資通訊保險（Cyberinsurance）：是創造價值還是成本負擔

科技快速發展正推動許多行業發生巨大的變化，因此產生的大量資料被利用變成資訊，有意義的促進世界不斷的進步。資料現今被認為是21 世紀的財富創造機，因此，由資通訊事件造成資料損失的財務成本可能會令人吃驚。例如，非常張揚的對美國 Target 公司攻擊事件，使零售商和金融機構付出了天價3.48 億美元的成本。¹ 另外一個損失慘重的資通訊攻擊事件是對 Wyndham 連鎖飯店的攻擊，不僅遺失了超過61.9 萬客戶的信用卡資料，造成1,060 萬美元的損失，而且公司還遭到美國政府興訟，事由是造假商業作業因為有三種不同的場合都被駭了。² 還有一個例子是使用加密勒贖程式CryptoWall 的攻擊，在 2014 年它造成的損失達1,800 萬美元，這些損失則是了為還原(解密)個人資料檔所付的贖金。³

或許對資通訊安全的焦點從來沒有變得更加銳利，因為資通訊犯罪分子仍然透過黑暗網站(Dark Web)用更複雜的攻擊手法持續進行更多的犯罪。黑暗網站是由會隱藏身份的網站所組成，通常是經由會隱蔽使用者身份的加密網路（例如：洋葱路由器 Tor）來存取，因此造就了一個有利可圖、能交易竊取自合法來源資料的電 子商務黑市。雖然資通訊攻擊的短期衝擊可能是壓倒性的，但長期的影響卻可能相當嚴重。其中一些長期的影響包括：

• 營運持續 /供應鏈中斷 。
• 發現並 修復弱點 。
• 為遺失資料及紀錄管理做鑑識會計。
• 復原資料 。
• 通知那些受到侵害影響的對象所需的費用 。
• 支付資通訊敲詐的贖金 。
• 保護身份被竊取和監控信用 。
• 重新發行被入侵的卡片 。
• 法規和民事的制裁 。
• 股東對董事會和管理階層的訴訟 。
• 調查和審判期間的律師費用 。
• 競爭優勢和市場上的損失 。
• 對品牌的傷害 。
• 損失客戶、利潤和工作 。

造成這些一種或多種損害的機率以及其對組織的衝擊取決於一系列因素，包括但不限於：

• 攻擊的類型，例如：分散式拒絕服務（DDoS）相對於勒贖程式。
• 攻擊的範圍，例如：整個網路無法連線好些天相對於只被一個社交媒體帳戶接管幾個小時。
• 受攻擊網路的複雜度，例如：與許多第三方供應商高度互相連結相對於只衝擊到電訊部分 (因為IT 託管在一個安全的雲端) 。
• 攻擊的時間，例如：在敏感的合併或收購談判期間相對於不在尖峰時段。
• 受影響的業務領域，例如：關鍵服務/產品當機導致核心業務活動停頓，相對於只是不重要的服務/產品無法使用。
• 受到影響的組織之準備能力，例如：沒有復原政策和程序的組織相對於具備成熟事故反應程序的組織。

在2016年的一個調查發現，美國66％，英國 75％，德國57％的受訪者回覆說他們有可能會跟被駭的組織停止業務往來。⁴ 雖然較大的公司也許具備更能承受資通訊風暴及其後果的能耐，根據Experian的報告，60％的小企業在遭受攻擊後六個月內關門，⁵ 造成資通訊犯罪有相等的機會但卻有不對等的後果。因此，組織會好好地利用將風險避免、降低、接受、或轉移的管理策略。換句話說，乾脆以人工執行所有商業活動來取代使用任何形式的科技可能有助於避開資通訊風險。然而，這種策略在現今很容易造成競爭劣勢，對大多數企業而言，這種策略不太可能成為一個可能的選項。使用防火牆和入侵防禦系統保 護網路環域、定時執行弱點修補、以及進行組態基線管理是一些降低(或減少)資通訊風險的方法。要有健全的監控方案，但是因為經常會有其他的優先事項干擾，所以最好在正式的政策裏制定必須不定期審查稽核紀錄來表明所承認的風險，也就是管理階層所允諾可接受的風險胃納。看起來資料洩露與駭客是不可避免，且其危害衝擊顯然無法躲避，企業正開始考慮把資通訊保險作為它風險轉移策略的一個元件。換句話說，組織以保險合約來約定保險公司，當組織發生被資通訊攻擊及/或被突破時來承接組織部分或全部的風險。

保單種類

傳統的產物責任險保單只涵蓋財產損失，它不足以應對資通訊方面的風險，這是因為資料是無形資產。為了解決此欠缺，大約有50家全球性的保險公司提供有資通訊風險的保項，其中在美國有35家。⁶ 保險業者針對以下四種保障提供有一些組合可以搭配（圖一）：⁷

1. 錯誤與疏忽─此項涵蓋進行服務時由於錯誤所引起的索賠。
2. 多媒體責任─多媒體責任涵蓋網站/媒體污染、智慧財產權/版權/商標的侵權、侮辱和誹謗，這裡的涵蓋範圍也可以延伸到離線的內容。
3. 網路安全與勒贖責任─網路安全責任涵蓋跟下列有關的費用：網路防衛病毒的傳輸失敗、商業機密或使用專利的損失、以及資料洩露。它包括復原資料、主動通知、公共關係和風險管理、營運中斷、以及危機管理的成本。同樣的，勒贖責任涵蓋因為被勒索所造成的損失，例如勒贖軟體或分散式拒絕服務（DDoS）所要求的付款才停止攻擊。
4. 隱私管理─隱私問題包括非法洩漏個人識別資訊（PII）、個人健康和機密資訊。它包括的成本有調查費、通知費、信用監管費、規費（例如美國聯邦貿易委員會（FTC ）和州檢察長）、以及有關的法律費用。隱私問題也可以包括實體記錄損失，例如不當的處置文件、人為錯誤（例：遺失筆記型電腦、把機敏資訊寄去錯誤的電子郵件地址、有硬碟的影印機存有未清除的客戶記錄）、或非法收集資訊。

網路安全和隱私保護獨特之處在於第一方的成本及第三方的責任都涵蓋。第一方保障適用於應付安全失誤或隱私違規的直接成本。第三方保障適用於當公司被訴應負的賠償或監管機關要求的資訊。

從另一面看，資通訊保險並不涵蓋問題發生前的知識、未定的訴訟、聲譽受損、未來營收的損失、改進內部科技系統的成本、智慧產權價值的損失、體傷或財產損失、以及惡意資通訊攻擊所產生的效果。然而，一些保險公司已經開始對上述規則做了例外，特別是對後面那兩個限制。舉例來說，雖然Verizon的報告指出由民族/國家所贊助的攻擊在2012年至2013年期間變成了三倍，⁸ 由於很難將攻擊歸因於單一民族/國家對手，這類攻擊的源頭仍然無法發掘。隨著威脅不斷的演進，提供資通訊保險責任的經紀人和保險人需要不斷的客製保單的除外責任。

省墨列印 (The Fine Print)

雖然保單有很多種類，但是每個保險公司設計的都不同。沒有經過詳細的實地查核，被保險人可能會拿到一個保單是不涵蓋現今世界大多數威脅的、對有涵蓋的卻加上了不合理的限制、還有過度保障了不太可能發生的情況。特別是，只是單純的疏於及時通知保險公司會是被拒絕理賠的常見原因。例如，保單可能要求欲提報損害必須在保單到期之前或之內的60天。然而，2015年 Ponemon研究所的一個研究發現，資通訊攻擊事件平均是8個月還沒被發覺，⁹ 這讓資料傳播者有足夠的時間去刪除稽核記錄以阻礙鑑識分析並抹除法律證據。其後果是，一家公司直到幾個月後或是被其它第三方（例如：它的信用卡處理者或是執法部門）告知才知道受害，那將會錯過申報理賠的期限。

同樣的，某些保單可能會排斥升級及改良，即使一個公司被確定有資格獲得補償。以復原為目標的補償金是不包含將系統恢復到比被攻擊前更佳的狀態，這只會使網路回到與當初暴露在類似攻擊類型的相同困境，具體上取決於攻擊的性質。以下案例研究突顯了現實世界、資通訊攻擊的複雜性質、以及它們對許多公司所面臨資通訊責任保險補償方面的衝擊。

Cottage Health System是一家提供保健服務的公司，因為它沒有持續再評估資訊安全和隱私威脅的曝露情況及遵循最低的安全作業要求(例如：對一個網際網路上任何人都可以完全存取系統上的病歷資料加密)，因此2013年的一次損害事故之資通訊保險理賠遭到拒絕。¹⁰

Ubiquiti網路公司在2015年遭受到一個有名的執行長騙局。資通訊犯罪分子欺騙（或冒充）執行長的電子郵件帳戶，然後寄信給在香港子公司的一名員工，指示他將3900萬美元轉匯到駭客所控制的海外帳戶。由於這款項是員工“自願” 匯出，“公司可能無法成功獲得任何保險賠償” 這是該公司在所發布的聲明中作的說明。¹¹

BTC 媒體公司執行長的電子郵件受到入侵，而此侵害行為還包括有社交工程元件（魚叉式網路釣魚）。這個受到入侵的執行長帳號向潛在收購標的公司的財務長發送了一封電子郵件，請他打開附件檔來審閱關於收購提案的修改內容，就這樣財務長的身份鑑別憑證也被駭客知道了。身份被入侵的財務長帳號隨後指示他自己公司的執行長，將價值180萬美元的5,000比特幣轉移到一個由駭客所控制持有的詐欺賬戶，以表示有意進行這筆收購交易。由於欺詐的源頭是BTC 媒體公司，收購標的公司的保險公司拒絕理賠，因為該保單只保障來自直接詐欺行為的損失。¹² 保險公司對“直接”的定義是沒有任何介入動作或轉變因素。

挑戰

上述的案例研究提出下面這個問題：要如何 評估這些五花八門的保單，並且選擇該有的保障來確保在被攻擊後能夠獲得及時、足夠的理賠？雖然企業可以跟保險公司討論他們的資通訊保險需求，但是雙方都有重要的議題必須各自克服。對於發起者來說，保險經紀人的初步評估流程可能是依賴一份通用問卷來衡量一家公司風險管理策略裏如何崁入資通訊安全，據此以設定保費。儘管如此，保險公司之間並沒有正規的基準，於是問卷較不成熟的保險公司可能會冒更多的風險裂口。

從潛在保險客戶的角度看，對問卷題目的解讀可能會有很大的不同，尤其是如果沒有技術人員參與在公司的內部審閱、回饋過程中。有效的措施需要多層次的安全，如果有一層或多層被忽視或被誤解，可能導致會有不必要的過高保費及 /或過多的保單限制。舉例來說，強力的遵循方案不等同於有效的資訊安全方案，反之亦然。還有，採用任一方案不見得會相對降低風險。隨著資通訊安全不斷動態的演進，如果管理階層、律師、或經紀人缺乏評估提案裏問卷題目與保障措施所需的必要背景，那麼他們可能會錯過機會來協商更有利的保單語言、最大化對責任的保障。另一方面，他們拿到的保障組合可能無法為其組織安全狀態的實際情形提供一個完整的保護措施。此外，在發生事故之前，保險公司可能不會審查要保書上詳述的已有控制措施；此後，當發現保險客戶提出的資訊誇大了實際的控制措施，在事故之後它可以使整個保單沒有效用。

同樣的情形也會發生，如果保險人、經紀人與核保員只專注在商業和金融風險而缺乏能正確評估科技保護及風險的必要技能。需要專門的去了解資訊科技，而資訊科技(IT)安全則需要更聚焦的專業，因為資通訊方面的衝擊遠遠超過IT部門現有的專業。資通訊安全的最佳實務不斷演進強調了一個概念：今天有用的解決方案到了明天可能是過時的。在威脅不斷演進的形勢下，對公司安全狀態做時間點的評估只會增加判定恰當的保障範圍與成本的複雜性。IT設備互聯的特性是一個企業與越多的網絡相互作業，則受到的風險 就越大。為能清楚了解實質的風險，每個第三方網路也都必須做評估，這對於保險公司來說不是一件容易的事。而從採用愈來愈多的端點、社交媒體、和物聯網而來的新興威脅也不容忽視。例如，可能很難下結論將一身份盜用案件連結到一個單一攻擊事件，因為入侵可能是由遺失話機、登錄到受感染的網站、資料在及時傳輸時被竊、或物聯網設備連接到公共Wi-Fi所引起。保險公司必須克服這知識上的大差距，因為他們是要設法去弄清楚對著被保險組織資通訊威脅的種類、頻率、和嚴重程度。

在早期這個有前景的行業提出了值得考慮的附加挑戰。例如，在政府施壓之下釋出遭破壞的細節，而不需要有豁免擔保以免刺激分享攻擊分析資料的公司。同樣地，市場上對破壞事故所圍繞的負面認知，壓抑了公司去談論他們資通訊事故，除非是他們絕對必須做的。這種謬論限制了釋放歷史資料和趨勢到市場上的流動，而那卻是保險公司可以去做行業內及跨行業比較分析的依據。從法律的角度看，合約中的資通訊保險語言仍然相對新奇而且沒有經過徹底的論辯。所以，這會迫使法院因為缺少健全的判例可參考而不想聽到資通訊案件，從而導致這類的爭議大多要透過仲裁來處理。

投資報酬

資通訊保險市場相對上是比較新、不可預測、以及缺乏趨勢資料和全方位包裝的保障。更多錯綜複雜的技術會導致含糊或複雜的合約語言，並加劇對資通訊保險真正價值的疑慮。資通 訊保險是否能明確的展示它可以在攻擊發生和之後增加安全性、降低責任、並且是一個可靠的救濟來源？在2015年KPMG會計師事務所的一項調查或許最能抓到市場上的情況，就是發覺回覆的問卷裏有74％的企業沒有投保任何一種資通訊責任保險。而在那些有投保的企業裏，只有48％認為它們的保險保障可以涵蓋遭受破壞時的實際成本。¹³ 而在路透社的另一份報告中，對於那些被駭客入侵的少數企業來說，保費在續期時則增為三倍。¹⁴ 然而，股東會期望董事會和管理階層做到他們被付託要保護公司利益的要求。最重要的是，不只法規開始要求資通訊保險，而且在合併及收購交易時也越來越多地將資通訊保險視為限定責任的手段。

簡單來說，破壞行為可能發生在基礎設施及資訊；前者是無法迴避的，而後者是可以透過有效的策略來預防，不一定需要採購昂貴的科技設備。不要感到驚訝，公司和董事會總是要到事故發生遭受破壞或面臨民事訴訟時才被迫願意花錢，其實主動防範未然的措施才是實際有助於減輕整體負擔的。例如：一個優良的安全意識計劃、一個有效果的營運持續計劃、和一個事故反應計劃可以大大的加強企業對攻擊事故的準備與反應，並且有助於避免遭受破壞。

資通訊保險公司可能會要求實行基本的資通訊安全措施，以避免遺漏保障。因此，簡單的資通訊保險申請程序可以鼓勵企業去鑑別最佳的做法和工具、進行預先審查、並改善有關利害關係人之間的溝通，如法務、IT、財務、和風險管理團隊，否則，他們可能不會考慮想這麼做。其餘 的好處可能包括有更高的機會擊退競爭敵手及更低的保費，這項承諾可以鼓勵組織超越最低限度認真看待自己的防禦機制。在一個跨越IT、醫療保健、教育、零售、和金融服務行業33家公司的樣本中，資通訊保費成本平均佔總收入的1.2％。¹⁵ 醫療保健公司的保費成本則平均佔總收入的 2.8％，主要是因為風險較高以及越來越多涉及病患資料的違規行為。一般來說，資訊安全長們（CISOs）應該能夠在資通訊安全議題上展示可以計量的淨利益，如果從降低事故發生率所節省成本加上資通訊保險理賠給付金，能遠遠大於保護措施加上採取對策的成本。

考慮了各方面，隨著這個新興行業持續成熟，資通訊保險仍然會被重視，如果它能夠展現足夠的價值來保證廣泛的採用可以作為整體資通訊防禦戰略的必要成分。

Endnotes

¹ Chiarodo, J.; P., Beshara; “What Cyber Insurance Can Do for Contractors,” FCW, 7 July 2015, https://fcw.com/articles/2015/06/30/comment_chiarodo_beshara.aspx
² Northrop, S.; “Is Your Business Ready for FTC Oversight of Data Security?,” IAPP, 21 September 2015, https://iapp.org/news/a/is-your-business-ready-for-ftc-oversight-of-data-security
³ Federal Bureau of Investigation, “Criminals Continue to Defraud and Extort Funds From Victims Using CryptoWall Ransomware Schemes,” USA, www.ic3.gov, 23 June 2015, www.ic3.gov/media/2015/150623.aspx
⁴ Mann, B.; “Centrify Consumer Trust Survey: The Corporate Cost of Compromised Credentials,” Centrify, 8 June 2016, http://blog.centrify.com/corporate-cost-of-compromised-credentials/
⁵ National Cyber Security Alliance, “3 Reasons Hackers Love Your Small Business Infographic,” StaySafeOnline.org, 2015, http://staysafeonline.org/ncsam/resources/3-reasons-hackers-love-your-small-business-infographic
⁶ Kirkpatrick, K.; “Cyber Policies on the Rise,” Communications of the ACM, vol. 58, no. 10, p. 21-23, http://cacm.acm.org/magazines/2015/10/192376-cyber-policies-on-the-rise/fulltext
⁷ Schutzer, D.; “An Assessment of Cyber Insurance,” CTO Corner, February 2015, http://fsroundtable.org/cto-corner-assessment-cyber-insurance/
⁸ Ibid.
⁹ Ponemon Institute Research Report, 2015 Cost of Data Breach Study: Global Analysis, May 2015, https://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF
¹⁰ Greenwald, J.; “Insurer Cites Cyber Policy Exclusion to Dispute Data Breach Settlement,” Business Insurance, 15 May 2015, www.businessinsurance.com/article/20150515/NEWS06/150519893
¹¹ Hacker, R.; “Fraudsters Duped This Company Into Handing Over $40 Million,” Fortune, 10 August 2015, http://fortune.com/2015/08/10/ubiquiti-networks-email-scam-40-million/
¹² Dotson, K.; “BitPay Hacked for $1.8 Million in Bitcoin During December 2014,” SiliconAngle, 17 September 2015, http://siliconangle.com/blog/2015/09/17/bitpay-hacked-for-1-8-million-in-bitcoin-during-december-2014/
¹³ Reeve, T.; “Cyber Insurance Not Trusted by Business, KPMG Claims,” SC Magazine UK, 1 May 2015, www.scmagazineuk.com/cyber-insurance-not-trusted-by-business-kpmgclaims/article/412535/
¹⁴ Finkle, J.; “Cyber Insurance Premiums Rocket After High-Profile Attacks,” Reuters, 12 October 2015, www.reuters.com/article/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012
¹⁵ Marciano, C.; “How Much Does Cyber/Data Breach Insurance Cost?,” Data Breach Insurance, 1 June 2016, https://databreachinsurancequote.com/cyber-insurance/cyber-insurance-data-breach-insurance-premiums/

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2016 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明：
ISACA臺灣分會在ISACA總會的授權之下，摘錄ISACA Journal 2016,Volume 5中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明：
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有，非經ISACA書面授權，不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明：
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織，其會員則有權獲得每年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見，其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左，也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學，則允許教師免費複印單篇文章。若為其他用途之複製，重印或再版，則必須獲得ISACA的書面許可。如有需要，欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心，地址：27 Congress St., Salem, MA 01970) 付費，每篇文章收取2.50元美金固定費用，每頁收取0.25 美金。欲複印文章者則需支付CCC上述費用，並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外，其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。