法接單,這些因素就與投保企業無關。 上述的考慮因素,不單只會左右投保成功率,同時也會影響保費,「因為全部同風險有關,簡單來說,風險愈高的生意,保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣,保費高低還要因應保額、墊底費及保障內容計算,如前文提及的增值保障如勒索贖金、外判商失誤等,便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家,安全度理應較高,是否可成為減保費的因素?他說理論上是,但同時間代表企業的業務複雜性較高,而且亦可能有較多監管要求,所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格,但視乎選購的保險計劃,保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多,如認為業務受到攻擊的風險頗高,應邀請保險公司進行評估,之後再考慮是否購買也不遲。

    網絡安全事故頻頻發生,香港企業當然不可能獨善其身,特別是雲技術興起,重要數據或敏感資料未必會只儲存在內部伺服器,被攻擊的層面自然大增。為了減低風險,現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過,面對層出不窮的攻擊手法及難以防備的人為疏忽,企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說,這類保險概念在香港屬起步階段,但在歐洲地區卻歷史悠久,遠在上世紀七十年代已有相關保險,因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟,不單只保障企業,個人一樣受保,例如經常拿著電腦到不同地方工作的自由工作者,保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險,主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇,但網絡安全保險就相對陌生。盧子頴解析,網絡安全保障範疇不難理解,當發生黑客入侵或資料外洩,善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障,主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後,企業必須聘請專家去證明這是否一宗網絡安全事故,進行調查及鑑證,分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報,便有可能需向法律顧問諮詢意。除此之外,為免外洩的客戶資料被黑客用作申請信用卡或借貸,企業或有需要採用信貸監控服務,而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業,這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額,例如過往的交易紀錄等,但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞,又或受到勒索軟件攻擊,待專家取證後,企業便可以修復系統及復原數據,涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱,導致客戶在名譽或金錢上出現損失,對方便有可能入禀追討賠償。 除了上述四項保障,盧子頴說因應市場需求,部分保險公司還會提供一些額外的保障,例如贖金索償,當企業遭受勒索軟件攻擊,有需要繳付贖金以取回解鎖方法,這些贖金便會獲得賠償。「另外,近年因外判商失誤造成損失的個案大增,所以亦有保險公司提供這類保障,例如一些業務涉及電子交易的企業,會委托外判商提供及管理網上交易平台,如證實導致資料外洩的失誤是出在對方身上,投保人便可獲得保障,而保險公司則保留向外判商追討損失的權利。」 事實上,網絡安全保險的保障範圍可以很全面,不過,盧子頴強調與其他保險產品一樣,投保的概念並非為了賺錢,而是減少損失。不過,是否所有企業也需要投保?他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information(PII),而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料?如需管有這些敏感資料,受黑客攻擊的風險便會增加,企業管理者應認真考慮投保,特別是全球各地都開始為保障個人私隱立法,歐盟通過的 GDPR…

    網絡安全對國家安全至關重要,加強各地交流合作,更是實現網絡安全的關鍵一步。中國香港網絡安全協會(下稱 HKCNSA)日前獲邀出席「CCS2024 成都網絡安全系列活動」,與成都業界人士分享香港網絡安全市場生態、發展的機遇及困難,讓兩地發揮協同效應,互補優勢,共建網絡安全新格局。 成都大會特設活動 與港澳專家探討發展 「2024 國家網絡安全宣傳周」於 9 月 9 日至 15 日在全國舉行,主題為「網絡安全為人民,網絡安全靠人民」。成都作為中國西南地區的經濟、科技、人才中心及國家網絡安全產業基地,在網絡安全領域具有獨特優勢,並於當地舉行「CCS2024 成都網絡安全系列活動」,獲多個機構鼎力支持,包括百度、賽博英杰等高層參與開幕禮演講。 為促進成都與香港、澳門之間的交流,大會特設「港澳蓉網絡安全技術交流活動」,由 HKCNSA 擔任活動的協辦單位,邀請來自成都、香港及澳門的業界專家進行 5 場嘉賓演講,包括無糖信息副總經理朱鵬、澳門資訊科技協會會長徐德明、澳門博維智慧科技有限公司執行董事吳鴻祺,而香港的演講嘉賓代表,則由 HKCNSA 創會主席葉青陽(David)及副會長張偉豪(Michael)擔任。…

    專注身份安全領域的 CyberArk 早前公布,被 Gartner® Magic Quadrant™ 存取管理(Access Management)評為領導者,是繼公司早前在 Gartner Magic Quadrant 特權存取管理(PAM)中的領導者之後,成為唯一一間在兩份報告中均被認可為領導者的公司。 今年 Gartner Magic Quadrant 特權存取管理中,CyberArk 連續第四次在執行力和願景完整性方面均領先群倫。而 CyberArk 的身份安全產品還持續得到業界的廣泛認可。公司最近被…

    勒索軟件集團過去兩年間肆虐,各行各業都有受害者出現,有調查顯示,86% 網絡安全管理者,已將勒索軟件攻擊的保護成本列為優先考慮項目,其中主要包括相關的網絡安全保險費用。現時網絡安全保險並非話買就買,如未能提供企業安全狀況指標,對方亦未必受理。究竟企業投保有何難度? 針對企業的網絡攻擊有很多,其中管理者最怕碰到的,便是勒索軟件攻擊,因為一旦成為受害者,除了要按情況決定是否要繳付贖金,善後亦涉及不少費用,例如因客戶資料外洩引致的索償、修復系統、因業務中斷導致未能按時完成訂單的賠償等等。 網絡安全保險的出現,便是為讓企業可買個保障,盡量減少網絡攻擊的損失。根據 SonicWall 及 Sophos 的安全報告顯示,2021 年的勒索軟件攻擊,較上一年度大增 105%,平均贖金雖然只約 17 萬美元,但平均善後費卻高達 185 萬美元,因此現時企業管理者大多傾向投保。 不過可能由於索償過多,美國及英國的保險承包商亦在過去一季,分別調高了 130% 及 92% 投保費用,部分承保商更會拒絕未能提供足夠安全指標的投保企業避險。 調查公司…

    再講多次,對付勒索軟件,除咗要安裝防毒軟件,做好 endpoint protection,備份真係好重要!一旦有事,都唔需要下下俾贖金! 近呢一兩年,美國超過 40 個州縣嘅政府部分先後成為勒索軟件(Ransomware)嘅苦主,德州更佔咗大多數。唔好以為多中住嘅地方損失會最慘重,好似佛羅里達州嘅 Lake City,雖然只得 1.2 萬人口,但由於系統無備份,為咗解鎖攞返啲資料,唯有將 46 萬美元贖款轉入黑客戶口,認真無奈。 最新受害者係 Massachusetts 州嘅 New Bedford 市政府,佢哋喺 7 月…