2014 年 1 月,美國知名零售公司公開承認,該公司系統被駭客入侵,竊取了超過七千萬筆個人資料(包括姓名、電話、電子郵件),以及四千萬筆信用卡或金融卡交易資訊。因為這次資安事件,該企業身陷超過 140 個訴訟案件,最後支付的和解金超過1億1636萬美金,總經理、資安長先後下台。
是的,資安一旦出事,就可能這麼嚴重。很多企業若受到此等規模的打擊,可能直接破產。企業該如何管理資安風險呢?
近年來,電腦病毒不只是讓我們的電腦當機,它更常是勒索與詐騙的一環,例如,鎖住電腦或癱瘓系統要求贖金、以假冒 CEO 的電子郵件指示員工匯錢到駭客的帳戶。竊取技術資料、客戶個資,也是駭客常瞄準的目標。在技術上,這些事情並不困難,一個略有規模的企業極難避免。 因此,一個有資安風險意識的企業,平時應該要做到這些事項,減少與管控本身的風險:
企業可以減少資安事件的風險以及損失,但無論如何,也難以絕對地避免發生。因此,許多企業會以保險方式轉移資安風險。當企業以少量的保費,得以避免天價的高額損失,就有更高的資安風險的承受力。
然而,企業應該買什麼樣的資安保險方案、繳付多少保費呢?
在過去,資安保單的定訂,常是以同業方式比價:「我的同業買多少?我可不可以比他更便宜一些?」這樣的方式,對企業並不公平適當。畢竟,每個產業、每個公司的客觀性質不同,比照彼此的保費,無異是拿蘋果比橘子。
針對這樣的問題,韋萊韜悅透過蒐集了20 年以上的全球資料,透過精算模型將風險量化,打造資安風險評估系統:Cyber Quantified。
透過此系統,只要知道客戶的產業屬性、全球各主要市場營運比重、曝險資料的數量與性質…等參數,就可以計算風險的分配模式。藉此,我們可以為各別客戶量身打造最適合其需求的保險方案。
購買資安保險方案,不僅是為了損失的理賠,更是為了其專業的顧問服務 舉例而言,某香港旅行社的系統被駭客鎖住,要求贖金。這家旅行社是我們的客戶,於是立即與我們聯繫。基於長期專業經驗,我們在第一時間協助分析情勢,決定不付贖金,並找到當地優異的資安團隊,為系統解鎖。我們也推薦一流的鑑識專家,確認資料是否有被盜取,並且也找了專業的公關團隊,幫助該企業進行危機控管、對大眾進行合適的公開說明。
這一套流程之中,每一個環節都是經驗、知識的積累。要快速地組合可信的人組成應變團隊,並且在緊急之中有效地跨專業對話協作,這是一般企業極難獨立完成的,這也就是我們與合作夥伴可迅速妥善協助之處。