聊聊網絡風險與網絡安全保險

作者：陳勇（山蛟龍）

最近，頭腦里正在蘊釀寫一篇有關網絡安全及數據泄露相關的文章。在收集相關信息的過程中，10月4日，媒體報導了一家餐飲巨頭加拿大餐飲連鎖品牌Recipe Unlimited被黑客盜取數據並勒索贖金的消息。這則消息直接成為了我寫這篇文章的引子。

一、網絡安全形勢現狀

隨着互聯網技術的發展和運用的普及，相應地網絡攻擊、數據泄露、網絡犯罪活動也越來越多，危害也越來越嚴重。在過去5年時間裡，網絡風險和威脅迅速發展，比較重大的能夠引起公眾注意的就有：Facebook數據泄露與美國大選、Equifax 公司145.5mils客戶信息被盜、Bell Canada 10萬加拿大客戶信息泄露、某銀行客戶信息泄露、台積電晶圓生產線感染病毒等。要知道，這樣的大公司，網絡安全保護工作都是做得非常好的，基本上都有專門的網絡數據管理部門或信息安全部門，居然都能夠受到黑客的攻擊或病毒的感染，可想而知，許多中小生意業主的網絡及數據安全完全沒有任何防護，說實在，不被攻擊都難啊！在前兩年的WannaCry病毒擴散期間，許多中小企業的電腦系統中彈而癱瘓，損失慘重。

大家看看網絡勒索的增長量

網絡風險的另一個現象是有組織的、有資金支持的網絡攻擊日益增加，甚至有的網絡攻擊屬於政府在背後充當資金和組織的大佬，以獲取關鍵技術、數據或資金等。

第三是高度有經驗的、有技術支持的和複雜的攻擊變得普遍。這跟第二個現象是重迭的，有組織和資金支持的攻擊，一般都能找到技術水平高的、有經驗的黑客。由於網絡攻擊的低成本和高“收益”或高破壞性，使得業餘的、專業的、有組織的黑客紛擁進入這個領域，為了各自的目的製造出越來越多的網絡風險和攻擊案件。

二、網絡攻擊的目的及主要目標

         要談這個問題，我們必須明白參與網絡攻擊的主體都有哪些人或組織。

        總體來看，捲入該行為的主體基本上跑不出：內部威脅、業餘黑客、專業黑客、有組織犯罪、恐怖組織、國家或政府。不同主體的行為決定着其目的的區別，包括：勒索/贖金、控制處理器電源、癱瘓系統、商業機密、知識產權、關鍵業務信息、個人信息記錄。不管攻擊主體的目標是什麼，但對於受害方來說，這一切都是有關“錢”的，即要解決或善後攻擊事件，都必須要付出不菲的代價。

         至於網絡攻擊的主要目標，可能大家都會認為是上面所列舉的一些大的引起媒體注意的案件的主角，不得不說，此類目標肯定也是網絡攻擊的目標，不過，更大量存在的網絡攻擊是針對中小企業，原因是中小企業大多在網絡安全方面的投資有限而造成其網絡安全防範較為薄弱，加上中小企業對網絡攻擊的應對措施沒有準備，大多最終選擇支付贖金解決問題，這樣就更加引誘黑客對中小企業進行攻擊以獲利。

三、網絡攻擊的主要手段

        目前網絡攻擊的主要方式有：有針對性的攻擊、大規模的攻擊、碰運氣、內部員工行為。

       有針對性的攻擊的主要手段包括，釣魚郵件、電話、面對面、安裝驅動器、社交媒體挖掘。大家看了這些所謂的手段可能會比較迷惑，比如面對面、安裝驅動器等。是的，面對面竊取相關關鍵信息也能成為高科技時代網絡攻擊的一種手段，這個在現實當中是有案例的。某國政府為了獲取台灣的一項高科技產品的製造工藝，採用獵頭挖角的方式找台灣某廠商里的關鍵員工，以咖啡店交談面試以及回答關鍵製造流程、關鍵業務的處理手法等方式，把台灣的關鍵技術給竊取了，人不需要招但該得到的都得到了，所付的獵頭成本基本上都被獵頭賺走了。安裝驅動器主要是通過木馬病毒進行。至於社交媒體的攻擊手段，這可能就是一個大數據和數據定位技術了。社交媒體基本上能夠了解到某個具體的人的一切習性，網絡可以根據具體的人的具體習性來制定具體的有針對性的攻擊手段。對於普通沒有任何利用價值的人倒無需擔心被攻擊，無非就是推送一些你的愛好的新聞、音樂、電影、商品等給你而已，但對於有利用價值的人，包括政府公務人士、企業領導人、企業里的關鍵技術人員、社會關係裡的重要人士，也許你根本不知道別人是如何看待你的價值的，有句俗話說，你的垃圾也許是別人的寶貝，在社交媒體的網絡攻擊上，也有這種情況。你所認為的無關緊要的信息，有可能對有心人都是寶貝，有可能對你造成極大的影響和傷害。

         大規模的攻擊比較容易理解，就是利用大量垃圾郵件，比如利用機器人發送大規模的垃圾郵件對某個郵件系統或是網站進行攻擊，最終使得網站或郵件系統因為“堵車”而癱瘓，造成商業利益的損失或是商業聲譽的損害。大規模攻擊還包括使用殭屍網絡，用被感染的程序接收創建者指令，向互聯網主機發送大量不請自來的郵件或是網絡攻擊信息。

        所謂的碰運氣方式一般都是業餘黑客或無業技術人員為了賺一些糊口的小錢而進行的小打小鬧的動作，比如剛好遇到某個小企業的安全防範特別差，很容易進入系統，把關鍵系統或信息加密而造成無法運行和使用，企業為了生產經營的繼續進行，不得不支付贖金的案例。由於有了加密貨幣的存在，這種網絡勒索給警察破案帶來極大的困難。碰運氣的網絡攻擊有時也是利用企業的密碼政策不健全或是沒有經常備份數據或是沒有定期升級安全補丁等而給黑客帶來機會。

        內部員工行為包括內部倏忽和惡意行為、員工安全意識不足、客戶私人信息訪問的權限設置、特權用戶對程序控件的訪問或更改敏感信息、員工的不法行為等。

四、網絡攻擊的“利益”

        說出來可能會嚇大家一跳，據統計2016年全球光勒索軟件一項，勒索金額就超過10億美元。

       由IBM所進行的研究表明，有70%的企業在遇到網絡攻擊之後最終選擇支付贖金來恢復它們的系統或文件。有一半的企業支付金額超過1萬美元，有20%的企業支付金額超過4萬美元。

       據研究分析，全球在數據泄露上的平均成本是362萬美元（這種一般都是大型企業）。2017年每個受損客戶的平均成本是141美元，包括通知成本、監管機構的罰款成本、系統維護成本以及後續面臨的法律訴訟、時間、聲譽等成本。

       想想，網絡攻擊和網絡風險有可能帶給你的傷害，你做好了準備了嗎？

       應該說，技術越進步，網絡攻擊越難以防範。面臨着這麼嚴峻的局面，公司企業應該怎麼做呢？

五、網絡風險應對措施

        比較通常的想法和做法包括：避免風險、忽略風險、降低風險、轉移風險。

        應該說這種網絡攻擊的風險是避無可避的，許多攻擊不是你想避就避得開的。若這種風險真可以避開的話，網絡攻擊案件不會這麼大幅度的增長。正因為難以躲避而且利益豐厚，才使得這種東西越來越多。所以躲避不是一個好的選擇。

         有人說，我避不開，我乾脆忽略它。你說網絡攻擊這麼多這麼嚴重，而我卻從來沒遇見過，杞人憂天沒有必要，該幹嘛幹嘛。我比較能夠理解這部分朋友的想法，就象購買人壽保險一樣，經常有人說，不惓保險我不是也好好地活了幾十年了嗎？這種所謂的風險幾乎可以忽略不計。當然，持有這種觀點的朋友還是可以繼續持有，有句俗話說：不到黃河心不死，不見棺材不落淚。只是現實是一旦見到了棺材，連落淚都來不及了。反正，我不得不說，你的想法不是個好主意。

         比較理性的做法是後面兩種，一是降低風險，另一是轉移風險。

         不過，降低風險是必須投入的，是有成本的，而且風險到底可以降低到何種程度，沒有經過實踐是無法得知的。

         降低風險的手段有：掃描/評估網絡是否存在漏洞、定期補丁、定期備份系統/數據、定期測試備份、制定安全政策和程序、培訓員工等，可以說每一項降低風險的措施企業都得付出時間和資金成本，可以說，不容易但也不得不做。

        在降低風險的同時，若能夠有效地轉移風險到第三方，這樣對企業來說其負擔就會減輕不少。社會化的轉移風險的手段，最好的就是購買保險。

         網絡攻擊保險能夠在多大程度上幫助企業呢？首先我們知道針對中小企業的網絡攻擊主要包括數據泄露、數據或關鍵技術信息的被盜、系統癱瘓等，這些手段所能帶給企業的主要損失是通知受損客戶的通知成本、監管機構的行政或罰款成本、系統或數據的恢復成本、企業聲譽或客戶丟失成本、法律訴訟成本或給客戶造成損失的責任成本等。若企業在遇到攻擊時，能夠在財務上把這些成本給避免掉，企業生存的壓力就會少很多，而若沒有保險來轉移風險，很多中小企業在遇到一次網絡攻擊就基本上奄奄一息難以生存，有的甚至直接破產倒閉。

         多倫多有一家建築設計公司，員工不多，只有六人，但設計收入還不錯，一年有一百萬以上的營業額。在一次網絡攻擊中，系統被黑客癱瘓，系統裡的數據全部失竊。由於無法按時完全客戶的委託造成合同的取消和賠償，這家公司直接關門倒閉。此類悲劇天天在上演着，說不定下一個就輪到你。

         以上內容僅為信息參考，不構成任何形式的保險意見或建議。若您在保險業務方面有任何問題，請諮詢專業合格的保險顧問或直接與本人聯繫，本人將為您提供專門針對您的問題的保險方案供您參考。本人聯繫電話：4163004768.