全球因網路犯罪造成的損失在2024年已攀升至約9.5萬兆美元,相較2015年已增長了超過300%。如果此一趨勢持續,2025年對於製造業來說將是充滿挑戰的一年,因為該行業經常被認為是網路犯罪分子的主要目標。因此,製造業更需要了解並防範其獨特的風險,並最終得以確保其保單可提供足夠的保障。
有許多與製造業相關的頭條新聞,講述了網路攻擊事件造成的財務影響。以下是製造業在2025年應注意的考量因素:
勒索軟體是一種常用的攻擊手段,通過將惡意軟體和加密技術結合使用,使數據或整個系統無法使用,直到系統從備份中恢復或支付贖金為止。不出所料,全球支付給勒索軟體組織的總金額從2022年的5.67億美元飆升至2023年的11億美元。實施勒索軟體攻擊的網路犯罪分子成功引起了客戶、股東、執法機構及高階主管的注意。
儘管執法單位努力追緝並阻礙其營運,網路犯罪分子仍通過各種非法手段獲得資金,並持續業績興盛。令人驚訝的是,雖然2024年顯示出大型勒索軟體團體的主導地位有所減弱,但這一看似令人振奮的消息已被近期的最新趨勢所淹沒。例如,歷史上參與最多勒索軟體活動的LockBit組織已基本被一個名為RansomHub的組織所取代,該組織專門從事勒索軟體即服務(RaaS)。更令人驚訝的是,RansomHub在2024年初才開始營運,其在該領域的快速增長主要歸功於其招募了經驗豐富的駭客。這種勒索軟體即服務的模式使得那些沒有技術經驗的人也能通過代理服務發動攻擊。
製造業在全球供應鏈中扮演著至關重要的角色,網路犯罪分子將持續利用製造業與全球經濟緊密連結的現實發動攻擊。
一般來說,製造業比其他行業更依賴營運技術(OT)進行關鍵流程,如果資訊科技(IT)是人類的大腦,那麼OT就像是肌肉。在現今,OT監控、管理和工業設備保全等系統,必定包含某些“物聯網”(IoT)元素,其傳感器、處理器和軟體需要堅若磐石的安全協議。由於OT多是特殊規格,並且處於複雜的生產環境中(相較之下,IT系統通常位在具備良好溫度控制的伺服器機房、或在桌面上過著相對舒適的生活),製造業通常不會經常部署OT軟體更新(補丁),這加大了其脆弱性。根據Palo Alto和ABI Research進行的一項調查,76%的受訪者確認其OT在最近一次網路攻擊中受到了影響。
監管機構已將注意力轉向OT的重要性,歐盟引入了NIS2指令,該指令明確將製造業列為“重要實體”(此類別受到的規範和義務與“基本實體”略有不同)。NIS2旨在設立更嚴格的網路安全標準,並對未能遵守新要求的製造業處以GDPR式的處罰。在美國,運輸安全管理局在2021年Colonial Pipeline勒索軟件事件後,對關鍵基礎設施漏洞事件作出了回應,並更新了安全管道指令。
簡而言之,管理OT系統的團隊專注於現實世界的物理生產。為了使製造業能夠安全的生產其產品,必須對OT系統投注與IT系統相同程度的關注。
隨著人工智能推動第四次工業革命,網路犯罪分子正在利用生成式AI來加強其營運並提高其策略的有效性。生成式AI被用來自動化和擴展惡意代碼的開發,並識別IT和OT系統中的潛在漏洞。例如,過去需要數天才能創建一個能產生詐騙效果的網路釣魚活動,現在通過使用生成式AI可能只需幾分鐘。
用於合法商業目的的AI也對製造業產生了嚴重影響。其在數據收集、處理和儲存、媒體活動以及員工管理、業務和生產流程管理中的使用也帶來了額外的安全和監管風險。在某些情況下,AI的快速發展已超越了數據安全工具及技術所能保護的範疇。
全球各地的立法者正在迅速行動,制定針對新興人工智能風險的法律,這些法律將使製造業對其在全球供應鏈中的重要角色負責。雖然美國主要依賴州級的人工智能法律,但歐盟的2024年人工智能法案對製造業具有深遠影響。根據歐盟人工智能法案,使用人工智能系統的製造業必須遵守嚴格的指南,否則將面臨重大罰款。相關案例包含但不限於生物識別資訊收集、員工管理和員工培訓等。
網路事件還可能導致與產品相關的E&O損失,這對公司的盈利能力和聲譽將造成嚴重影響。製造業通常依賴其一般責任(GL - General Liability)和財產保險來承保所有第三方的財務損失風險,但他們多不清楚這些保單的承保觸發及限制。GL和財產保單的不足之處在於,它們被設計為僅能承保實體財產損失或人身傷害。
然而,這些保單都不打算為被保險人因產品缺陷造成的第三方財務損失提供辯護或賠償。製造業E&O保險部分解決了這一問題,並且通常與網路保險相結合,以避免索賠時的潛在承保缺口。為了使E&O保險可承保公司痛點,保單設計必須謹慎並盡可能涵蓋所有具備風險的產品。
由於製造業生產行為和營收之間的複雜性及關連性極高,網路犯罪分子經常直接或間接地鎖定製造業作為攻擊目標。在網路事件引發的營業中斷期間,製造業通常開始銷售其多餘的產品庫存以滿足客戶需求。雖然這可以降低一些損失,但通常無法減免全部損失;而且在營業中斷狀態解決後、生產仍可能處於緊迫的狀態。此外,公司的即時庫存管理系統也不一定能配合快速採行此臨時措施。
具備廣泛承保範圍的網路保險旨在承保被保險人和第三方供應商所遭受的惡意和非惡意事件,從而試圖全面降低製造業面臨的供應鏈風險。若製造業無法明瞭理賠通報及保單的關鍵承保條件,保單所提供的價值將迅速減少。
隨著全球供應鏈成為網路犯罪分子的常見目標,製造業無論在風險管理、保險及其他層面皆面臨著來自客戶的越來越高的要求。在營業中斷期間,製造業的資產負債表上將留下巨大的黑洞,這可能影響公司股票價值並導致客戶流失。
WTW 強烈建議製造業考慮以下事項:
保單規劃: 購買保險與否以及購買多少保險額度等、應盡可能使用數據化、客制化的資訊或系統以做出決定。WTW 的分析工具可以協助推動有關保險額度充足性、自負額、規模、保單架構和自保利用的討論。
承保範圍分析: 保單是一份被保險人和保險人之間的法律合約。WTW 在協助客戶進行全面的承保範圍差異分析後,可使用我們的專用的保單格式,並與我們的保險合作夥伴合作,設計具體的保單措辭,以滿足我們客戶的需求。
理賠流程: 與製造業組織內的所有部門、包含業務、資訊及資安部門等合作將是必不可少的,以確保理賠流程以合法合規並以公司權益最大化的方式進行。
風險改善: 製造業進行其IT、OT等風險改善規劃時,必須透過合理的資源分配等角度多方考慮。這也涉及生產及保險理賠程序如何相互結合,合作的外部顧問必須具備深厚的分析能力及 IT 專業知識。
WTW 能夠通過客制化的分析、承保範圍設計和專有的保險Facility,幫助製造業解決其主要的資安風險。我們歡迎與您組織的相關人員,討論網路和相關風險。
