管理OT网络保险的费用
随着对运营技术的攻击增加,网络安全保险是许多公司风险管理的一个主要方面。强调了防止勒索软件的四项保障措施。
在当今企业的风险管理武器库中,网络安全保险是一个越来越重要的武器。这些受欢迎的政策在十年前还不为人知,但现在却为组织提供了一种至关重要的对冲风险的手段,这种风险规避了常规的评估、规划和缓解策略。
即使是最酷的风险寄存器通常缺乏遗忘的损失事件,如最近的Microsoft Exchange本地产品的开发,或扫妥协18,000个Solarwinds客户. 勒索软件的爆炸式增长,加上利用关键零日漏洞的复杂、资金充足的攻击,使得保险成为任何成熟网络风险管理战略的必备要素。
然而,此类网络安全覆盖中经常被遗忘的元素是操作技术(OT)。尽管对关键控制系统的威胁呈指数级增长,网络保险承销商在更新评级表以纳入日益增长的网络实体风险方面行动迟缓。同样,组织在其总体评估策略中经常不能充分考虑OT和工业控制系统(ICS)风险和基本控制。
随着世界变得越来越危险,特别是对于IT和OT / ICS环境在企业比以往任何时候都更需要高质量保险的时候,网络保险的保费正在飙升,综合政策的资格也越来越严格。
网络保险覆盖成本上升
近十年来,网络安全保险市场发展缓慢。由于买家数量的增加和有限的历史索赔数据,成本仍然较低。然而,在过去三年里,保费大幅上升,与索赔的数量和损失的规模一致。来自咨询公司Marsh McLellan的报告预计2021年网络安全保险费率将提高至50%;未来三到四年,网络保险市场可能会翻一番。
特别是那些与勒索软件和相关业务中断费用有关的索赔,正推动保费飙升。保险公司现在专门限制了对勒索软件的承保范围,以控制他们迄今为止总计超过200亿美元的勒索软件索赔损失。总体而言,马什·麦克莱伦估计,到2025年,网络犯罪的成本将超过10.5万亿美元。
在一份来自安全与技术研究所的报告联合网络保险公司表示,勒索软件攻击现在占了大多数网络安全保险索赔的比例。在2020年上半年,联盟的投保人中勒索软件攻击增加了260%,平均勒索需求增加了47%,达到338669美元。在报告的其他部分,勒索软件事件响应专家Coveware报告说,勒索软件造成的平均停机时间现在已超过21天。
OT攻击凸显了网络物理风险
赎金软件的增长是对OT系统的真正威胁。影响Merck,Mondelez,Maersk等的2017年Wannacry / NotPetya活动是船首昂贵的警告镜头,即梅克等公司近10亿美元,并在肯定和非肯定(沉默)上的约36亿美元的保险亏损。在全球范围内覆盖。
制造业现在是第二大目标产业在金融公司之后,从2019年的第八位上升到第八位。攻击者发现了锁定制造系统带来的利润潜力。最近的袭击事件的例子表明,该行业的工厂日因勒索软件的祸害而损失,这让人大松一口气。
制造业现在是仅次于金融公司的第二大最受关注的行业,比2019年的第八大行业有所增长。礼貌:神韵工业
伴随着攻击的风险,由于有针对性的关闭,工厂会出现严重的停机时间。礼貌:神韵工业
在工业控制系统中,勒索软件攻击的代价甚至更高,如果不支付赎金,就意味着生产损失,如果不支付赎金,还会增加建造或获取新系统的额外费用——或者通常情况下,支付赎金后的恢复不是100%有效。2020年勒索软件成本的增加与对制造业和工业系统的网络攻击数量的增加有关。
平均网络攻击赎金(美元)。Verve工业/Coveware季度勒索软件报告
OT网络攻击的保险风险不仅仅限于勒索软件。网络物理系统具有对物理设备造成损害和威胁人员安全的独特附加风险。
“潜在的物理危险代表着更广泛的网络(再)保险生态系统的一个重大转折点,”一位专家说最近劳埃德关于OT威胁的保险报告警告。“此前,这种风险不可能在传统上以非身体损失的形式产生的网络危险产生保险损失。然而,随着桥梁正在建立在它和OT之间,并且有更多的自动化和更高的威胁演员的复杂性,寻求新的途径创造破坏,事件越来越可能。“
Lloyd的列出了一套适用于不同类别的潜在额外风险:
| 劳埃德的班级业务 | 核心类的潜在可伸缩性 |
| 事故和健康 | 对于任何遭受财产损失和爆炸或爆炸的地点对A&H,医疗费用和PA的潜在影响。 产品召回可能是一个明显暴露的课程,特别是如果有缺陷的组件是故障点。 |
| 航空 | 有限,在情景探索的背景下。 |
| 伤亡条约 | 重大的潜在影响,特别是围绕贡献类,如雇主责任和产品责任。 |
| 芬普伤员 | 大量潜在接触网络,D&O,职业赔偿。 |
| 其他伤亡 | 一些其他类别的可能风险敞口,如一般责任。 |
| 能源 | 根据目标行业,能源和责任可能会受到这种情况的显着影响。 |
| 海洋 | 有限,在情景探索的背景下。 |
| 其他专业 | 工程可以大大暴露。可以想象触发的其他定制产品包括延长保修,法律费用和恐怖主义。 |
| 财产(D&F) | 巨大的潜在风险敞口,可能会对靠近受影响地点的业务造成影响。 |
| 财产协议 | 巨大的潜在风险敞口,可能会对靠近受影响地点的业务造成影响。 |
越来越多的人认识到来自勒索软件和网络物理影响的综合风险,这推动了工业控制系统操作员的比率增加。风险和威胁只会增加。
四种防范勒索软件的措施
网络保险提供商及其保单持有人必须共同努力,确保网络物理系统及其相关风险持续具有成本效益。主要行动项目包括:
1.确定OT网络风险的潜在威胁。保单持有人通常会错误估计网络威胁对其网络物理系统的潜在影响。保险公司可能在不了解其实际风险敞口的情况下提供了“沉默风险”保险。双方都需要更好地了解OT攻击的风险。这需要评估环境的安全成熟度以及不同场景的潜在威胁向量和影响。这样的评估需要一个深入了解资产、网络、政策和程序-然后将这些漏洞映射到影响经济上和物质上都是。
2.开发和监控清除网络安全基线要求。基线要求正在成为IT安全的标准。过去,一些网络安全保险公司将缺乏安全基线要求视为卖点。然而,索赔额的迅速上升正在导致这些供应商的破产。更成熟的保险提供商通常要求客户遵守强大的基线安全实践,这可以显著减少勒索软件攻击造成的中断。然而,在OT中,这些网络基线不太清晰。虽然存在诸如IEC62443等或更多特定OT框架的指导,但保险公司和被保险人需要调整基线,以解决OT系统带来的独特设备、流程和风险。
3.为OT系统管理(OTSM)采取更积极主动的方法。今天大多数网络不是“管理”。它们运行传统操作系统,通常未部署修补程序,备份可能会或可能无效。正式的OTSM是保持有效网络安全保险市场的基线要求。然而,广泛采用OTSM需要在IT-OT领导的心态中发生基础。新的工具,技能和程序将是必要的。
4.收集关键数据到OT网络安全平台。一个全面的安全平台以提供对持续风险的可见性的方式聚合了基线需求的报告。它不足以简单地监控网络异常或者在本地数据库中包含植物级信息。将OT数据集中到一个平台,该平台为风险配置文件提供管理可见性是一个游戏更换器。该管理控制台使投保人能够为保险范围提供正确的权衡。同样,它为保险公司提供了一种有效定价风险的方式。某些保险公司甚至可以为可以通过此类平台确认的更成熟的安全环境折扣。
“作为风险缓解战略的一部分,辛迪加需要监控由弥补IT/OT差距的攻击所产生的风险的相关性,”劳埃德报告指出实际上,辛迪加可以通过为其被保险人建立技术清单来提高认识。这可能包括确定领先的可编程逻辑控制器(PLC)组件,并调查常见工业OT和物联网资产的使用情况。辛迪加将重点放在程序和组成部分上是非常重要的。这应包括IT和OT系统之间的空气间隙程度、风险管理协议(如自动补丁更新)的性质以及已知工业组件漏洞的存在。”
这个故事最初出现在神韵工业的网站。神韵工业是CFE Media的内容合作伙伴。由CFE Media and Technology网站内容经理Chris Vavra编辑,cvavra@cfemedia.com。
