随着移动互联网的深入,企业正在不断拥抱互联网,以求改造提升自身业务。不过,恰恰如此,互联网的便利性也让网络安全事故频发。黑客攻击、数据泄漏等一系列网络安全风险,都对于当今企业的发展提出了新的挑战。近日,一则名为“700元即可采集某知名招聘网站的全国简历信息,招聘网站简历数据泄露风波”的新闻引发了业内关注和人们对网络安全风险的思考。尤其对于以互联网及大数据为依托的互联网+企业而言,考虑如何在健康发展的同时,规避网络安全风险是当务之急。
网络安全风险到底会带来怎样的严重后果?
根据《经济参考报》今年3月报道,企业信息安全事件爆发式增长,年损失超百亿,金融、互联网、工业企业成攻击重点。普华永道的调查报告显示,2015年和2016年,中国内地及中国香港企业检测到的信息安全事件平均数量高达2577起,与2014年相比上升了969%。360、阿里巴巴、腾讯等互联网企业,以及公安部、工信部下属机构的监测数据则显示:2016年监测到的企业信息安全事件数量已超过万起,较2014年增长了近十倍。
典型案例比比皆是。今年2月,某知名云安全服务商被爆泄露用户HTTPS网络会话中的加密数据长达数月,受影响的网站预计至少200万之多,其中涉及打车软件多家知名互联网公司的服务。
如果说这一事件对于企业而言影响很大,但国内普通用户来说可能毫无感知力。但我们同样可以找到那些和普通人紧密相关的重大安全事故。在去年12月,来源于京东的12G的数据包在网络黑市开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。京东方面表示,不法分子利用“撞库”的手段获取了用户信息。
对于普通消费者而言,这种数据泄密无异于从此在互联网上裸奔。而且这些具体案例背后还有很多我们想象不到的一系列严重后果:
1、用户数据泄露,造成严重的数据安全事故,企业在泄露用户隐私的同时也导致企业公信力受损。
2、被黑客攻击之后,经营数据外泄,形成严重的商业泄密,企业容易受到经济损失的同时也给竞争对手可趁之机。
3、给社会造成严重影响,类似于阿里、腾讯、京东这类覆盖全民的互联网企业一旦出现网络安全风险,后果非常严重,会直接导致数亿人受到影响。当企业某项业务突然崩溃时,甚至可能会造成社会层面的恐慌。今年2月,百度搜索引擎崩溃就是最典型的案例,虽说这次事件和网络攻击无关,但却从侧面展示了一旦出现类似问题的结果。
为什么说互联网+急需网络安全保险保驾护航
随着国内企业都在通过互联网提升企业的经营效率,甚至是金融、工业层面上都在和互联网展开融合。各行各业与“互联网+”的融合虽说会给我们的社会生产、生活带来更大的便利,但是却很可能会造成更大的网络安全风险。
1、随着互联网金融、工业互联网的推进,在金融、工业领域出现网络安全风险后,对全民的影响将会更为严重。
在2016年,孟加拉国央行在美国纽约联邦储备银行开设的账户遭受黑客攻击,被转走了1亿美元。孟加拉虽然追回了2000万,但8100万不知所终。几个月后,黑客卷土重来,造成孟加拉、斯里兰卡等6个发展中国家银行资金失窃。这种问题显然会对国计民生造成严重影响。
在金融层面上还只是资金被盗这种问题。如果发生在工业层面上,造成的问题会更严重,像钢铁企业、电力公司如果遭遇入侵,很可能会造成社会运转失调。
2、网络黑灰产业盛行,攻击范围正在不断扩大,大小企业都在成为攻击者的香饽饽。
在很多人看来,可能大企业才是网络攻击者最关心的目标。实际上并非如此,论企业规模大小,只要有利可图, 攻击者都会不遗余力的展开袭击。360补天平台上的活跃的白帽子在2016年每月都能扫出高危漏洞约45.8万个,很多漏洞都会被黑客拿去交易,从中牟取黑产收入。
不仅仅是黑产者,一些灰产“羊毛党”也是如此。国内的“羊毛党”不断用各种手段去薅羊毛,把一些企业用于补贴市场的红包捞入自己的手中,其中的软件制作团伙,专门制作各种自动、半自动的黑产工具,比如自动注册机、刷单自动机等。据不完全统计,全国羊毛党大概有20万人,羊毛党们甚至可以达到每月数万元的收入。滴滴、Uber、饿了么等公司的市场补贴都是他们薅取的对象。大企业对此头痛无比,中小企业更是毫无办法。
根据中国互联网协会发布的《2016年中国网民权益保护与调查报告》统计,仅从2015年下半年到今年上半年,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失就高达915亿元,黑灰行业已经形成巨大的产业链。
与此同时,国内针对这部分风险的保险防范体系似乎还待探索。根据证券日报的报道,从全球网络安全保险市场分布来看,目前美国约占90%,欧洲约占8%,亚太地区占比仅为1%。相对而言,国外相对已经形成了比较成熟的市场体系。美国保险代理和经纪理事会(CIAB)2016年4月数据显示,在保险市场相对成熟的美国,大约有25%的商业投保了网络安全保险。类似保险产品正在从欧美市场逐渐扩散到以中国为代表的新兴市场。
事实上,以美亚保险为代表的保险公司已经在针对以中国为代表的亚洲新兴市场推出面向企业级市场的安全保险业务。其业务主要内容分成三块:
第一块业务主要集中于减少企业因黑客攻击导致正常营业中断而产生的经济损失。保险可以赔偿企业在系统安全失效期间,扣除正常营运开支而损失的部分经济损失。
第二块业务则是在鉴定服务以及数据恢复上。承保那些因聘请鉴定服务顾问证实是否已发生数据安全事故并判断原因,提供避免或降低数据安全事故的建议所产生的费用。
第三块业务则主要是帮助企业承担法律成本,承保依法向资料所有人披露个人信息泄密或数据安全事故所产生的费用及支出。同时还包括修复企业受损名誉,承保向独立的专业公关顾问寻求建议以减轻其名誉受损所发生的费用。
其实纵观三项服务我们会发现,网络安全保险如今的覆盖范围已经比较完善,基本为企业提供了一揽子的解决方案,这类保险虽然在国内很少,但却在促使互联网+行业的健康发展中,发挥着重要的作用。
对于企业而言,网络安全保险避免企业在发生危机时的损失,在企业已经发生安全事故的情况下,网络安全保险可以降低企业的资金损失。具体可以包括由于第三方诉讼造成的损失,以及遭受网络攻击导致服务中断造成的损失。此外危机公关的服务也可以被保险所覆盖。
