据微软估计,已有850万台Windows设备受到影响。CrowdStrike在7月21日发布的声明中确认,已有“大量”的设备恢复在线并运作正常。此前,CrowdStrike于7月19日报告称,故障原因是由于“单个Windows主机的内容更新中发现的缺陷”,并非安全事件或网络攻击。
澳大利亚的企业最早发现了问题,但故障迅速蔓延到世界其他地区。这次故障导致数百架航班被停飞、取消或延误。依赖CrowdStrike系统进行排班的许多医生被迫推迟或取消手术,同时像通用汽车这样的运输和生产公司也遭遇了销售和排程方面的中断,一些直播节目也因此中断。此外,据美国紧急系统称,故障还影响了多个州的911紧急电话线路。更有某些银行由于银行家无法登录其网络,报告称处理交易出现延迟。可以预见,这场全球性事件的进一步后果将继续被报道。
假设最终对CrowdStrike此次事件的评估为该故障并非由安全事件或网络攻击引起,那么从网络安全保险的视角来看,此次事件可能被视为系统或技术故障(许多网络保单通常将其定义为计算机系统的技术故障)。同样,软件错误(根据具体事实)可能会涉及操作错误或编程错误,这些事件如果在保单范围内通常也会得到覆盖。
在评估网络安全保险就营业中断损失和事故响应费用的保障范围时,需要考虑以下几点:
01
许多网络安全保险保单可以保障因投保人本身或第三方供应商系统中断而导致的营业中断损失及对应的事故响应费用,一般保单可以提供的保障额度在50%-100%的总保额之间。基于此,有两个明显的问题需要引起您的注意:(1)根据网络安全保险保单约定的保险条件,CrowdStrike的软件到底是落入投保人自身的网络系统还是属于投保人系统依赖的第三方供应商的网络系统?(2)一旦解决问题1,那么保单将如何响应由于系统故障或者操作、编程失误对投保人自身系统或者其依赖的第三方供应商系统带来的影响?
02
网络安全保险保单在免赔额的部分一般会设置一定的等待期门槛,目前国内保险市场中常见的等待期在18-24小时之间。等待期的设置直接影响了计算投保人营业中断损失的起始时间。
03
不同保单项下对营业中断损失计算方法可能存在显著差异,投保人需要关注营业中断损失计算的“起点”和“终点”。例如,某些保单会从等待期过后(称为“免赔额”基础)自系统首次中断时开始计算损失,即保单覆盖的营业中断损失包含等待期内的损失,而有些保单则只在等待期结束后才赔偿损失,即保单可以覆盖的营业中断损失并不包含等待期内发生的损失。此外,投保人需要特别关注保单对于营业中断损失计算截止的标准,是以投保人系统恢复到物理可运行状态,还是以投保人业务运营恢复到系统中断前水平为止。
04
您的经纪人可以协助您根据上述考虑确定可能适用的营业中断保险保障,并连同您的网络安全服务商计算您的损失。重要的是: a. 记录受影响的系统,每个系统部分和完全恢复的日期,以及每个系统停机对您的运营和收入产生的影响。 b. 记录您的组织需要实施的任何营业中断恢复方案,或者您的员工在面临系统中断为确保业务继续运营而超过正常工作时间的任何额外工作小时数。 c. 最后,详细记录营业中断事件的详细过程,因为保险理赔过程往往需要一定时间,有时在保险理赔过程中可能会发生员工流动,如果不保持详细记录,则可能会丢失信息。
05
我们鼓励任何受到此事件影响(或怀疑受到影响)的客户根据其保单的条款和条件联系WTW经纪团队,讨论保险理赔的相关事宜。在许多网络安全保险保单下,理赔通知是触发保险保障的基本要求,投保人应当尽快调查和完成。
CrowdStrike带来的初始问题已经被识别和隔离,大部分受影响的公司也已经部署了修复措施,但由此事件引起的持续中断还将在未来几周内继续存在。后续很有可能出现网络犯罪分子试图利用声称来自CrowdStrike或Microsoft的钓鱼邮件来实施网络犯罪行为,公司及其员工仍需要对任何可疑通信保持高度警惕。
从更广泛的角度来看,识别、理解和管理与网络安全相关的漏洞应该是每个企业运营弹性战略的一部分——CrowdStrike事件带给我们的启示是:尽管企业可以制定有效的网络安全策略,但对第三方的依赖并不是容易管理的风险。提前做好网络安全风险管理包括通过保险补偿事故发生后的损失是降低处理类似重大网络安全事件成本的最佳方式之一。而当下网络安全事件频发,保险公司也加大了对于投保网络安全保险的企业的风险审核,只有满足特定的网络安全标准才会向对应企业提供网络安全保险方案。
请联系我们,我们会帮助您定制您的网络风险管理方法和风险解决方案,以为您在愈加复杂及不确定的网络环境中保驾护航。
