中怡网络安全系列洞察 (三) | 抵御看不见的风险

随着信息技术的快速迭代和普及，企业对于网络和数字科技的依赖性不断增强。网络技术为企业带来便利和收益的同时，也带来了新的风险和挑战。企业在日常运营中需要处理大量敏感数据，包括客户信息、商业机密和财务报表等，如果在疏于防范的情况下遭遇网络攻击，将不仅仅危害企业的信息技术系统，其声誉、财务状况和业务运营也会受到不同程度的影响。有鉴于此，企业必须高度重视网络风险，采取行之有效的措施来应对潜在的安全威胁。本文由中怡保险经纪网络安全专家周海晨先生为您解读关于网络安全的热点话题，帮助广大企业提高对风险的识别和应对能力，从而为企业的日常经营保驾护航。

Q：网络风险可分为哪些？可能会带来哪些损失？

A：企业对网络及数字科技越来越依赖，不断寻求提升自动化和互联性。根据2020-2022年的《怡安全球风险管理调研》，网络风险近三年均位居全球10大风险前列。网络风险带来的直接损失和连带损失是多层次的，主要包括网络安全故障责任、数据泄露、营业中断、商誉损失、危机处理、网络敲诈等。

Q：如果业务瘫痪，一天会损失多少？

A： 业务瘫痪不仅仅体现在业务营收的直接损失，更叠加了取证费用、修复费用、法律费用、媒体费用，以及可能承担因违反隐私责任和网络安全故障责任而导致的第三方索赔。前者可以简化为同期的营业收入，后者作为额外的财务损失可能更加高昂。此外，对于上市企业而言，从网络安全事件中快速恢复并持续运行的能力，将会直接影响股东价值。

Q：企业需要多久更新一次最高风险评估？

A：因行业和规模等不同，普遍建议每年或每半年更新一次最高风险评估。

Q：如何应对极端事件？如何量化风险？

A：企业应通过网络安全评估和风险量化来建立和提高网络风险内控与应急演练，并通过使用网络安全保险等工具来转移风险、应对极端事件和协助业务恢复。怡安的网络安全专业技术团队可以协助识别企业特定风险，从企业的商业模式、技术概况以及过往重大事件出发，刻画出企业独特的网络风险敞口，结合必要的检测和现场调研等方式，根据识别出的风险情况预估可能造成的损失，并出具网络风险分析报告。

Q：如何从损失或事故中恢复？

A：怡安的应急响应团队可以帮助企业发现、控制、减轻、补救和限制数据泄露或网络事件的损失，包括对数据泄露的遏制、证据的识别保存和分析、系统恢复等。同时，怡安的网络安全保险团队将协助企业处理网络安全风险索赔对应的财务损失，包括但不限于法律费用、公共关系费用、取证费用、营业中断损失、增加的劳动成本、网络勒索、以及第三方责任等。

Q：在事件响应计划中，如何纳入事件响应专家，如何证明网络准备就绪？

A：企业需要建立有效的风险防范体系，一般包括预防、检测和响应三个阶段。在预防阶段，您的网络安全顾问会进行风险扫描，识别系统漏洞，提供建议和指导以提高网络攻击预防能力。在检测阶段，网络安全顾问会提供网络风险内控与应急演练，通常称为紫色团队服务，对标行业标准系统性评估以提高企业网络风险检测能力。在响应阶段，网络安全顾问会提供网络风险内控与应急演练的红色团队服务，加固网络风险遏制与消除能

Q：可否分享一下数据泄露案例？

A：某无线巨头在今年1月透露1，正在积极调查可能影响3700万用户的数据泄露事件。类似的事件已经发生了多起，在2018年至2020年三年时间内，该公司通报了四次严重数据泄露事件。该公司也因此官司缠身，还将于近期支付3.5亿美元，以解决另外一起因为数据泄露事件所引发的集体诉讼赔偿。总体来看，该公司必须在网络安全方面进行全面、彻底地改革，彻底地堵住所有的安全漏洞，否则以后会较为被动。

Q：投保网络安全保险有什么战略益处？

A：中国数据安全监管环境日趋严格。投保网络安全保险是企业持续经营和风险转移的必然选择，可以帮助企业建立应变响应顾问团、巩固企业安全形象、促进稳健财务、避免管理层责任、回应监管机关、强化消费者及股东信心和促进企业永续经营。

Q：如何量化和确定网络安全保障费用？如何计划或为突发的网络需求做预算？

A：网络安全风险转移的费用主要来自购买网络安全保险。依照企业个体风险的不同，对网络安全保险保障范围需求的不同，以及对自担风险敏感度的不同，保费的差异性较大。请联系中怡保险经纪顾问以获得专业的建议，并帮助您理解条款保障。

---

如需获取更多信息或有相关需求，敬请联系：

周海晨

中怡保险经纪网络安全执行总监

邮箱：johnson.zhou@aon-cofco.com.cn
电话：+86 (20) 3816 5923

 

刘晨晖

中怡保险经纪网络安全高级客户经理

邮箱：alyssa.liu@aon-cofco.com.cn
电话：+86 (21) 3865 8366

---

声明：本文件所含信息仅用于一般性目的，并不针对任何个人与实体。我们始终致力于提供准确、及时、来源可靠的信息，但我们无法完全保证本文件所含信息在被用户接收之时以及未来仍旧绝对准确，也不对任何可能依赖本文件的人以任何方式产生的任何损失承担任何责任。我们不能保证本文件中包含的信息在收到之日仍然准确，也不能保证将来继续准确。任何个人与实体不应在缺少合适的专业建议与针对性调研的前提下仅基于本文所含信息做出决策与行动。

---

引用来源：

1 https://baijiahao.baidu.com/s?id=1755504107440596558&wfr=spider&for=pc