【臺灣資安大會直擊】為何資安保險開始受到企業關注？怡安保險：不只是移轉企業財務損失，更提供因應事件所需框架

隨著企業面臨的資安威脅態勢越來越險峻，一旦受到攻擊，就可能導致嚴重損失，因此，不少企業也開始尋求這種移轉風險的解決方案。在2019臺灣資安大會的議程中，首度有保險業者來談論對資安保險的看法，他們認為，雖然企業購買資安保險最主要的目的，是在於轉嫁資安風險所產生的損失，然而，就像車禍或是火災等事故，實際遭遇網路攻擊時，企業當下也可能會亂了陣腳，不曉得從何因應，因此，在資安保險的服務內容中，應該也要有相關的配套項目，以協助企業妥善處置所遭遇的事件。

許多一般市面上常見類型的個人保險，很多人即使在投保了之後，未必很清楚那些損失能夠得到理賠，又有什麼項目是保險公司不會受理的範圍。資安保險也可能會出現類似的現象，導致臺灣不少企業在精打細算之下，仍然抱持觀望的態度。在2019臺灣資安大會上，怡安保險（Aon）風險管理顧問香港區協理庾燕玲指出，大多數的資安保險涵蓋了5種保障面向，分別是危機處理費用、企業停止營運的補償津貼、緊急額外支應費用，企業應付責任費用、以及罰款相關費用等，而這些面向，正是企業處理資安事件中，所需面臨的重要工作框架。其中，庾燕玲認為，又以危機處理所需的部分，最為重要。

怡安保險（Aon）風險管理顧問香港區協理庾燕玲認為，大部分的資安險承保內容，包含圖中的5種費用或是損失補償，其中又以危機處理費用（Crisis Expense）最為首當其衝。（攝影／周峻佑）

事發後危機處理是資安保險首要支應項目

究竟那些事件是資安保險的承保範圍呢？庾燕玲指出，企業一旦面臨資安事件時，首先就是要緊急因應各種需要處置的層面，保險涵蓋的理賠項目，主要包括了企業聘請資安鑑識團隊、公關團隊，以及法律顧問等3種費用。

針對攻擊事件，企業通常需要委任鑑識團隊，進行調查，才能找出遭受攻擊的範圍，釐清案情，並予以處置。庾燕玲說，小型規模的事件調查，可能就要100小時以上的鑑識專家人力，每個小時計價約300美元到500美元不等，這個部分通常是資安保險理賠的範圍，甚至企業若是在事件發生時，不曉得應該從何找尋鑑識團隊，保險公司多半也會有合作的業者能夠支援。

而在調查攻擊事件如何發生之餘，另一方面，企業所需因應的部分，就是要如何對外揭露、說明。庾燕玲指出，在攻擊發生的當下，媒體甚至可能知道的比當事人還要多，企業要在什麼樣的時間點，並且派出什麼層級的主管出面聲明，還有發布什麼樣的訊息，其實也左右了公司的名聲──要是處置不當，社會大眾對於企業的觀感可能就會因此變差，例如，只由公司的法律顧問出面說明，許多人會認為企業就是單純想要撇清責任，沒有打算正視攻擊事件。因此，資安事件的危機處理，事實上也是相當重要的一環，聘請專業的公關專家協助，也是一筆可觀的費用，庾燕玲說，這種專家團隊到公司服務1至2週，企業需要支付上萬美元的費用，而這部分也可以由保險公司出險。

此外，還有企業遭駭之後，會面臨到各式的法律問題，也可能需要委託律師進行處理，所需的費用同樣是資安保險所能涵蓋的面向。

應留意保障層面與範圍，以及可能不予理賠的情況

資安保險包含了上述的3種事件危機處理費用的理賠之外，庾燕玲還有提到企業其他善後攻擊事件所衍生的費用，涵括營運中斷損失津貼、緊急救助金、企業應付責任支應，以及罰款等4項。其中，出險最普遍的部分，是企業的營運中斷所帶來的損失，以及對於客戶資料的保護承諾，一旦企業所持有的客戶資料外洩，便可能面臨求償。

雖然資安保險的出發點，主要是轉移資安攻擊事件所造成的損失，不過，庾燕玲也強調，保險公司在認定營運中斷的條件上，通常也涵蓋了各種意外情況產生無法繼續營業的情形，像是企業的網站因員工操作失誤而停擺，所導致的營業損失，或者是系統因更新出現錯誤造成停機，保險公司也會出險。

在理賠企業補償營業中斷所造成的損失外，庾燕玲說，資安險保單可能還會提供額外可彈性運用的緊急救助金（通常有上限而且額度不高）。不過，可能會面臨到與國家法律有關的限制：例如，電腦遭遇到勒索病毒攻擊，硬碟裡的資料極為重要，卻沒有其他備份時，企業也許選擇與駭客妥協，支付贖金解鎖，拿回檔案，這時所需的費用，就能透過上述的緊急救助金補貼。但若是位於新加坡的企業，基於當地政府認為不能向惡勢力低頭，庾燕玲表示，即使企業出險，這個項目的款項保險公司也不會給付。

而在攻擊事件的企業應負責任而言，最常見到的是資料保護不周，客戶要求相關的賠償。庾燕玲說，有些員工可能基於某些原因，將客戶資料列印成紙本，或是儲存於隨身碟裡，然後這些紙本文件或是儲存裝置因故遺失（例如掉在公車或是捷運上），導致資料外洩的情況，雖然與網路攻擊無關，但通常也是保單理賠的範圍內。

另一種保險公司可能會承保，卻會面臨法令要求而保單無法支應的，則是國家裁罰的理賠。庾燕玲說，在許多歐洲國家，已經明令禁止資安險保單不能將罰款納入範圍，換言之，就算保單裡有相關條款，在這些國家也形同無效。

企業應釐清資安防護工作與資安保險的意義

固然資安保險的用意，就是要分攤企業遭遇事件時所面臨的損失，但就像市面上的許多保險，有些人會抱存著僥倖的心態，以為購買了保險後，損失有保險公司負責，就不需要防範意外，例如投保車險卻不改開快車、無視交通規則的惡習，使得自己上路出現交通事故的機率大增。庾燕玲指出，同樣的情況，也發生在許多中小企業，以為購買資安險之後就不用做資安，節省相關的建置成本。

庾燕玲強調，購買資安保險不能直接改善企業的資訊安全。畢竟，保險能夠補償損失的方式，就是透過金錢，但公司若是重要機密遭到洩露，很可能導致完全無法運作，或是被競爭對手抄襲後，使得公司不再能夠生存，這樣的情況，往往難以仰賴經濟上的補償而得到復原。因此，在購買資安保險之前，庾燕玲認為，企業還是應該要儘可能維護自己的資訊安全，再向保險公司投保，反過來說，若是相關防護做得夠好，企業也能當作購買資安險時談判的籌碼，向保險公司爭取較低的保費。

一張資安險保單如何促成？首先，在保險顧問公司與企業接洽的過程中，雙方會先確認企業存在的風險範圍與大小，隨後才會進一步與承保的保險公司媒合，討論資安險保單的內容，最後才是達成協議，企業將資安防護無法防範的風險，正式轉移到保險上。（攝影／周峻佑）