自然災害和網路攻擊等災難性風險需要保險。當一個被保險人受到打擊時，保險公司可以通過分擔風險並提取未受影響的被保險公司的保險費來支付大筆賠付。 

但要使保險發揮作用，需要有一種公平感——保險公司需要確保保險單不被濫用。例如，避免公司申請保單的情況，因為他們預先知道他們將迅速對保單提出索賠。

這些保護措施已寫入保單的條款和條件。然而，對於網路安全保險，這些條款和條件（也稱為細則）正成為一個越來越有爭議的問題，以至於現在圍繞網路安全保險的價值存在有效的問題。

在本文中，我們將討論圍繞所謂的戰爭除外責任條款的問題 - 並解釋為什麼保險公司將這些條款寫入保單細則的事實使網路保險的價值大大降低。

了解網路安全保險

成功的網路攻擊可能會產生真正的災難性影響 - 造成數百萬美元的業務損失，重大聲譽損害，以及最壞的情況是整個組織的關閉。這類災難是需要保險計劃的風險的典型例子。作為溢價的回報，購買網路安全保險的公司理論上應該得到賠償。

成功的破壞性網路攻擊的增加導致了對保險產品的喧囂。例如，一次廣泛的勒索軟體攻擊 - NotPetya - 導致的成本估計在100億美元水準。

對網路安全保險的需求不僅僅是因為損失可能是災難性的。保護組織免受勒索軟體等攻擊的困難也是一個相同的因素。從本質上講，提供針對攻擊的嚴密保護幾乎是不可能的——新漏洞和漏洞的穩定流動很難跟上。換句話說，網路攻擊是一場災難，可以打擊任何組織 - 因此購買保險是明智的。

根據您的保單，您可能會承保網路攻擊的大部分破壞性影響 - 從丟失有價值的數據到因攻擊中斷而導致的收入損失。勒索也可以包含在您的保險中，在這種情況下，如果您最終支付了贖金，您將取回您的錢。

保險金額和保單支付的條件記錄在「保單檔」中，也稱為細則。值得注意的是，細則還包含保單的另一個重要方面——即使您遭受損失，保單也不會賠付的情況。

為什麼細則引起關注

如果您考慮一下，保險公司對保單支付的條件進行一些限制是完全合理的。保險公司需要確保其免受欺詐性索賠和機會主義索賠的影響。

因此，細則並不總是值得擔心的事情——它只是確保合同雙方都得到公平對待的東西。 細則確保雙方都知道對他們的期望，包括投保人根據合同享有的權利。

例如，網路保險政策通常要求公司至少做出一些努力來保護他們的工作負載。為什麼？好吧，無人看守的工作負載是攻擊者的開放目標，如果不採取簡單的預防措施，期望保險支付是不公平的。

這使我們想到了細則中越來越常見的專案，這引起了人們的關注。今天，網路保險單包括一項條款，規定如果攻擊和造成的損害是戰爭或與戰爭相關的行動的結果，保險單將不予賠付。我們現在來看看為什麼這很重要。

戰爭排除增加了複雜性

網路攻擊現在通常是國際戰爭的一部分——國家行為者不僅在物理領域攻擊敵人，而且還通過電子戰攻擊敵人。過去，戰爭除外責任通常包含在保險單的細則中，理由是戰爭是一種災難性事件，如果所有投保人同時就與戰爭有關的損害提出索賠，保險公司將無法作為一家企業生存。

就像普通戰爭一樣，網路領域的戰爭是不分青紅皂白的——任何東西都可能被摧毀，遠遠超出最初的目標。因此，保險公司有正當理由增加免責條款，但特別是在當前的地緣政治環境下，戰爭免責條款導致了一些問題。

準確定義什麼是戰爭，這隻是第一個問題。但還有一個更具挑戰性的問題。您將網路攻擊造成的損害歸咎於誰？網路犯罪分子並不是最容易出現的——攻擊發生，肇事者消失在黑暗中。很難知道誰是勒索軟體攻擊背後的真正參與者。

換句話說，要確定襲擊是戰爭行為還是由於其他原因並不簡單。它是一個國家集團嗎？可能 - 但很難確定。當然，如果它是一個為實現戰爭目標而採取行動的國家團體，保險公司不會因戰爭免責條款而支付索賠。

考慮到網路安全保險索賠的潛在規模，保險公司會試圖通過聲明有理由認為索賠是類似戰爭活動的結果來擺脫支付索賠也就不足為奇了。

您的合同可能會在法庭上受到審查

如果保險公司認為有理由，他們可以單方面拒絕支付索賠。鑒於國家行為者參與攻擊的“機會”，現在保險公司可能會拒絕支付索賠 - 故事結束。至少，根據保險公司的說法。

作為投保人，您可以嘗試與保險公司爭論，但由於損失達到數百萬美元，保險公司很可能會堅持自己的立場。您的追索權：法院。這正是最近許多勒索軟體索賠所發生的事情。

最近成為頭條新聞的一個例子是默克訴Ace American案。默克是一家大型製藥公司，成為與俄羅斯軍方有關的NotPetya襲擊的受害者。保險公司Ace America拒絕了默克公司提出的17.5億美元的索賠，稱該保險被排除在外，因為NotPetya背後的演員是在戰爭行為中追求軍事利益。

默克不接受保險公司的論點，並將Ace American告上法庭。三年多后，法院做出了有利於默克的裁決，判給賠償金。在本案中，法院裁定Ace American的細則不足以明確勒索軟體攻擊與戰爭行為之間的聯繫。它本可以走任何一條路。

良好的網路安全是最好的保險

雖然默克贏得了官司，但保險業也吸取了教訓，這就是為什麼 勞埃德市場協會發佈了一份檔 ，其中包含其成員可以用來收緊與戰爭相關的索賠支付條件的幾個條款。

很可能未來的案件會有利於保險公司，並且被保險公司會發現它對勒索軟體損害沒有追索權。換句話說，您購買的保險可能無法支付。

雖然勒索軟體保險值得考慮，雖然支付保費可能會導致巨額支出，但重要的是要瞭解網路風險政策只能到此為止。保護您的組織免受攻擊是迄今為止您可以做的最重要的事情 - 保險只是最後的手段。

您需要遠遠超出策略的最低網路安全要求。我們的即時修補解決方案 - KernelCare Enterprise - 是您武器庫中應該擁有的眾多工具之一。獲得嚴密的網路安全是不現實的，但您希望盡可能接近，而 KernelCare 是關鍵一步。

從本質上講 - 是的，如果保費合理，請購買網路安全風險保險。但請注意，您的保單將包含細則，這可能會在稍後階段讓您措手不及。