ISACA Journal
Volume 5,  

Translated Articles 

聯網保險-在數位化全球化世界裡轉移 事故風險的挑戰 

Jeimy J. Cano, Ph.D., COBIT Foundation, CFE 

當機構組織進入了國際性的情景,並且運用了IT作業,雖然增加了公司的能見度,但是負面的卻也增加了暴露在來自全球各地的威脅。因為資訊是互聯、活躍實體組織最有價值的一項資產,當運作環境裡的價值產生模式、聲譽、以及和利害關係人的關係存有風險時,就有必要去瞭解公司應該有的需求及責任。

在這種情形之下,就像機構組織應該善盡職責一樣,應該認真地進行風險管理。風險管理是建立一個全盤的架構,當某一個業務區域發生不穩定或問題時,企業應當依照這個架構採取行動及決策。風險管理的策略要考量到國際性的因素,因為這些會影響董事會的展望和預期。

有關於違反資訊安全與擅自使用機構組織IT基礎設備的報告越來越多,這顯示出一個趨勢,越來越多的人或團體進行這種行動的目的是為了吸引人們注意某一個國家或地區的實際情形,另外也有可能是為了金錢的動機。人們開始使用違規的方法造成機構組織科技設備壓力及變弱,也揭示了需要對運作的安全與控制付出更大的注意力。

公司為了使他們的數位活動更具抵抗力所採取的行動及策略,也因為以上的認知讓聯網攻擊者變得易於見知.擅意第三者不但意圖對企業主管造成恐懼、不確定、懷疑,同時也想獲取對關鍵資訊的控制,這樣可以用來作為金錢的目的、敲詐、情報、或軍事行動。這樣結果是,企業變成了國家及區域利益的策略目標。

因而公司的策略性風險管理開啟了新的進程 - 組合全球性、數位性、以及政治性主張,列述了聯網風險的事實。

聯網(cyber)這個專業術語需要被了解,機構組織不但代表商業群體裡的公司利益,但也包含在全球動態情境之中,在這裡商業利益得以呈現。在全球化的世界裡,機構組織可能會受到那些影響並規範各國地緣政治的國家所牽動。企業的活動同時也更有流動性,其原因是因為大量使用了資通訊科技(ICT)及其高度的互聯特性,使得本於數位經濟的交易與關係能對全世界的新興族群提供服務。

聯網保險是一個認定聯網風險的方法,它並且考量了在國際範圍運作下所產生可能的新商業責任。把聯網保險呈現為一個保險選項,其設計並不是用來補償機構組織因為疏於保護資訊與科技基礎設施的義務。

保險的基本觀念

基本上保險操作是對於牽涉第三方利益之特定情形的一種補償策略。在這樣的意義之上,保險方和被保險方之間建立了合約或協議。以可保性風險來說,根據維持雙方關係的誠信原則,可保性風險是保險方在某些條件下的義務,而審查保費是為建立行動的架構以及所需的承諾。

可保性風險是”一個偶發事件,它是突然、不可預知的;不論後果是不是自主的,在它發生及發展的過程中跟人類合理的行為沒有關係”。1 由此可以看出,所謂被保險是一個不適用於個人故意行為的例外條件,並且保障被保險當事人對抗那些事故的後果。

有一點很重要應該注意,就是跟舞弊(即自主行為,故意的有害作為)有關聯的不可保風險。以下事件都是不可以保險的:必然事件(即肯定會發生的事件)不可能事件(即一定不會發生的事件) 過去事件(即己發生且早於最初承保的範圍)被保險當事人獨特規定的事件以及與經濟性犯罪制裁有關的事件。因為這些事件是不可以保險的,所以它們對保障範圍及應支付的保險費是沒有影響的。

要了解可保險利益應該要從損害保險的角度出發,它是連結被保險方與一個事物客體的經濟關係。因為可保險利益是保險合約的主體,所以要記住”幾個可保險利益能夠代表同一人或不同人涵蓋同樣的客體…如果真的發生事件,賠償的條件是不得超過該客體在發生事件時的總價值”。2

當發生事件,即開始適用保險方在條件上的義務(就是必要條件被滿足了),從那個時候開始,保險受益人可以行使要求保險方支付所同意金額的權利。上述的條件提供兩個關鍵要素:強 制執行力與拖延。強制執行意味何時是義務的開始(事件發生時),而這是根據之前同意的補償條件。此外,拖延(已有正式理賠要求的事實,符合基本舉證責任、事件事實、以及金額)是指如果保險方沒有在一個月內回應理賠要求,那將進入違約,而且還會伴隨相關的標的、利息、以及損害賠償。3

最後提到保險費,身為保險合約裡的基本要素,它是把風險轉移到保險方的複雜元素。技術上,它是費率的結果,以保險金額的百分比來呈現。保險費遷涉四個關鍵因子:4

  • 轉移風險的實際成本(危險保費-發生機率的統計分析)
  • 行政成本(包含再保險的成本)
  • 中介成本(媒介保險業務的佣金支出)
  • 期望的利潤

以上這些保險基本觀念是檢視公司在聯網安全景况下新的責任條件之基礎。

出現在21 世紀的公司責任

企業身處高度數位化的環境下競爭,並且在它們的作業之中包含了許多第三方,企業最有價值的資訊依賴有權存取的使用人員正確處理。這呼應在資訊生命週期的運作中,需要各方人員驗證並保證一系列安全及控制的做法。鑒於發生了風險除了會有罰款、賠償、以及監管機關的制裁之外,還可能使機構組織受到聲譽、客戶、競爭力、以及市場方面的損失。在前面的論述之下,損失及/或洩露資訊的風險將成為機構組織極為嚴重的顧慮。這裡意味著沒有妥善的準備和預防,成本和賠償金額可能遲早影響公司的生存。5

資訊已經成為21 世紀新的自然資源,它促使世界上的活動不斷,並且在不同角色之間普遍的分享。為了推動因為可能不當處理造成負面影響的預防性行動,資訊化帶來的風險必須被鑒別與解決。這意味要進行實地查核及保證最低工作標準,在此涉及注意個人的責任、處理資訊時不利 情形的可預測性、資訊安全應有的注意標準、以及一套合理的注意事項,以展現應付可能產生損害的主動態度。6 許多資訊安全缺口的原因是意想不到的,然而從公司正常運作中所辨認出一些最常見的有:7

  • 手提電腦或移動設備遺失或是被偷
  • 擅自將資料傳送到隨身碟設備(USB)
  • 機敏資訊被不當的歸類或分類
  • 資料遭到員工或第三者竊取
  • 員工列印或影印機敏資料
  • 對入侵或安全缺口反應不足
  • 不小心傳送機敏資料
  • 使用較弱或已知的密碼
  • 在公開場合談論機敏資料
  • 擅自監聽通訊的內容

為了這些原因,對於用來行動化公司價值產生模式的電腦處理和互動之資訊作業(無論是公司自行操作或是委由第三方人員),需要一系列新的企業責任。這裡是指在成本效益的競賽中,要了解自從提高自動化的程度後,ICT 將扮演一個基礎的角色,企業因此也將變得更靈活更有效率。但是,這樣依靠資訊科技將會使得機構組織暴露在前面所辨認出的弱點以及安全與控制的失效之中。

在風險管理中有不同的方式來面對風險:接受、減輕、以及轉移。機構組織要了解這個主題的敏感性關係到保護他們自己的利益,並且在執行有關的活動時要隨時放在心上。因此機構組織要定義包含人員、程序、以及科技方面的處理計劃,用來試圖封閉那些已經辨認出的可能缺口,以及降低那些已經分析出的暴露程度。企業同時也要定義風險轉移式的保險,從被保險方的角度來看,對於資料保護要有系統化及有效果的做法。

雖然資訊安全事件的衝擊(有些可以事前辨明而其他的則不斷地演進中)沒有辦法包含在風險分 析中,但是這些事件可能會有麻煩及賠償的情形,那將使得公司在他們減輕及轉移這些風險所做的最佳預測打了折扣。因此,企業的數位生活需要審視風險轉移方案,來對這個事實建立一個更精確的看法,並克服傳統保險在這方面的條件,例如:提供科技服務時的錯誤與疏失、違反智慧財產權、透過電子交易系統竊盜的損失、以及電腦犯罪。8

了解聯網保險

現今,保險單的定義是包含保險合約的文件9 為了建立特定的範圍及限制,它們有不同的分類及名字。在聯網保險這方面,保險單為了識別風險,把它分成”全風險”與”指名風險”。全風險是指涵蓋任何風險的保險利益(除了那些在合約中排除的),或者是指那些在法律上承認而且獲得保險方同意的明示協議。而指名風險所想涵蓋的是經過定義風險的保險利益。10

從被保險方的立場來看,這個傳統制度使用了通常很難理解又連結風險基本定義的合約式風險鑑別,以及一個或多個除外條款。11 除外條款是在那些已經定義的風險情況之下,另外訂立保險方不負其責任的選項。在這種情況之下,聯網保險將處在保險方、提議之保障、以及所定義除外條款三者之間的十字路口,去解決被保險方的需要、要求、與需求。這是因為聯網保險的複雜性,它涉及對人為程序、科技、與法律變數的了解,在這之中根據每一個別案例經過交互溝通後提出結論腹案。

然而,聯網保險的保障範圍包含類似全保險保單的樣貌,例如:12

  • 透過網際網路犯罪的全面責任
  • 財產(資料不被視為財產)
  • 錯誤及疏失
  • 職業責任
  • 董事和主管的責任
  • 雇用實務上的責任(員工的行動)
  • 營運中斷
  • 人員的團體責任(關鍵人物)
  • 關鍵人物的性命保障
  • 儲存媒體責任的保障
  • 忠誠與犯罪責任
  • 網路安全責任
  • 智慧財產
  • 專利權保障
  • 職場暴力保障

主要聯網保險經紀商所建立的保障,都是與財產、竊盜、以及責任有關的。13 圖一提供一個典型的保障摘要。

最近對聯網保險的一些研究顯示,那些被分析過的保障有大幅的演變。 這反應出對聯網風險所展現的複雜度有了更多的了解。最近有一個研究的結論是 - 聯網攻擊可被視為全球政府與機構組織要面對的最嚴重經濟及國家安全挑戰之一。14 有了這個了解,以上的研究詳列了跟這挑戰相關聯的風險因素:

  • 法律責任
  • 資訊安全漏洞
  • 侵犯隱私
  • 聯網盜竊
  • 聯網間諜活動
  • 聯網敲詐
  • 聯網恐怖活動
  • 利潤損失
  • 成本的回收
  • 名譽上的損害
  • 營運持續/供應鏈瓦解
  • 對國家關鍵基礎設備的聯網威脅。

根據以上所述的風險,該研究列出了包含以下的特定保障:

  • 資料隱私
  • 侵犯法規,罰款和處罰
  • 商業網路中斷
  • 對資料的損害以及聯網敲詐
  • 危機管理與對身分盜竊的反應(包含鑑識調查的成本) 。

此外,專長在這方面的研究指出,保險市場在被保險方與保險方之間所呈現的資訊是不對稱的,尤其是較多關注潛在的主要損失(例如:資料與資訊的直接損失、業務暫停),而較少關注在附帶損失(例如:間接損失、信譽下降、優良名稱、顧客信心、策略優勢、顧客流失) 。當發生事故,理賠作業將按照公司在正常運作狀態下的經濟計價(主要損失)來估算,而附帶損失則會根據類似情況的經驗與比照交由主觀來計價。如此則會產生保障不平衡,某些時候會偏向保險方,而其他時候則會偏向被保險方。15, 16

協商這種含蓄的保單是跟除外責任有關係的,除外責任是從保險範圍裡排除的情況或事件,並且清楚的寫明在保單上。這除外責任通常是跟之前說明過的不可保風險有關,包含如1)被保險資產已過時 2)為了被保險方正常運作利益,所特意疏忽或有瑕疵執行的保養工作;以及在合 約裡沒有寫明的商務、產業、或專業活動所造成對被保險方或第三方的損害。17

除外責任是回應管理階層為保證被保險利益的需求,如果是聯網風險它是在機構組織背景下的一個系統性觀點。也就是說,這個觀點包含從 1)機構組織的商業地位 2)機構組織跟社區和利害關係人的關係 3)資訊科技的治理和管理等三個方面,來了解機構組織的各種關係,以便於去明白這種做法所產生的互通性。

結論

機構組織的董事會在檢視公司的策略風險時必須包含聯網風險考量。這個對現代商業動態的意義如果被忽略(其後果在很多國際案例中明顯可見,例如以下這些公司的後果:Target, JPMorgan Chase,Sony,Office Depot 等),可以預見將招致危機狀況,而這些危機狀況一般是未知的,而且處理它需要特別的協調行動以減少傷害的影響。

在這種做法之下,董事會成員不能只熟悉這些新時代的現實狀況18 (通常表現在大型事故及安全缺口),而且還要了解機構組織對於類似情形已經有的準備程度。有必要去建立必要的預防性機制以及長期性保護措施來涵蓋哪些可能會有關聯的和目前行動只保護一部分的各個方面。

每當公司希望限定大規模及協同攻擊(某些是為了敲詐目的或聯網間諜活動)的後果(可能危害公司的策略資訊資產、人才或商業策略的特色以及甚至影響一個國家重要基礎設備的運作),聯網保險顯然已成為被考量為所需要之安全與控制作法的選項。沿著這些路線,聯網保險構成了公司在數位化運作、深度動態整合、以及全球性可見度情境下一個關鍵的無形資產。

聯網保險導入了對於數位生態系統中各種關係的了解,因而得以去理解損失價值可以被允許的門檻。這促進了定義機構組織估算自己最大損失所應考量的事物,並對組成公司相關系列活動訂了一個彈性輪廓。

對於以下這些越了解(機構組織的資訊安全文化、復原與持續營運能力的可用性、對新興業務弱點的知識、以及可能攻擊者的特性),則公司對聯網風險的準備與反應會越好。

聯網保險仍然將根據以下兩點繼續演進1)市場的挑戰與需要 2)導入顛覆性與非傳統性科技的結果。有必要透過認知事故必然發生影響,進而了解保險合約所提議的保障與除外責任,同時保險公司也開始陪同機構組織一起扮演資訊科技、溝通管理、與資訊處理的警戒實體夥伴。

Endnotes

1 Ordonez, A.; Elementos esenciales, partes y carácter indemnizatorio del contrato, Insurance law lesson no. 2, Universidad Externado de Colombia, Bogota, Colombia, 2002, p. 10
2 Ibid., p. 32-33
3 Ibid., p. 48-51
4 Ibid., p. 42
5 Ernst & Young, Data Loss Prevention. Keep Your Sensitive Data Out of the Public Domain. Insights on Governance, Risk and Compliance, October 2011, www.ey.com/Publication/vwLUAssets/EY_Data_Loss_Prevention/$FILE/EY_Data_Loss_Prevention.pdf
6 Triump, I.; “Confronting the Legal Liabilities of IT Systems,” EDPACS: The EDP Audit, Control, and Security Newsletter, 46(2), 2012, p. 11-16
7 Op cit Ernst & Young, p. 6
8 Garcia, K.; “Propuesta de póliza de seguro para el ciber-riesgo en Guatemala,” undergraduate thesis, Universidad de San Carlos de Guatemala, 2009, http://biblioteca.usac.edu.gt/tesis/08/08_0420_CS.pdf
9 Ramirez, E.; Specialization in Insurance course, Universidad Externado de Colombia
10 Ibid.
11 Ordonez, A.; Cuestiones generales y caracteres del contrato, Insurance law lesson No. 1, Universidad Externado de Colombia, Bogota, Colombia, 2001
12 Drouin, D.; “Cyber Risk Insurance: A Discourse and Preparatory Guide,” GIAC Security Essentials Certification, 2004, www.sans.org/reading-room/whitepapers/legal/cyber-risk-insurance-1412
13 Op cit Garcia
14 Carpenter, Guy; Ahead of the Curve: Understanding Emerging Risk, 2014, www.guycarp.com/content/dam/guycarp/en/documents/dynamic-content/AheadoftheCurve-UnderstandingEmergingRisks.pdf
15 Ordonez, A.; Las obligaciones y cargas de las partes en el contrato de seguro y la inoperancia del contrato de seguro, Insurance law lesson No. 3, Universidad Externado de Colombia, Bogota, Colombia, 2004
16 Bandyopadhyay, T.; V. Mookerjee; R. Rao; “Why IT Managers Don’t Go for Cyber-insurance Products,” Communications of ACM, 52(11), November 2009, p. 68-73
17 Generali Seguros; “Generali negocio seguro. Condiciones generales y condiciones generales específicas,” http://62.97.131.36/rep_documentos/phogar/GENERALI-CCGG-COMERCIOS.pdf
18 Rai, S.; Cybersecurity: What the Board of Directors Needs to Ask, ISACA-IIA, 2014, www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Security%20Research%20Report.pdf

Jeimy J. Cano, Ph.D., COBIT Foundation, CFE
Is a research member of the Information Technology, Telecommunications, Electronic Commerce Studies Group (GECTI) of the Law School and a distinguished professor at Universidad de los Andes, Colombia.

譯者: 邵之美, CISA, ISO27001 LA,中華民國電腦稽核協會編譯出版委員會委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2015 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2015,Volume 5 中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2015 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2015 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.