确定保险在网络安全事件中的作用

不久前的一段时间里，保险公司还比较容易决定一家制造企业需要多少保护。一切都是老生常谈了。

在实体工厂之外，再加上今天的网络安全问题，保险公司无疑会抓狂，因为他们不知道该怎么办。这就是为什么对关键基础设施的网络物理攻击有可能破坏实物资产并造成大范围损失，这让保险公司夜不能寐。

当黑客进入控制制造工厂、输油管道、炼油厂、发电厂等设备的计算机系统，并能够控制这些设备的操作以破坏资产或其他财产时，就会发生对关键基础设施的网络物理攻击。

针对关键基础设施的重大网络物理攻击不仅对这些资产的所有者和运营商构成风险，而且对其供应商、客户、企业和受攻击资产附近的人员，以及可能受到不利影响的任何个人或实体(例如，医院患者和股东)也构成风险。

由于网络物理攻击造成的损害可能是广泛的、大规模的、高度相关的，影响到经济的多个部门和许多保险领域，保险业正在高度关注这一风险。

例如，英国保险市场劳合社(Lloyd’s)和剑桥大学(University of Cambridge)对美国东北部50台发电机遭受网络物理攻击所造成的损失进行了一项重大研究。其他保险市场参与者也发表了关于关键基础设施面临网络物理风险的报告。保险业对网络物理风险的关注或许也应该成为企业保单持有人的行动指南。

两大攻击

到目前为止，只发生过两次公开的网络物理攻击。第一次是在2008年至2010年期间，伊朗使用震网病毒摧毁了大约20%用于制造核材料的离心机。据ISSSource报道，Stuxnet是美国和以色列为减缓或阻止伊朗核计划而共同努力的结果，它破坏了伊朗纳坦兹核设施的离心机，导致它们失去控制，而操作人员却认为一切正常运行。

在2014年底的第二次攻击中，黑客通过一个小型的环境控制支持系统进入了一家德国钢铁厂的电脑。这次袭击摧毁了这家钢铁厂的一座高炉。德国当局不允许公布袭击的许多细节，但他们确实称造成的损失是“巨大的”。

对关键基础设施的几次攻击，除了受感染的计算机本身之外，并没有造成财产损失，而显然只是由于偶然事件或攻击者的目标狭隘。

此类攻击的一些案例包括:

• 2015年12月对乌克兰电网的攻击。这是一次多阶段、多地点的攻击，切断了7个110千伏和3个35千伏变电站的供电，导致8万人停电3小时。攻击者的入口——网络钓鱼骗局。
• 2014年，84个国家的1000多家能源公司感染了“精力充沛的熊”病毒。这种病毒是用于工业间谍活动的，由于它感染了受影响设施的工业控制系统，它可能会破坏这些设施，包括风力涡轮机、战略天然气管道加压和中转站、液化天然气港口设施和发电厂。有人认为，一个民族国家“预先定位了攻击工具，以破坏全国规模的天然气供应商”。
• 2013年，纽约市以北20英里处的一座小型防洪大坝遭到黑客攻击。攻击者本可以控制闸门，但闸门被关闭进行维护。一份报告显示，袭击者打算攻击俄勒冈州一座同名大坝，其规模是纽约大坝的数倍。
• 去年11月，黑客摧毁了沙特阿拉伯六个组织的数千台电脑，其中包括能源、制造业和航空业。这次攻击的目的是窃取数据和植入病毒;它还清除了电脑，使它们无法重新启动。这次攻击类似于2012年对全球最大石油公司沙特阿美(Saudi Aramco)的攻击，那次攻击摧毁了3.5万台电脑。

这些都不是孤立的事件。

当这些人不再将网络视为一种独立的风险，而是将其视为“现有风险类别的实现和放大因素”时，关键基础设施面临的网络风险范围就会成倍扩大。如果炼油厂发生火灾或爆炸的非网络风险为X，则在风险计算中包含由网络攻击引起的火灾或爆炸的概率，导致风险为X的倍数。

保险的斗争

在可靠的网络风险相关信息太少的情况下，网络保险市场的保险公司正在努力为网络物理风险找到合适的X倍数。对于以美国为基地的风险，困难部分源于对关键基础设施的网络攻击的数量、类型、严重程度和范围等公开可用的可靠信息太少。企业受害者通常不会公开披露网络物理攻击。同样，美国国土安全部也不会公开披露针对美国关键基础设施的成功网络攻击。这使得保险公司从其他来源评估风险，这些来源的信息可能不准确或不完整。

除了信息太少之外，市场参与者还指出，网络物理风险的三个属性给网络政策的定价和承保带来了困难。首先，网络风险呈现出系统性暴露——网络物理攻击可能在广泛的地理区域和多个经济部门造成广泛且高度相关的损害。劳合社的研究估计，对美国东北部50个发电机的网络物理攻击可能会导致9300万人断电，造成2430亿至1万亿美元的经济损失，以及210亿至710亿美元的保险索赔。相比之下，2012年的超级风暴桑迪造成了大约1000亿美元的损失，而美国2015年的GDP不到18万亿美元。

网络攻击是“无形的”，因为攻击者通常是匿名的，攻击可能几个月都不会被发现。目前，未被检测到的恶意软件和病毒可能就存在于控制基础设施的计算机中。评估损失的随机概率这一传统的核心任务，在面对“未知的未知”时是一个挑战。

风险是动态的。攻击的类型、目标、攻击者的性质(民族国家、恐怖分子、黑客活动分子、罪犯、邻家少年)和他们的动机(间谍/破坏、政治目标、经济利益、好奇心/恶意)都在不断发展。实际上，这种攻击可以通过无限的途径结束，包括网络钓鱼骗局、“水坑”骗局、感染处于开发阶段的工业控制系统软件(Energetic Bear黑客使用的方法之一)、攻击构成不同计算机网络之间接口的互联网交换点、攻击作为物联网一部分的数百万不安全和未加密设备，以及攻击流氓员工的行为。

多重挑战

这些承销挑战也是公司董事会和风险管理人员面临的风险评估和风险管理挑战。

当这些挑战对网络保险市场产生直接影响时，情况尤其如此。保险业的普遍共识是网络物理风险保险不足。劳合社的研究称，假设发电机受到攻击，估计保险索赔不到估计损失的10%。这种网络物理风险保险不足的原因是，在大多数第一方和第三方网络保险政策中，普遍排除了网络事件造成的人身伤害和财产损失。

对于拥有或运营关键基础设施的公司保单持有人来说，在这种保险环境中管理网络物理风险可能需要比平时更大的创造力。

例如，使用专属保险公司可能是一种很有吸引力的方式，可以为第一层网络物理风险提供自我保险。一些保险公司正在销售初级保护层保险，旨在覆盖大多数初级保护层网络保险不包括的财产损失。某些保险公司也在推销条件差异超额保险，这种保险提供了基础保单中不包括的财产损失保险。最后，由于网络保险通常是可协商的，投保人可能会试图协商条款，以完全消除或尽量减少网络攻击造成的财产损失或人身伤害的免责范围。例如，如果火灾或爆炸本身是由网络事件(如电子数据的丢失或破坏或计算机病毒)引起的，伦敦市场的NMA 2915表格为火灾或爆炸直接造成的财产实物损失提供保险。

二次损失

对于不拥有或运营任何关键基础设施，但其运营严重依赖于关键基础设施的公司保单持有人(实际上是公司社区的其余部分)，对关键基础设施的重大网络物理攻击可能会产生深远的不利财务影响。

考虑一下网络物理攻击，攻击者利用其对关键基础设施的操作控制导致该设施爆炸或着火。由此造成的财产损失、人身伤害和经济损失可能是巨大的。由此产生的集体诉讼中的潜在被告很可能包括:基础设施的所有者、运营商、公司的董事和官员(在股东派生诉讼中)、发起攻击的数字设备的制造商、控制系统软件的开发者、提供防火墙和恶意软件保护的安全软件的开发者，以及这些设备的任何其他设计师。具有适当限额的第三方一般责任保险和其他责任保险(如E&O和D&O保险)可能对任何被告的财务健康至关重要。

损失流

不考虑潜在诉讼所带来的风险(涉及第三方责任保险)，受到攻击的关键基础设施上游或下游的公司保单持有人将希望获得第一方损失的保险。

这些损失可能包括财产损失、业务中断或供应商业务中断造成的经济损失、环境损害、为尽量减少业务中断损失而产生的额外费用以及数据丢失。

因此，没有基础设施但可能受到网络物理攻击影响的保单持有人将希望为财产损失、业务中断、偶然业务中断和额外费用提供充分和明确的第一方保险。

新的和加剧的网络物理风险需要投保人更加关注传统的(非特定于网络的)第一方财产和第三方责任保险，以及正在考虑或已经购买的网络保险条款。

特别是当劳合社自己表示，第一方财产保险“通常对是否支付与网络相关的损失保持沉默”时，这可能会导致保险纠纷。劳合社进一步指出，在网络物理损失的承保范围内，“关键领域存在不确定性和模糊性”。关键基础设施遭受网络物理攻击的风险在整个经济领域广泛存在。鉴于这种不断变化和动态的风险，公司保单持有人可能会发现，谨慎地审查其传统的第一方和第三方保险以及网络保险。

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。编辑:乔伊·张，CFE传媒，jchang@cfemedia.com。

在线额外

请参阅下面链接的ISSSourced相关故事。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。