資安險叫好不叫座 去年僅141張保單
你不知道的個資風暴來襲專題6(中央社記者劉姵呈、吳柏緯台北14日電)企業個資外洩事件層出不窮,但攸關降低風險的資安險推出後卻一直「叫好不叫座」,投保率不僅偏低,去年一整年資安險銷售件數甚至還出現衰退現象。
政府部會及企業外洩個人資料的案件屢見不鮮,曾多次協助私人企業進行網路系統安全檢測、修補漏洞的白帽駭客吉米(化名)說,曾有企業將活動APP委託外面的程式公司設計,但是該公司的資安系統做得非常差,完全沒有嚴密的加密措施,導致發生了資料外洩的情況。後來他跟其他程式設計師臨危受命救火,協助修補了漏洞,並且一併檢視該程式設計公司的其他資安漏洞,才沒有讓情況失控。
中華民國消費者文教基金會董事、律師游開雄表示,個資洩露之後舉證不易,就算受害者向外洩個資的企業求償,依法可獲賠金額也只有新台幣500元至2萬元間,「很少有消費者會為了500元去打一個官司」。
他感慨,也因為民眾沒有立即、明顯的痛苦,即便法律明定賦予民間團體可以打團體訴訟,但個資法2015年底修正,隔年3月施行以來,消基會卻只成立了一個向雄獅求償的團訟案。「立法從嚴、執法從寬」,加上刑度過低,對業者根本沒有嚇阻的效果,沒有壓力,業者根本不會重視資安防護。
資安攻擊已成新常態 資優生都中鏢
根據台灣電腦網路危機處理暨協調中心統計,去年資安通報案例達7639筆,其中還包括去年8月震驚全台的台積電晶圓產線大當機,損失高達52億元,創下台灣有史以來損失金額最高的資安事件;趨勢科技最新分析也指出,變臉詐騙攻擊(或稱為商務電子郵件入侵)所造成的全球損失大幅成長。
隨著企業面臨的資安威脅越來越險峻,一旦受到攻擊,就可能導致嚴重損失,已有不少企業也開始尋求移轉風險的解決方案,資安險應運而生。
資安險的防護主要分為兩方面,一是企業損失風險,例如營業中斷、資料損失、商譽損失等;二是企業第三人責任風險,理賠的範圍包括法律調查、訴訟費用、危機處理公關費等,不同類型的企業,需要的資安防護不同。
以製造業為例,需要防護的是營業中斷,較需要第一種資安險,但對旅行社、醫院等擁有大量個資的機構,資安責任就是比較需要防護的重點。
保發中心表示,目前資安險範圍包括資料保護保險、資料及網路錯誤或疏漏責任保險、資訊系統不法行為保險和資訊服務業專業責任保險。另外,近年來有許多產險公司有推出客製化資安險商品,或針對中小企業開發簡易型資安險,投保流程相對簡易快速。
產險業者表示,資安保險的好處在於,企業可轉移損失外,產險公司也會提供專業資安危機處理諮詢服務。且由於傳統產業導入自動化科技、大數據的時程較晚,近兩年開始較多製造業來詢問,資安防護上較嚴謹的標準金融業反而較少。
資安險保費高 企業先自我防護再保險
值得注意的是,根據保發中心的統計資料顯示,2018年資安險投保件數僅有141張保單、總保費收入是新台幣8907.5萬元,較2017年投保件數303件、總保費收入是6415.7萬元,去年一整年資安險銷售件數衰退,不到前年的一半,保費則增加38.8%。
其中,討論度最高的資料保護保險及資訊系統不法行為2種險種,2018年總件數還不到100件,僅有86件;2017年也僅有43件,顯示企業投保資安險比率仍相當低。
產險業者透露,企業對於資安防護的投資,會先著重強化網路安全、網站架構防護和緊急應變措施,加上資安險的保費不算「親民」,企業通常要花較多時間評估,在精打細算的考量下,仍然抱持觀望的態度。
目前正在規劃購買資安險的電商平台技術長表示,已初步和產險業者接洽,但因為公司正在導入英國個人資料保護標準BS10012認證,未來取得認證之後再去購買資安險,會比較有談判空間,否則相關的費用會太高。
這位擔心公司名稱若曝光,會惹來駭客攻擊的技術長低調表示,資安險的報價會有一系列的評估,包括公司的營運、資安防護等整體評估,再交由精算師精算,因此現在並無法估計要花多少成本。
不過,買了保險不代表就不用做資安,怡安保險(Aon)風險管理顧問香港區協理庾燕玲在2019台灣資安大會上指出,購買資安保險並不能直接改善企業的資訊安全,企業還是應該要儘可能維護自己的資訊安全,再向保險公司投保。
她說,保險是透過金錢補償業者損失,但公司若是重要機密遭到洩露,很可能導致完全無法運作,或是被競爭對手抄襲後,使得公司無法生存,難以仰賴經濟上的補償而得到復原。
庾燕玲也強調,若是企業相關防護做得夠好,也能當作購買資安險時談判的籌碼,向保險公司爭取較低的保費。1080914
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。