保险公司有哪些比较大的,保险公司有哪些合规风险点

2022-08-30 03:40:47 热点扫描

　　前言网络环境的易变性和复杂性颠覆了网络保险业务的格局，迫使行业重新评估与之相关的网络风险。到2026年，全球网络保险市场预计将以平均25%的复合年增长率增长。同时，网络保险也将制定严格的定价和核保标准。　　

　　保险公司需要快速准确地评估每个投保人的网络健康状况。因此，他们需要在全球范围内招募承销商，部署相关应用程序并进行尽职调查。重要的是，保险公司的供应将变得庞大而复杂，这使得他们的生态系统更容易受到数据泄露或勒索软件攻击。　　

　　除了研究整个在线保险市场面临的新兴威胁，黑风筝研究还分析了2019年保费收入排名前99位的保险公司，以更好地了解他们的网络状况和风险水平。　　

　　这项研究的目的是为CISO和网络保险行业的保险公司提供对新的网络风险的见解和意见，并帮助他们有效地识别和抵御可能阻碍其业务的网络威胁。　　

　　主要研究结果如下：1 .与普通保险公司相比，半数以上的大型保险公司遭受网络攻击的概率增加了3倍；　　

　　2.18%保险公司的勒索病毒敏感指数高于0.6的临界阈值，表明非常容易受到勒索病毒攻击；　　

　　3.前82%的保险公司容易受到钓鱼攻击；　　

　　4.软件供应商是最常见的供应链攻击来源，占2021年所有第三方事件的25%。　　

　　网络的趋势和新兴风险远程办公模式的兴起，意味着更多未知的网络环境，未知的设备，以及公司和人员之间更高频率的互联。对于网络保险公司来说，这种变化和增长将显著提高承保风险水平。事实上，更高的保费往往意味着更严重的风险。　　

　　根据WoodruffSawyer公司的调查，62%的保险公司预计未来一年保费将大幅增长，这是勒索攻击和供应链攻击快速上升的直接结果。此外，保费增长也源于对整体市场的认知调整，通过定价正确反映当前环境的整体风险水平。　　

　　勒索软件 　　

　　今天，世界上每11秒钟就有一次勒索攻击。2021年，这个数字是每分钟6次。事实上，迄今为止最大的勒索袭击的赎金是由一家保险公司在2021年支付的，总金额略低于4000万美元，而2021年的平均支付额约为13万美元。　　

　　勒索的影响远远超出赎金本身，赎金往往超过最初估计的财政支出。这种连锁反应的成本还包括声誉受损和业务中断的成本。根据Coveware的数据，今年到目前为止，企业如果受到敲诈攻击，平均需要三周时间才能恢复业务，综合修复费用接近200万美元，是2021年平均财务损失100万美元的两倍。　　

　　网络对此有何帮助？保险可以覆盖意外停机期间损失的商业利润和一些固定支出，但随着风险的上升和更多的索赔，保费变得非常高。　　

　　当损失开始超出预估时，保险公司就会陷入困境，同时会催生更多持续、自动的风险评估的市场需求，投保人可以评估自己的安全投入和组合方式是否合理。　　

　　数字供应链 　　

　　世界各地的企业都目睹了越来越多的网络攻击，尤其是对其数字供应链的攻击。拥有多个行业客户的软件和技术公司是第三方安全事件中最容易被攻击的目标。　　

　　根据黑风筝研究集团在其最新的年度第三方违规报告中的数据，软件供应商是最常见的供应链攻击来源，占2021年所有安全事件的25%。此外，由于第三方违约，15亿用户的PII(个人身份信息)被泄露。恢复暴露的敏感数据既昂贵又耗时，还会带来聚合风险。　　

　　什么是聚集风险？聚合风险考虑与网络安全事件的规模和范围相关的风险。本质上，一个大事故可能引发连锁反应，造成几个重点行业的连带事故。如果影响足够大，就会引发系统性崩盘。具体来说，在网络保险领域，一个事件导致保险公司组合中的数家保险公司业务中断或证书泄露，就可能在上述单一事件中造成一批投保人的损失。　　

　　纵观2021年最具影响力的安全事件，攻击者有明显的针对性策略――他们的目标是那些为上下游企业提供解决方案或服务的产品和公司。这些有针对性的攻击给保险公司敲响了警钟。3360如果被攻击公司的所有客户同时受到影响，该怎么办？　　

　　2021年软件供应链攻击增长300%，2022年及以后的预测将继续保持相同的趋势轨迹。Forrester预测，2022年60%的安全事故将由第三方事件引起。即使一个企业认为它有一个完善的安全策略，它只需要一个脆弱的供应商就容易受到入侵。　　

　　对于保险公司来说，这种激增意味着他们首先应该与想要投保的客户采取更严格的协议，尤其是当他们的风险水平已经处于较高水平时。根据Evidence的最新数据，75%的第三方供应商不符合雇佣他们的企业制定的保险要求，通常是因为无法达到的要求和高额的保费。此外，第三方对所有要求的平均符合率仅为25%。　　

　　《网络保险公司黑风筝第三方风险管理现状》从第三方风险的角度对保险公司进行了更深入的研究。　　

网络态势。在这项研究中，其团队分析了2019年保费收入最高的99家保险公司，以揭示该行业的网络威胁和潜在的风险领域。

l 整体风险等级

保险公司风险等级分布

总体而言，保险公司的平均风险等级为B级或“良好”，平均风险等级分为84.6。

Black Kite遵循并应用MITRE开发的框架来确定公司的总体评级，将高度技术性的术语转换为简单的字母等级。网络风险评级是一种开源情报的集合，可以让人们了解一家公司的整体网络健康状况。

总评级是20个不同类别维度评估的加权平均值，覆盖了足够广的检测范围，每个类别以及每个控制点在整体等级中具有不同的权重。Black Kite提供了290个控制点，拥有各种与MITRE的TTP对应的权重以尽可能地消除误报。在本项研究中，评级为“B”的公司遭遇数据泄露的可能性是评级为“A”的公司的3倍。

l 勒索病毒易感评级

数据还显示，保险公司的平均勒索软件易感指数评级为0.17（易感等级为0.0-1.0上，则态势非常好）。然而，在这些保险公司中，有18%的易感指数高于0.6的临界阈值，这表明其非常容易遭受勒索病毒的攻击。需要注意的是，低易感性并不意味着不会被感染。网络威胁和漏洞无时无刻地出现，这也使得持续和主动响应成为先决条件。

保险公司勒索软件易感指数

l 其他易中招的网络威胁

在所研究的保险公司面临的与勒索软件相关的安全问题中，易受网络钓鱼攻击位居榜首，占比82%，泄漏账号占比66%，数据泄露占比43%，高危漏洞占比42%，暴露关键端口占比25%。

对于攻击者来说，网络钓鱼成本极低，而一旦成功，即可创造巨额收益。企业缺乏针对员工的安全意识和技能培训是网络钓鱼能够成功的主要原因，木桶效应决定了，整个企业只要有一名大意的员工，就有可能中招。思科的2021年网络安全报告表明，去年86%的企业至少有一名员工点击过网络钓鱼链接。此外，数据还表明，大约90%的数据泄露事件是由网络钓鱼造成的。