芋傳媒 TaroNews - 台灣觀點.芋見真相

資安險叫好不叫座 去年僅141張保單

圖片來源:芋傳媒

企業個資外洩事件層出不窮,但攸關降低風險的資安險推出後卻一直「叫好不叫座」,投保率不僅偏低,去年一整年資安險銷售件數甚至還出現衰退現象。

政府部會及企業外洩個人資料的案件屢見不鮮,曾多次協助私人企業進行網路系統安全檢測、修補漏洞的白帽駭客吉米(化名)說,曾有企業將活動APP委託外面的程式公司設計,但是該公司的資安系統做得非常差,完全沒有嚴密的加密措施,導致發生了資料外洩的情況。後來他跟其他程式設計師臨危受命救火,協助修補了漏洞,並且一併檢視該程式設計公司的其他資安漏洞,才沒有讓情況失控。

中華民國消費者文教基金會董事、律師游開雄表示,個資洩露之後舉證不易,就算受害者向外洩個資的企業求償,依法可獲賠金額也只有新台幣 500 元至 2 萬元間,「很少有消費者會為了 500 元去打一個官司」。

他感慨,也因為民眾沒有立即、明顯的痛苦,即便法律明定賦予民間團體可以打團體訴訟,但個資法 2015 年底修正,隔年 3 月施行以來,消基會卻只成立了一個向雄獅求償的團訟案。「立法從嚴、執法從寬」,加上刑度過低,對業者根本沒有嚇阻的效果,沒有壓力,業者根本不會重視資安防護。

資安攻擊已成新常態 資優生都中鏢

根據台灣電腦網路危機處理暨協調中心統計,去年資安通報案例達 7639 筆,其中還包括去年 8 月震驚全台的台積電晶圓產線大當機,損失高達 52 億元,創下台灣有史以來損失金額最高的資安事件;趨勢科技最新分析也指出,變臉詐騙攻擊(或稱為商務電子郵件入侵)所造成的全球損失大幅成長。

隨著企業面臨的資安威脅越來越險峻,一旦受到攻擊,就可能導致嚴重損失,已有不少企業也開始尋求移轉風險的解決方案,資安險應運而生。

資安險的防護主要分為兩方面,一是企業損失風險,例如營業中斷、資料損失、商譽損失等;二是企業第三人責任風險,理賠的範圍包括法律調查、訴訟費用、危機處理公關費等,不同類型的企業,需要的資安防護不同。

以製造業為例,需要防護的是營業中斷,較需要第一種資安險,但對旅行社、醫院等擁有大量個資的機構,資安責任就是比較需要防護的重點。

保發中心表示,目前資安險範圍包括資料保護保險、資料及網路錯誤或疏漏責任保險、資訊系統不法行為保險和資訊服務業專業責任保險。另外,近年來有許多產險公司有推出客製化資安險商品,或針對中小企業開發簡易型資安險,投保流程相對簡易快速。

產險業者表示,資安保險的好處在於,企業可轉移損失外,產險公司也會提供專業資安危機處理諮詢服務。且由於傳統產業導入自動化科技、大數據的時程較晚,近兩年開始較多製造業來詢問,資安防護上較嚴謹的標準金融業反而較少。

資安險保費高 企業先自我防護再保險

值得注意的是,根據保發中心的統計資料顯示, 2018 年資安險投保件數僅有 141 張保單、總保費收入是新台幣 8907.5 萬元,較 2017 年投保件數 303 件、總保費收入是 6415.7 萬元,去年一整年資安險銷售件數衰退,不到前年的一半,保費則增加 38.8 %。

其中,討論度最高的資料保護保險及資訊系統不法行為 2 種險種, 2018 年總件數還不到 100 件,僅有 86 件; 2017 年也僅有 43 件,顯示企業投保資安險比率仍相當低。

產險業者透露,企業對於資安防護的投資,會先著重強化網路安全、網站架構防護和緊急應變措施,加上資安險的保費不算「親民」,企業通常要花較多時間評估,在精打細算的考量下,仍然抱持觀望的態度。

目前正在規劃購買資安險的電商平台技術長表示,已初步和產險業者接洽,但因為公司正在導入英國個人資料保護標準 BS 10012 認證,未來取得認證之後再去購買資安險,會比較有談判空間,否則相關的費用會太高。

這位擔心公司名稱若曝光,會惹來駭客攻擊的技術長低調表示,資安險的報價會有一系列的評估,包括公司的營運、資安防護等整體評估,再交由精算師精算,因此現在並無法估計要花多少成本。

不過,買了保險不代表就不用做資安,怡安保險風險管理顧問香港區協理庾燕玲在 2019 台灣資安大會上指出,購買資安保險並不能直接改善企業的資訊安全,企業還是應該要儘可能維護自己的資訊安全,再向保險公司投保。

她說,保險是透過金錢補償業者損失,但公司若是重要機密遭到洩露,很可能導致完全無法運作,或是被競爭對手抄襲後,使得公司無法生存,難以仰賴經濟上的補償而得到復原。

庾燕玲也強調,若是企業相關防護做得夠好,也能當作購買資安險時談判的籌碼,向保險公司爭取較低的保費。

(新聞資料來源 : 中央社)

邀請您加入「芋傳媒」的粉絲專頁
邀請您加入「芋生活」的粉絲專頁
我知道了

評論被關閉。