Yahoo奇摩財經 
金研院看世界-勒索軟體撼動資安保險模型
2017年左右,許多人非常擔心隨「歐巴馬健保」(平價醫療法案)而起的健保市場即將落入「死亡螺旋」。該法案禁止保險公司根據既有病史資料,拒絕保單。這項規定結合高度的政治風險,使得醫療保險吃力不討好,當時不知道還有多少保險公司會繼續提供此類保單。
保險業會出現死亡螺旋,就是因為經濟誘因開始主導風險估計方式。當保費上漲、承保條件限縮,風險較低的客戶就會退出市場,只有風險較高的客戶繼續留著。而這會讓保險公司的支出逐漸增加,於是它們只好提高保費,但這只會加劇惡性循環,使得安全的客戶愈來愈少,最後保險市場只好關門大吉。
歐巴馬健保的動盪最後穩定了下來,但目前的資安保險市場似乎落入類似困境。這類保單的價格暴漲,理賠範圍卻正在縮小,勒索軟體、「戰爭行為」(只要駭客有拿國家支持就算),還有許多高度相關的威脅,全都不再理賠。
這些問題中有些是無法避免的,因為網路資安問題涉及全球各地不同公司,要為這樣的風險建立財務模型本來就相當困難。保險可以一邊提高整體資安標準,一邊讓企業自己注意風險,保險一旦崩潰,只會讓政府訂立更嚴格的規定,限縮整個產業的自由度。但保險業該怎麼準確評估應對風險,卻是個大難題。
■形式必須符合功能
在某種意義上,保險業的上述變化,並非道德風險帶來的危機,反而可能促進該行業的健康發展。保險公司為了避免風險,本身會再保險。當再保險的比例愈來愈高,最初的保險公司就變成了中盤商,而非真正承擔風險的人。但資安領域本身很新,不具備用來計算風險的長期統計資料,而承接再保險的公司也愈來愈謹慎。
當第一層的保險公司發現風險太大、太抽象,無法完全掌握時,就會使用再保險。保險公司Verisik財產請求服務主管Tom Johansmeyer在《哈佛商業評論》的文章中表示,用保險聯結型證券(ILS)來轉分保單,便可改善保險市場問題。
資安也是一樣。程式碼從上到下分為很多不同層次,維安的方式也應該要層層拆分。很多時候我們必須根據要達成什麼功能,來決定要採取什麼形式。
在這方面,某些客戶難以買到保單,反而證實了激勵機制正常發揮作用。資安的風險難以量化,但依然有跡可循。研究顧問公司Forrester Research最近發現,有投保資安險的公司,通常比沒有投保的更安全。這表示保險公司確實讓客戶注重資安,降低了買保險的道德風險與選擇偏差。也許我們應該把保險當成一種身分象徵,而非一種權利,每個人在尋求外部協助之前,都應該做好基本的資安維護。
■受害人變成加害人
以前我們都假設,購買保單的顧客與保險公司的利益站在同一邊,而且遊戲規則相當公平。顧客如果看守不嚴,被入侵後受到的損失,會遠遠超過賠償金能處理的範圍跟層面。因此雙方都沒有動機去濫用規則。但勒索軟體蓬勃發展大幅改變了誘因結構,讓道德風險主導了市場,如今賠償金已不只是保險公司要支出的成本,而是對犯罪行為的補貼。
而死亡螺旋就是這樣發生的。勒索軟體成功入侵之後,公司通常會請專業顧問來談判贖金,保險市場就是因此受到影響。談判時,雙方必須建立信任。兇手必須向受害者保證,只要拿到贖金就會歸還資料的存取權。照理來說,背信的兇手日後會拿不到贖金,但受害者很難知道這次遇到的兇手是誰、以及是否可信。
更令人驚訝的是,受害者如果跟兇手打好關係,反而可以降低傷害。資安公司MindSense創始人Kurtis Minder指出,稱讚對方的攻擊才藝高超,會讓兇手覺得你至少懂一點資安,跟他們有共通語言,因而降低開出的贖金價格。
無論從個人還是整體環境的角度來看,為了避免自己受到攻擊,以及為了防止大家的保費最後落到兇手口袋,最好的選擇都是不要保險。
■資安的本質是什麼?
勒索病毒服務(RaaS)把事情搞得更糟。這個名詞的出現,代表資安漏洞的增加已在暗中撐起了一個犯罪市場,攻破漏洞的人和利用金融方式獲利的人已經成為了商業夥伴關係。不過諷刺的是,勒索軟體的市場化(因加密貨幣的出現而更快發生)反而使風險更容易建模。當然扭曲的誘因依然存在,保險公司即使靠著模型準確算出風險,也無法依此訂出有效的保單價格。我們只是更確定被攻擊的風險多高,但完全無法降低風險。
所以到底哪種觀點才對?到底是因為保險沒有跟著資安畫出層次,還是打從一開始就不該推出資安保險?答案取決於資安的概念到底是什麼。
保險公司不應為犯罪提供投保,這既不道德也不實際。但這也表示法律必須能夠識別哪些人是真正的罪犯,哪些是被牽連的路人。即使法律懲罰支付贖金的行為,人們還是會為拯救企業和生命支付贖金給歹徒,最後反而增加行政成本同時危及法治信任,且若要降低勒索軟體的威脅,就需要相關威脅的最新資訊,如果執法機關與民間的關係逐漸對立,它們勢必更難獲得這些資訊。
要如何保障資料安全,減少駭客入侵,同時也維持自由經營的原則?保險層層轉包的過程,以及誘因結構是兩種不同的經濟力量,哪一種力量會影響保險業的發展,將決定財產權的未來。
(本文譯者為劉維人)
