病毒全球“勒索” 欧亚企业网络安全保险覆盖低到让人“想哭”

每日经济新闻(博客,微博)记者 蔡鼎 每日经济新闻编辑 高涵 赵桥

北京时间上周五（5月12日）晚间，一个名为“想哭（WannaCry）”的恶意软件在全球多个国家迅速蔓延，数以十万计的电脑接连遭受攻击，而后被锁死。黑客将电脑中的资料文档上锁，并要求支付300美元等价的比特币才能解锁文件。

在网络安全如此脆弱，用户电脑频频遭到攻击的今天，如何做好必要的防范？

据怡安集团（NYSE:AON，全球最大规模的保险业集团公司之一）网络保险业务全球负责人的说法，全球范围内网络安全保单几近九成在美国。

路透社援引保险公司消息称，因网络安全保险相对较少，美国以外的许多公司可能会因近日爆发的网络攻击承受数百万美元的损失。

　　欧亚企业损失数十亿美元

在上周末“想哭”恶意软件的攻击中，汽车工厂、医院、商店、学校频频遭殃，市场也担心在本周一人们开始工作后，会遭到新一轮的网络攻击。网络安全专家表示，上周末“想哭”锁死了全球超过150个国家的20多万台电脑，尽管目前蔓延速度有所放缓，但这可能只是“想哭”短暂的“喘息”。

而让那些受到攻击的欧亚企业恢复正常的工作秩序，累计成本可能高达数十亿美元。其中，亚洲企业的网络安全尤为脆弱。

怡安集团网络保险业务全球负责人凯文・卡林尼奇（Kevin Kalinich）表示，全球范围内网络安全保单几近九成在美国。年均网络安全保费市场高达25亿至30亿美元。

就网络安全保险在美国有如此高的渗透率的原因，保险经纪公司Marsh的网络保险产品负责人鲍勃・帕里斯（Bob Parisi）在接受路透社采访时表示，“这是因为美国在过去十年间施行了网络安全漏洞通知法（state breach notification laws）。”此法律规定，若发生可识别个人的信息泄露，企业和政府必须发布通知。

路透社称，公开透明的规范让公司乐于为需要上报的网络安全问题投保，以弥补类似事件对他们造成的损失。

凯文・卡林尼奇称，那些没有为“想哭”的攻击做好准备的公司，因业务中断造成的损失，可能会远远超过300美元赎金。

“如果你是一家医院，遭到攻击后无法为病人看病；如果你是一家全球性的物流公司，无法进行派件；如果你是西班牙或者俄罗斯的一家电信公司，业务中断所造成的损失都远远超过300美元的赎金。”卡林尼奇说道。

据路透社报道，受到“想哭”勒索软件攻击的公司包括英国国家健康中心、法国汽车制造商雷诺（Renault）和西班牙电信（Telefonica）等，这些企业的计算机系统都被“想哭”锁死，需要缴了赎金后才能恢复使用。

另据西班牙电信的知情人士表示，该公司有购买相关的网络安全保险，但目前对经济损失的评估还为时尚早。美国网络风险建模公司Cyence估计，在上周五的病毒事件中，个人平均赎金为300美元，业务中断所造成的总经济损失高达40亿美元。

美国网络影响部门（The U.S. Cyber Consequences Unit，一家非盈利性研究机构，为政府和企业可能受到的网络攻击做经济和战略评估）则认为，“想哭”勒索软件造成的累计损失在几亿美元的范围内浮动，不太可能超过10亿美元。

　　网络保险利润高

路透社称，通常来讲，典型的网络保险是针对公司遭受的如勒索软件一类的攻击，保险公司称此类保险的销售量在过去的一年半内飙升。帕里斯还透露称，此类网络保险不仅将支付案件的调查费用，还为客户支付赎金。

然而，那些没有下载微软在今年三月份发布的补丁的公司就没有那么走运了，因为许多网络保险公司并不会对此类情况进行理赔。卡林尼奇还表示，那些使用盗版软件的公司也不可能获得保险公司的理赔。

帕里斯则表示，大多数网络保险公司最高的理赔金额为5000万美元，其中大部分损失与公司的业务中断有关；少数的网络保险最高的理赔金额甚至可能达到5亿至6亿美元。

路透社报道中称，网络保险还涵盖如下事项产生的费用：通知信息被泄漏了的受害人、雇佣公关机构处理公司声誉受损问题、安排对受影响人员进行信用监控，处理潜在的法律诉讼等。

网络保险是一个高利润的行业。Sciemus保险公司曾表示，为价值1000万美元的数据泄露投保费用约为10万美元，这一保费是人身伤害投保的7倍。

除了上述已经提到的提供网络保险服务的公司外，其他同类公司还包括安联保险（Allianz）、美国国际集团（AIG）、美国丘博保险（Chubb）以及苏黎世（Zurich）等等。

《每日经济新闻》记者注意到，在周末发生攻击之前，网络保险的需求就已呈上涨态势，因为一份将于2018年年中实施的欧盟指令规定，企业若发生数据泄露，必须上报政府。

在上周末“想哭”的攻击中，有多少损失是可以通过保险公司理赔来做补偿的，仍是一个未知之数。卡林尼奇还表示，保险公司会更加仔细地评估他们会承担的风险，拟定保单和免赔事项时也会更加审慎。

“保险公司想选择那些最不可能遭到黑客攻击的公司来为其承保。”卡林尼奇说道，如果客户在没有通知保险公司的情况下，自行缴了赎金的话，保险公司也许会拒绝理赔。