Notes

Hass & Associates Hong Kong Cybersecurity: Företag, som söker gemensamma grundvalar för cybersäkerhet

En obeveklig störtflod av cyberattacks har lämnat många företags trygghet officierna söker en tydligare gemensam förståelse av vad som utgör god säkerhetsstrategi, och ser att försäkringsbranschen för svar.

Utöver några reglerade branscher som hälsovård, de flesta företag få relativt lite officiell vägledning om säkerhet och idéer om bästa praxis tenderar att vara splittrad. Regeringen och industrin grupper ger lite hjälp, men de flesta företag är mer eller mindre fria att kartlägga sin egen kurs genom faror i den digitala eran. Medan det kan ha fördelar, att främja flexibilitet och innovation, vill vissa företag tydligare standarder. Som kan hjälpa stärka försvaret, förbättra riskhanteringen och göra det lättare att försvara sig mot anklagelser om vårdslöshet vid en stor kränkning.

"Det finns ett stort utrymme där för försäkringsbolagen att göra en bättre bedömning av risken för utfärdande cyber försäkringar," sa Dave Frymier, chief information security officer på Unisys Corp.UIS +0.22% "Som skulle gå en lång väg mot Rita en ordentlig linje i sanden om vad är försumlig och vad som inte är."

Försäkringsbolag ett massivt expertis inom området för cybersäkerhet. Multiline egendom och casualty försäkringsgivare Ace ACE-0.66% Group, en del av Ace Ltd, till exempel har anställt advokater som ständigt tittar på lagstiftningen, stadgar och rättspraxis samt aktuarier att övervaka och hantera risk. American International Group Inc.AIG-0.26%, ess och andra samarbetar med vaktbolag som erbjuder teknik och tjänster för att förebygga eller återhämta sig från angrepp.

"Genom det sätt vi pris försäkring, vi knuffa människor att förändra det sätt på vilket de hanterar sina risker. Vi belönar mogna infrastruktur, vi belönar mogna styrning med lägre priser och större täckning,"sa Peter D. Hancock, President och CEO av AIG, talade den 2 April på en cyber försäkring evenemang vid New York University.

Försäkringsbolagen har lärt mig hur man mäter risken vid utfärdandet av livförsäkringar och de är skickliga på att titta på en persons färdregistreringen, ålder, demografi och där han eller hon bor innan en bil försäkring. "Motsvarande allt som återstår att göras för cyber försäkring," sade Mr Frymier.

Några branscher som hälsovård och finansiella tjänster har redan föreskrifter om hur uppgifter skall hanteras, men det finns inte mycket vägledning ute för företag inte inom reglerade branscher. Det finns potential för försäkringsbolagen att använda något som National Institute of Standards och teknik ram för förbättra kritisk infrastruktur cybersäkerhet, släpptes i februari 2014, för att bedöma risken i corporate cyber försäkringar. NIST ramen är en uppsättning standarder och bästa praxis för att hjälpa organisationer att hantera cybersäkerhet risker.

Mr Frymier tyder på att försäkringsbolagen kunde poäng företag baserat på dussintals garantier eller motåtgärder kallas kontrollmål som beskrivs i denna ram. Baserat på ett företags värdering, försäkringsgivaren skulle ställa en premie och skulle avgöra hur hög självrisken skulle vara och hur mycket täckning ett företag skulle få.

Som försäkringsbranschen blir bättre på att mäta risk över tiden, kommer det att kunna bredda täckningen och öka kapacitet, vilket är något företag säger att de behöver. Historiskt sett de risker som har tagits upp i en typisk cyber politik varit smal och mängden kapacitet som är tillgänglig för alla ett företag är fortfarande mycket liten, sade Mr Hancock.

"Den största täckning som jag känner till är för en bank som har omkring 400 miljoner dollar i täckning som är mycket liten när man tänker på det," sade han.

Andra försäkringar experter säger att det är mycket vanligare att stora företag att ha täckning i intervallet $100 till $200 miljoner. I en fyllning förra månaden, Target Corp noterade att dess 2013 dataintrång kostar uppskattningsvis $252 miljoner i kostnader. Efter dess förväntade $90 miljoner försäkringsersättning som fortfarande lämnar $162 miljoner i kostnader som inte täcks.

"Försäkring som vi har kunnat köpa är långt mindre än vi vill ha," sade Mr Frymier, av Unisys. "Självrisker är mycket högre än det verkar att de borde vara och det kostar mer än vi tror det ska."

Inte alla företag som söker mer försäkring inblandning i deras cybersäkerhet metoder. En CIO i ett Fortune 100 finansiella tjänsteföretag sade hans företag är överösta med standarder för cybersäkerhet och redan samarbetar med försäkringsbolagen.

Fortfarande, försäkringsgivare se värdet i standarder som kan användas i en mängd olika branscher. Mr Hancock säger att AIG stöds utformningen av NIST ramen. "Vi tror att det är en fantastisk start," sade han. "Det finns en enorm dynamik på sätt som försäkring kan reagera på risken som kompletterar regeringens förordning som är inneboende lite långsam att anpassa sig."