資安攻擊或資料外洩事件可能影響企業的全球營運區域、部門以及各種業務機能,將對企業造成毀滅性的影響。透過資安保險,可在財務面填補公司遭受資安事件所導致的損失;然而,為了最大程度透過保單獲取補償,企業必須非常的謹慎且妥善安排。面對資安事件或資料外洩,將保險理賠的相關因素納入公司的事件回應及回復計畫,將可有效精簡後續的保險理賠流程,且確保各種損失皆可被辨識且追蹤、並在後續的理賠理算程序減少爭議發生的可能性。
如果公司不幸遭受資安攻擊或資訊外洩事件,公司應該盡快通報資安保險公司,以確保公司在保單下能享受的權益。由於經常發生保險公司拒賠通報日前已發生的相關費用,建議在採用危機處理廠商、並發生任何費用之前完成通報,以避免可能的爭議發生。
當事件完成通報、且已發生相關費用後,保險公司通常會向被保險人索取書面的損失證明。每家保險公司的理賠準則多不相同,要求的書面文件也各有差異,但一般來說,保險公司需要的文件內容須包含:
大多數的保險公司要求須在一定的時間內收到相關文件,例如90天內。然而,特別是在公司遭受資安事件仍不斷產生費用損失時,保險公司通常會同意延長遞交相關文件的時限。
由於各家保險公司保單條款可能差異甚大,當資安事件對公司造成營業中斷損失或額外損失時,公司必須謹慎的瀏覽資安保險保單以確認「營業中斷損失」或「額外損失」意指哪些損失。
保單可能有下列差異:
保險公司通常會引進其配合專家,包含IT顧問以及法證會計(forensic accountants),以審核公司的損失證明文件、營業中斷損失及其他損失。與此同時,雇用公司的法證會計團隊以協助理算資安事件或資料外洩事件所導致的營業中斷損失及額外損失,將是非常關鍵的。因為公司聘用的法證會計團隊將以公司的利益出發(而非保險公司的),其將依據所持有的資安保單條款,協助公司辨識、量化、並且最大化公司遭受的損失。公司聘用的法證會計亦可代表公司、協助與保險公司聘用的法證會計溝通。市面上也有許多保單承保公司聘用法證會計的費用。
在資安事件剛發生的幾個小時或幾天內,事件通常是渾沌不明的。公司正試著確認哪些系統遭受影響、對營運是否造成的衝擊並盡快回復正常營運。一般來說,外部顧問會盡最快的速度進入公司協助復原;同時,員工也盡最大的努力確認資安漏洞、回復系統並降低對營運的干擾。
在事件發生的頭幾個小時、幾天、甚至幾週內,公司的工作焦點將在自資安事件回復正常,而非保險理賠(這通常會是接下來幾個月才會開啟的)。然而,為了準備損失證明文件、計算營運中斷損失以及確認所有的費用,我們建議公司必須有系統的將所有已知費用文件化;這將會是在保險公司及其法證會計審核公司理賠申請時的關鍵。
在事件的進程中,我們建議針對下列事項加強文件管理:
依據過去的理賠處理經驗,我們發現,及時確認上述資訊的完整性將大大有助於後續提供給保險公司綜合且完整的事件描述、以利保險理賠申請。完整且深入的事件描述有助於索賠損失的背景分析及文件佐證,使理賠審核程序更加流暢、並降低保險公司婉拒賠付的可能性。
通常來說,緊接在事件發生之後,公司將引進各種第三方廠商以協助事件應變及回復程序。這些廠商可協助執行各式各樣的活動,包含公共關係、危機管理、法律諮詢、鑑識、事件調查以及系統資料復原等。
大多數的公司會優先選用已有合作關係的廠商。然而,公司必須知悉某些資安保險保單內含危機管理廠商名單條款、要求必須使用這些預先批准的廠商;使用非名單內的廠商可能導致保險公司拒絕理賠或僅同意在一定限度內理賠(例如聘用廠商的收費費率不得高於其名單內的廠商)。同時,另一些資安保險保單允許採用非名單內的廠商,但同時採取一些誘因讓公司採用其名單內的廠商,例如較高的額度、較低的自負額等。
除此之外,公司必須與合作廠商緊密合作,確保其可提供充分的工作明細表以及帳單明細,以加速保險公司的審核及付款流程。需求文件種類包含:
通常來說,資安事件發生後最鉅額的費用將會是IT相關費用,包含軟硬體購置、以及顧問費用。資安事件暴露了企業IT系統以及資安防護的弱點,公司通常會在進行事件應變及復原程序時,同時加強改善其系統。
在保險理賠程序中,保險公司會設法確保理賠款項僅針對為了將系統還原至事件發生前的水準、所支付的相關費用;同時將排除為升級/改善IT系統及資安防護,所支出的相關費用。若IT廠商的費用帳單將回復及升級的費用混合,將造成保險理算的困難及遲延。
若公司聘用的IT廠商將同時提供系統回復及升級的服務,建議要求廠商區分兩種服務,分別提供工作明細表及帳單。此將可確保保險理賠程序的順暢進行並降低拒賠可能性。
除此之外,在編寫IT硬體費用明細時,建議可進一步將費用標註為「無法回復設備的置換費用」以及「為降低營運中斷的暫時性處置、所購置的硬體」,可有效協助保險公司的理賠判斷。
根據公司行業別以及遭受資安事件的種類不同,公司可能可透過資安保單獲取營業收入短少的補償。通常來說,企業遭受資安事件時,會優先考慮回復關鍵系統以降低作業及生產的中斷時間;因此多數的企業可以在事發後幾天內即可回復到至少部分作業正常的狀態。由於關鍵系統受影響的時間不長,且如何判斷資安事件與營收短少之間的連結相對困難,營業收入短少的補償是資安保險理賠中最需要繁複文件支持的。
保險公司及法證會計通常會在下列兩個層面提出意見:
提供綜合性的書面文件,同時與公司的作業部門/業務部門及保險公司保持暢通的溝通管道,可有效的降低此爭議。我們建議可提供以下文件或說明以助於與保險公司討論:
除了廠商費用及營業中斷損失以外,資安事件同時會造成其他的衍生損失,例如:
在此三者之中,內部的員工費用在過去經常造成資安保險的理賠爭議。在許多案例中,公司相當大程度的仰賴內部IT員工執行系統回復作業。但大多數的資安保單僅承保由於事件所導致的額外員工費用。
舉例來說,IT部門同仁為處理事件所額外產生的加班費,將是保單可承保的。然而,為獎勵員工處理事件的辛勞,所額外支付的一次性獎金或其他的獎勵手段將是保單無法理賠的。由於保單承保與否的區別,公司應衡酌並將此納入透過內部員工或聘用外部IT顧問處理事件的考慮因素。
公司同時也應該確保有機制可管控為降低系統中斷所產生的所有成本。除了上述提到的例子以外,例如緊急貨運成本、緊急租賃費用、為加速回復程序的額外成本等(如不復原中毒電腦而購置新電腦的費用)也是保單可能理賠的項目。
不幸的是,現今已不是資安攻擊或資料外洩是否會發生,而是事發之後如何最快及最有效率的復原。在理賠申請之前,了解保險理賠程序將可確保公司在面對資安攻擊事件時,有效的透過保險降低財務面及作業面的衝擊。
若您對資安保險有任何問題或需求,歡迎與我們聯繫。
