网络保险事件响应：市场趋于商品化

在经济福利的背景下，网络保险将其与其他任何保险类型区分开来的关键事实是，它可以通过高效和经济的事件响应来限制和减少损失，就像没有消防队的消防队一样服务呢。然而，正如最新的 RUSI 报告 ( ) 所指出的那样，网络保险的理论福利增强特性在很大程度上尚未得到经验证明。从行业索赔方面的相同经验观点来看，一篇新论文分析了网络保险公司协调的事件响应的当前格局。作者丹尼尔伍兹在他在cyber-economics.com 上的第一篇客座文章中向我们提供了一份执行摘要。我们发现了一系列观点，认为保险公司已经创建了一个相当于 1833 年保险公司设立的统一消防队的网络安全队，以保护伦敦的（主要是投保的）财产，并且在 1865 年才作为公共服务和开支被接管。在网络保险的背景下，该行业通过为被保险人创建热线电话来发现攻击。然后，热线接线员组建了一个响应团队，涵盖法医调查、法律咨询和公共关系，他们迅速遏制了攻击并恢复了公司的业务运营。这些团队的效率特别高，因为保险公司会将工作交给少数几家建立信任并了解彼此流程的公司。我们称这种观点为事件响应的民主化。一种不同的观点集中在保险公司如何将工作引入其事件响应公司小组，通常不到 10 家公司。我们的研究发现，同样为数不多的 IR 公司重新出现在保险公司的面板上。那么为什么那些投资者关系公司会得到这么多工作呢？这些公司被加入专家组是因为它们同意以较低的小时费率提供服务，甚至为某些调查提供固定价格，并通过采用各种策略与保险公司建立了关系。一些投资者关系从业者认为，这些价格是不可持续的，并将质量赶出​​市场。事实上，许多内部投资者关系公司确实在使用风险投资资金运营。他们也往往是基于服务的公司，他们没有预先存在对受害者网络的访问权限，这使得数据捕获和保存变得棘手。这种担忧可以用“事件响应的商品化”一词来概括。保险公司是否既增加了对事件响应的访问，同时又降低了调查的平均质量？保险公司是否使事件响应民主化或商品化？我们如何调和这两种观点？像典型的学者一样，我认为两者都可以为保险公司提供有效的分类。政府设立应急热线，有效分配应急资源。操作员派出一个紧急程度不高的消防队从树上救出一只猫，但在接到发电厂火灾报告后，派出了一支包括预备役人员在内的消防队。保险公司在网络事件方面提供相同的功能。

如果一家小型企业拨打热线电话询问企业电子邮件遭到入侵，则以固定价格聘请低成本的远程调查员。如果 MSSP 供应商受到威胁，导致数百家公司可能感染勒索软件，则需要更复杂的事件响应。这似乎是常识，但不清楚在网络保险出现之前是谁在协调这件事。事实上，小企业似乎有些束手无策。主流 IR 公司通常通过提供集成监控和响应解决方案来为拥有大量安全预算的公司提供服务。这些公司专门应对复杂的攻击，并且可以利用在受害者环境中安装产品所提供的复杂数据处理能力。公平的评论是，为网络保险公司工作的基于服务的公司无法轻易达到这种响应水平。但是，小型企业也无法承受这种程度的响应。因此，我们的研究发现，网络保险在两个主要方面影响了事件响应：（1）建立事件热线，通过对网络事件进行分类来协调响应资源； (2) 使 IR 业务模型成为可能，该模型可以为 IT 成熟度较低的公司提供服务，并且不依赖于预先存在的网络访问。这个故事应该值得庆祝，它确实类似于保险公司在 1800 年代创建了一个统一的伦敦消防队。然而，必须注意保险公司如何运作这种分类功能。首先，保险公司将 IR 公司添加到小组的内部流程通常是不透明的，这阻止了 IR 工作的公开竞争，导致少数公司获得大部分工作。其次，热线通常由律师事务所运营，他们在事件响应方面有自己的动机，可能优先考虑降低诉讼风险而不是技术风险。第三，与遵循事前计划相比，拨打热线可能不是最佳选择，尤其是因为在事件发生后无法建立数据收集和保存。 {2414728:GEMGH36Z};{2414728:B6N48DLF} 作者 asc 1 2265 MacColl、Jamie、Jason RC Nurse 和 James Sullivan。 2021. “网络保险和网络安全挑战”。 https://rusi.org/explore-our-research/publications/occasional-papers/cyber-insurance-and-cyber-security-challenge（2021 年 6 月 28 日）。伍兹、丹尼尔和雷纳·伯梅。 2021. 网络保险如何塑造事件响应：混合方法研究。 https://informationsecurity.uibk.ac.at/pdfs/DW2021_HowInsuranceShapes_WEIS.pdf。