把控日趨復雜的互聯性：網絡安全風險趨勢

安聯全球企業及特殊風險（AGCS）

7 年前，網絡安全風險在安聯風險指數的排名還低位游走在第15 位，而近年來，網絡安全風險幾乎年年排名居首或接近榜首。該指數是一項年度調研，統計來自100個國家超過2700 名風險專家對企業未來12個月及以后面臨的首要風險的預測判斷。網絡安全方面索賠的明顯增加，不僅源于網絡保險市場發展的推動，還受到包括數據泄露、分布式拒絕服務攻擊、網絡釣魚活動以及勒索軟件增多等事件的影響。人為錯誤和技術故障也是主要因素之一。

與此同時，當今企業及保險人還面臨快速演變的風險環境，新冠疫情的暴發又進一步加劇了這種態勢。雖然新冠疫情的暴發并不是網絡安全相關索賠增長的直接原因，但由于遠程工作變多、家庭辦公的網絡安全保障措施可能不夠健全，在疫情大流行期間，網絡安全風險一直在上升，特別是勒索軟件和商業電子郵件詐騙類事件。雖然AGCS已開始觀察到一些索賠可間接歸因于新冠疫情導致的商業格局轉變，但要斷定這是一個更廣泛的趨勢還為時過早。

然而，不管出于外部網絡攻擊、人為錯誤還是技術故障，所造成的營業中斷損失是網絡安全索賠發生的主要原因，賠案金額占到所統計的賠案總金額的60%左右，緊隨其后的是處理數據泄露產生的損失所需的支出。盡管近年來企業在網絡風險意識方面取得了巨大的進步，但仍有許多公司往往在事故發生之后才意識到自己的數字資產有多么重要。本研究重點介紹了目前主要的網絡風險趨勢，以及企業如何更好地避免或降低此類風險事件的影響。

一、后疫情時代的安全措施松懈加劇了網絡風險

新冠疫情的暴發導致了歷史上最大規模的居家辦公，這也給了犯罪分子利用漏洞的新機會。為了應對疫情突發事件，許多企業通常在很短的時間內就擴大了遠程工作部署，為盡可能多的員工提供訪問公司軟件和系統的權限便利，不得不降低甚至暫停執行IT安全標準，迫使網絡安全承受前所未有的新壓力。根據網絡安全公司Arceo 的研究，受訪的250 家企業（年營收在2.5 億美元至20億美元之間）的首席信息安全官幾乎一致認為，遠程工作時的安全措施不可能像在辦公室時那樣嚴格。

安全措施松懈的潛在后果就是網絡犯罪分子和黑客更容易滲透到原先受到有效保護的企業系統中，造成數據泄露、網絡勒索入侵和IT 系統故障。受訪的首席信息安全官們表示，居家辦公期間，云使用、個人設備使用以及未經審查的應用程序及平臺是當前面臨的最大威脅。同時，50%到90%的數據泄露是由員工自身的工作失誤，抑或是被網絡釣魚或社交工程詐騙導致的。

國際刑警組織（INTERPOL）的數據顯示，在2020 年，惡意軟件和勒索軟件事故已經增加三分之一以上，同時網絡釣魚、詐騙和欺詐行為也增加了50%。急于采用新的云系統和遠程訪問解決方案也會造成數據泄露案件增加。在四個月的時間內，國際刑警組織的一個私營部門合作伙伴監測到了約907000 封垃圾郵件、737 起惡意軟件事件以及48000個惡意URL——皆與新冠病毒主題有關。

特定行業也報告了相關事件的增加。在美國，由于數以百萬計的員工居家辦公，其中包括那些負責維護關鍵基礎設施的工作人員，這導致疫情期間針對電網的網絡攻擊激增35%。這種攻擊可能引發的最壞后果是停電或重要設備的損壞。2020 年5 月，英國的電網數據系統遭到黑客攻擊，不過電力供應并未受到影響。2020 年3 月，歐洲電網運營商協會ENTSO-E遭到攻擊，其內部辦公系統受到影響。有報告稱，自疫情大流行開始以來，針對海洋和海上能源領域的網絡攻擊增加了400%。

迄今為止，AGCS 僅看到少量與新冠疫情有關的網絡索賠，但隨著犯罪分子繼續加大活動力度且開發出更成熟的技術，網絡犯罪導致的索賠可能在不久的將來進一步加大。

隨著遠程工作興起和經濟衰退下的商業環境轉變，再加上網絡釣魚、勒索軟件攻擊和不安全的遠程網絡訪問帶來的損失成本，商業電子郵件詐騙事件或將繼續增加。以新冠病毒為主題的網絡詐騙和旨在利用公眾對疫情大流行的關注的網絡釣魚活動將繼續作惡。

疫情大流行對企業的數字化發展、遠程辦公以及更多依賴在線銷售等都將產生長期影響，企業為應對新冠疫情采取的這些措施也意味著網絡安全風險將以不同的形態和形式演變。

二、營業中斷和數字供應鏈更加脆弱

由于對技術的日益依賴，供應鏈中的網絡風險也越來越大，數字化中斷已成為網絡安全損失中不容忽視的因素。

網絡安全事件發生后的營業中斷（BI）已成為企業的主要關注點。AGCS通過分析網絡安全賠案，發現在大多數情況下，營業中斷是造成企業經濟損失的主要原因。無論是勒索軟件、人為錯誤還是技術故障，關鍵系統或數據的丟失都會讓一家企業在當今數字化經濟中陷入困境。

新冠疫情暴發前進行的“安聯風險指數2020”調研顯示，網絡安全和營業中斷現已成為企業面臨的最首要的兩類風險，而且它們之間的關聯性越來越高。在包括銀行和航空公司在內的多個行業發生大規模中斷事件后，這種觀點更是深入人心。與此同時，勒索軟件攻擊，如2017 年NotPetya 惡意軟件和Ryuk 勒索事件，已經給制造業、服務業以及公共部門組織造成了嚴重的破壞。

數據或“商業情報”的丟失正在成為主要的損失原因。長時間無法訪問數據可能會對企業收入產生重大影響，例如，一家公司無法接收訂單。值得關注的大型營業中斷賠案之一就是2019 年歐洲媒體公司遭遇的火災事件，該起案件中索賠金額的很大一部分與數據失效和為恢復數據所產生的成本有關。

數字供應鏈為提供服務及貨物都帶來了巨大好處。技術化的共享平臺使數據能夠在各方之間交互，使行政事務和訂單自動化，并按需運輸產品。但是，此類平臺可能會產生連鎖反應，使得營業中斷遍及整個部門。如果平臺由于技術故障或網絡事件而無法使用，則可能給所有依賴并共享同一系統的公司帶來巨大的營業中斷損失。2019年6 月，谷歌部分云服務發生的故障給包括YouTube、Uber 和Snapchat 在內的多家大型在線服務提供商造成了數小時營業中斷的災難性后果。2017年，亞馬遜網絡服務在北美地區發生4 個小時的故障，給標準普爾500強企業造成了約1.5億美元的損失。

就在五年前，AGCS 等保險公司的網絡安全保險理賠團隊還主要關注數據泄露以及由此產生的第一方損害和對第三方承擔的責任。但隨著企業對技術的日益依賴，對第一方和營業中斷保障的關注越來越多，理賠部門需要逐漸具備跨學科的職業能力（包括但不限于業務持續性、法務、會計等專業知識）。

三、勒索軟件是如今最突出的網絡犯罪威脅

勒索軟件攻擊正日益成為網絡安全損失的最大原因之一。事實上，歐盟的執法機構EUROPOL正將其視為最突出的網絡犯罪威脅。

已然高發的頻率，加之越來越大的破壞性，勒索軟件攻擊以其復雜的攻擊手段和巨額勒索要求正更多瞄準大型企業。五年前，典型的勒索軟件贖金約數萬美元，如今這一數字可以達到數百萬美元。網絡攻擊的后果可能使企業陷入癱瘓，特別是那些依靠數據提供產品和服務的企業。同時對供應鏈中的其他環節，如關鍵基礎設施，也會造成重大損失。

根據安全軟件供應商Emsisoft 的估計，2019年全球有近50萬次勒索軟件入侵報告，僅在勒索贖金方面就給企業組織造成了至少63億美元的損失。據估計，處理此類事件的總成本遠遠超過1000 億美元。贖金只是其中一部分，勒索軟件導致的營業中斷經濟損失才是最嚴重的。隨著停機時間越來越長，恢復系統和數據的相關成本會非常高昂。一項關于歐洲網絡安全保險損失的最新分析顯示，修復支出的成本與索要的贖金相近；而營業中斷損失的占比是前二者的4到5倍。

在某些情況下，勒索軟件僅僅是真實目的下的煙幕彈，例如以個人數據竊取為目的的案件。在2020 年1 月至6 月期間，ID Ransomware 網站收到的100001 份上傳信息是與勒索軟件團伙攻擊企業和公共部門組織有關的，其中11642 個（約11%）實際上是與公開竊取數據的團伙相關聯，且真實數字可能更高。

攻擊方式上也已經超越了前幾年常見的散兵游勇式的大批量網絡釣魚攻擊，資金雄厚的有組織的網絡犯罪團伙對大公司發起更加復雜和有針對性的攻擊，以期索取高額贖金。

近年來，網絡保險索賠的主要案例有諸如Ryuk 惡意軟件等事件，以及2019 年針對全球鋁生產商Norsk Hydro的攻擊，其員工一度不得不依靠筆和紙辦公。Ryuk 于2018 年8月首次見諸報端，發動多次對全球大公司、醫院和地方政府的網絡襲擊。此類攻擊計劃周密，黑客花時間識別和瞄準關鍵網絡系統，力求最大限度地提高攻擊的影響層面和贖金數額。

考慮到受疫情影響居家辦公人數上升，而家庭網絡安全保障措施可能不如工作場所，可以預計到未來會出現更多的惡意軟件和勒索軟件攻擊，新冠疫情大流行的背景也加劇了這種威脅。自2020年初以來，各地所報告的惡意軟件和勒索軟件事件已經增加了三分之一以上。

“網絡黑客商業化”也導致了更多安全事件發生。越來越多的網絡犯罪分子采取“特許經營”模式，將惡意軟件賣給其他攻擊者，然后針對企業要求支付贖金。這使得高端黑客工具能夠更加廣泛地利用網絡漏洞犯罪。

四、商業電子郵件詐騙攻擊激增

一段時間以來，商業電子郵件詐騙（BEC），或稱網絡欺詐攻擊的頻率一直在增加，且由于經濟衰退和新冠疫情暴發推動的商業環境轉變，這種情況仍會持續激增。更多的人居家工作意味著會滋生新的犯罪活動機會。根據FBI 的數據，在疫情大流行之前，BEC事件自2016年以來已經在全球范圍內造成了至少260億美元的損失。2018年5月至2019年7月，全球BEC事件數量翻了一番，平均經濟損失約27萬美元。

BEC 攻擊通常涉及社交工程和釣魚式電子郵件，以欺騙員工或公司的高級管理人員，使其透露登錄憑證或進行欺詐性交易。隨著時間的推移，BEC 攻擊已經變得越來越復雜，犯罪分子現在多使用欺詐性電子郵件和偽造賬戶來模仿高級管理人員、供應商或客戶，以獲得對公司IT系統的訪問權限。在過去，BEC 攻擊的重點是欺詐性的資金轉移，但如今它們也被用來竊取有價值的數據或進行賬戶接管的攻擊。

五、特大數據泄露的代價更大

隨著IT 系統和網絡世界變得越來越復雜，以及云計算和第三方服務的增長，大型數據泄露事件的應對成本正在上升。監管問責是推高成本的關鍵因素，同時第三方責任和潛在的集體訴訟風險的增加也是驅動因素。

尤其是所謂的特大數據泄露事件（涉及超過100萬條記錄），發生頻率和付出的代價也更大。2019年7月，Capital One遭遇了銀行業史上規模重大的一次泄露事件，美國約有1億客戶受到影響，超過全國人口的30%。美國銀行監管機構也對其罰款8000萬美元。然而此次事件還不是近年來最大的一次。

據報道，2018 年萬豪酒店集團和信用評級機構Equifax 在2017 年發生的數據泄露事件，分別涉及超過3 億和1.4 億客戶的個人數據。兩家公司都面臨著多個司法管轄區的訴訟和監管行動。英國數據保護監管機構宣布計劃對萬豪酒店集團的數據泄露事件罰款1億英鎊（約1.3億美元）。此外，英國航空2019年7月宣布，其因2018年數據泄露事件（50 萬名客戶受到影響）被處以1.83億英鎊（約2.4 億美元）罰金。然而，在考慮到新冠疫情造成的經濟沖擊后，英國航空最終只支付了2000 萬英鎊（約2600 萬美元），但這仍是英國信息專員辦公室（ICO）開出的最大罰單。

盡管如此，根據Ponemon研究所的數據，現在一個特大泄露事件的平均成本為5000萬美元，比2019年增加了近20%。對于超過5000萬條記錄的數據泄露，成本估計為3.92億美元，較2019年略有上升。

六、國內外監管力度趨嚴

數據保護和隱私監管的范疇和地域范圍都在不斷擴大，這對收集和使用個人數據的組織提出了更嚴格的要求，對消費者權益的保護力度和對違規行為的處罰力度都得以提高。

在美國，數據泄露后企業須履行通知義務早已成為網絡保險損失及購買網絡保險的重要推動因素。2002年，美國加利福尼亞州出臺了第一部這樣的法律，而阿拉巴馬州則在2018年成為第50個制定數據泄露通知法案的州。近年來，其他國家和地區也紛紛效仿，澳大利亞和加拿大在2018年出臺了數據泄露通知法，而其他一些國家的步子則走得更遠。

2018 年5 月生效的歐洲《通用數據保護條例》（GDPR）改變了游戲規則。這項法律遠遠超出了向監管機構和個人通報數據泄露的義務標準，并大大提高了消費者權益的保護力度。它規定企業在使用數據之前需獲得同意，解釋如何使用數據，并在收到要求時刪除數據。此后，其他司法管轄區皆效仿GDPR并起草了類似的法律，以美國加利福尼亞州和巴西最為典型，亞洲、拉丁美洲和中東的一些國家也在朝著類似的方向發展。

這些都意味著企業需要更多考慮其在國內外面臨的監管風險。例如，GDPR 可適用于處理歐盟公民數據的美國公司，而《加州消費者隱私法》將適用于持有當地公民數據的歐洲公司。

GDPR催生了更多保險索賠的報案。如果從監管處罰的角度觀察，根據Pinsent Masons律師事務所的數據，在2019年3月至2020 年5 月期間，歐洲數據保護當局（DPA）共開出190張GDPR罰單，金額近5億美元。

歐盟法院于2020 年7 月對Schrems II 案件作出的判決也使情況更加復雜。這表明，依據歐盟—美國隱私保護框架（Privacy Shield Framework，又稱“隱私盾”）從歐盟向美國傳輸個人數據已不再合法有效。作為回應，美國商務部和歐盟委員會已經開始有關討論，以期建立一個符合判決要求的隱私保護措施強化框架。

上述所有都體現了對數據泄露責任的強化以及對數據收集和使用的規范，這對現代企業的存續發展有著重要影響，可期的是監管法規未來將得到更加嚴格的執行。

七、集團訴訟呈發展態勢

如今，許多大型數據泄露事件都會引發監管處罰，同時可能遭受來自消費者、商業伙伴和投資者的起訴。一旦發生這樣的情況，法律費用會大幅增加事件總成本。

美國的數據泄露訴訟呈上升態勢，一些大型違規事件引發了消費者或投資者的集體訴訟。2019年7月，Equifax就其2017年的特大違規事件和起訴方達成了7億美元的和解。美國法院一直在應對“法律地位”問題的爭議，即索賠人是否有權起訴，但趨勢似乎有利于原告。監管法規的變化也有助于主張數據泄露的賠償。例如，《加州消費者隱私法》為消費者提供了起訴企業的相關法律依據，并開創了美國歷史上為數據泄露設定法定損害賠償的先河。

除美國以外的一些國家已經擴大了集體訴訟的權利。例如，在歐洲，《通用數據保護條例》（GDPR）使數據或隱私泄露的受害者更容易尋求法律救助。此外，原告代理公司和訴訟投資人正積極尋求在歐洲和其他地區提起數據泄露的集體訴訟。

八、公司并購也會帶來網絡風險

在一些大型數據泄露事件發生后，網絡安全風險已經成為并購中的熱門話題。例如，2018年萬豪酒店集團的數據泄露事件，導致其面臨監管機構近1億英鎊（約1.3億美元）的罰款，該事件的起因是其2016年收購的喜達屋酒店集團在2014年發生過數據泄露。

即使是保護措施完善的公司，如果他們收購了一家網絡安全薄弱或存在漏洞的公司，也會遭遇風險。由此帶來的結果是收購方仍可能要對并購前發生的事件承擔損害賠償責任。

歸根結底，潛在的網絡漏洞和風險暴露需要成為企業在并購中更為優先考慮的事項，許多公司在這方面并沒有進行足夠的盡職調查。同時，交易完成后，很多企業也沒能快速處理被并購方網絡安全系統中的薄弱環節。

九、國家政治因素也增加了網絡安全風險

對企業而言，國家政府卷入網絡攻擊成為一項日益增長的風險，這些攻擊以企業的知識產權為目標，或意圖對企業自身造成營業中斷或物質損失。大型事件，諸如選舉和新冠疫情等，則為網絡攻擊提供了“良機”。谷歌表示，他們在2020年的每個季度都不得不阻止超過11000次以政府資助做掩護的潛在網絡攻擊，包括網絡釣魚活動及不太常見的分布式拒絕服務攻擊。

近年來，港口、碼頭、油氣設施等重要基礎設施也頻繁遭到網絡和勒索活動的攻擊。

隨著國家的介入為黑客提供更多的資金，先進的網絡攻擊技術和惡意軟件也可能會流入網絡犯罪分子手中。正如NotPetya惡意軟件攻擊事件，即使企業原不是直接的攻擊目標，國家支持的網絡攻擊也會造成附帶損害。

十、風險防范：預備、落實、預防

籌備和培訓是最有效的降低風險的方法，可以大大減少網絡事件發生的可能性或損害后果。對于很多人為錯誤導致的事件，可以通過培訓來減輕風險，這尤其適用于網絡釣魚和電子郵件欺詐等最常見的網絡攻擊形式。

培訓還能有效減輕勒索軟件的攻擊，當然維護安全備份也是必不可少的。業務恢復和持續性計劃也是降低網絡事件影響的關鍵，但應對計劃進行測試、實踐和定期審查。

企業應考慮借此機會與保險公司和經紀人配合，組織內外部關鍵人員進行模擬演練。這樣不僅可以建立信任，也能降低危機事后之痛。

要成功減輕網絡事件的影響，還需要對企業整體的IT系統和流程進行良好的監督和了解。整體管控機制有利于更快掌握局面。明確的職責分工和溝通，調動所有部門一致執行總體規劃，將使應對措施更加有效。

疫情大流行后的格局為企業帶來了新的挑戰。隨著家庭辦公的普及，針對網絡接入點和潛在勒索軟件攻擊風險部署安全措施至關重要。同時，因為網絡中斷對于營業收入會產生重大影響，也要同時定期監測并確保有充足的網絡容量。當許多員工進行視頻會議時，企業還應該注意帶寬的可用程度。

購買網絡安全保險是公司提高其網絡恢復能力的最后防線之一。如果其他所有措施都不夠充分，保險在幫助公司恢復重建方面可發揮至關重要的作用，但它不能代替戰略性的風險管理機制。培養員工風險防范意識，以及對系統進行更新和持續監控，毫無疑問應該在任何企業的網絡安全工作清單中排在首位。