블로그

해킹된 세상에서 당신의 책임은 무엇입니까? 보장되어 있습니까?

요약

앱이 데이터 센터에서 클라우드로 이동함에 따라 조직은 불가피하게 완화, 회피, 수용, 전송이라는 4가지 방법으로 위험을 해결해야 합니다. 이 글은 마지막 방법인 위험 이전, 특히 사이버 보험의 필요성에 관한 것입니다. 보안 침해가 흔해지거나 불가피해짐에 따라 보험에 대한 필요성은 기하급수적으로 커졌고, 보험사가 위험을 평가하고 개선책을 권고하는 기술도 향상되었습니다. 모든 회사는 사이버 보험 가입을 고려해야 합니다.

썸네일
2017년 3월 20일 게시

5분 읽다

모든 회사는 사이버 보험 가입을 고려해야 합니다. 당신은 이 과정에서 얼마나 많은 것을 배울 수 있는지 놀랄 수도 있습니다.

몇 년 전만 해도 사이버 보험에 가입하려면 한 가지 양식을 작성하고, 몇 가지 질문에 답하고, 회사가 특정 기준을 따르고 있음을 증명하는 것만으로 충분했습니다. 지금은 그 과정이 훨씬 더 힘들고 강렬해졌지만, 보험 인수인뿐만 아니라 여러분에게도 훨씬 더 교육적입니다. 시간을 내어 사이버 보험 신청서를 작성하면 회사가 직면한 위험에 대해 많은 것을 알 수 있습니다.

이러한 과정을 거치면 전략의 약점과 단점을 드러내는 데 도움이 될 수 있습니다.

오늘의 헤드라인을 읽는 사람이라면 누구나 알 수 있는 위험 중 일부는 데이터 침해, 사이버 관련 사업 중단(DDoS 공격), 사이버 강탈입니다. 이는 기업이 사이버 보험을 모색하는 상위 3가지 이유입니다.

하지만 그다지 눈에 띄지 않는 위험도 많습니다. 예를 들어, 많은 회사에서는 의도치 않게 규정을 준수하지 않는 위험을 상쇄하기 위해 사이버 보험을 이용합니다. 실제로, 규제에 따른 벌금과 과태료를 피하는 것은 기업이 사이버 보험을 구매하는 가장 인기 있는 이유 중 하나입니다. 규정을 준수하고 있다고 믿더라도 "i"에 점을 찍지 못했거나 "t"에 획을 그었을 수 있는 위험을 감안하면 사이버 보험이 보험료를 낼 만한 가치가 있을 수 있습니다. 놀랍지 않게도 미래에 사이버 보험을 가장 많이 구매할 것으로 예상되는 세 산업은 모두 가장 규제가 심한 산업에 속합니다. 바로 전문 서비스, 금융 서비스, 의료입니다.

보험 가입 신청서가 왜 그렇게 유용한가요? 보험사에서는 고객이 꼭 알아야 할 사실, 즉 공격을 포착하고 피해를 제한하기 위한 강력한 전략과 프로세스가 있는지 확인하고 싶어합니다. 회사의 보안 기술, 프로세스 및 정책을 설명하는 과정을 거치면 전략의 약점과 단점을 드러내는 데 도움이 될 수 있습니다. 힘든 시련이지만, 이를 통해 회사는 더욱 강해질 수 있습니다.

보안 점수를 알아보세요

보험 회사에서는 BitSight, SecurityScorecard, 심지어 최근에는 보안까지 포괄하는 자체적인 평가 시스템을 확장한 FICO와 같은 보안 평가 시스템을 점점 더 많이 사용하고 있습니다. 이러한 서비스는 스팸 릴레이, 회사 네트워크 내부의 손상된 컴퓨터, 회사 IP 주소 공간 내의 열린 포트를 포함하여 외부에서 볼 수 있는 이벤트를 지속적으로 모니터링하여 회사 네트워크가 침해되었는지 여부를 알려줍니다.

66만 5천 달러

2013년부터 2015년까지 침해로 인한 평균 비용. 평균적으로 200만 개가 넘는 데이터 손실이 발생했습니다.

신용점수와 마찬가지로 이러한 서비스는 내부 상태, 즉 보안 상태에 대한 외부적인 시각을 제공합니다. 심지어 보안 침해를 감지하고 경영진에게 회사가 경쟁업체와 비교하여 어떠한지 알려주는 데도 도움이 될 수 있습니다.

귀하가 보장 대상인지 아닌지 알아보세요

안타깝게도 많은 회사는 자사 보험의 보장 내용을 제대로 이해하지 못하고 있습니다. 주택 소유자가 주택 보험에서 홍수를 보장하지 않는다는 사실을 알고 충격을 받는 것처럼, 기업에서도 사고가 사이버 보험의 보장 범위에 포함되지 않는다는 사실을 알게 될 수 있습니다.

그러한 이유로 다양한 보장 시나리오를 살펴볼 수 있는 테이블탑 훈련을 실시하는 것을 고려해보세요. 타사 앱의 보안 취약점으로 인해 네트워크가 침해된 경우, 해당 보험 정책에 따라 회사가 보장받을 수 있습니까? 회사 주차장에서 직원 중 한 명이 플래시 드라이브를 집어 자신의 노트북에 넣었는데, 회사 네트워크가 다운돼서 전자상거래 사이트가 작동하지 않게 된다면 어떨까요? 손실된 수입은 보상되나요?

많은 보험사는 보장 금액을 줄이거나 보장 범위에 예외 조항을 포함시키는 방식으로 잠재적 비용을 최소화하려고 합니다. 정책을 평가하고 시나리오를 검토할 때 이러한 한계를 고려하는 것이 중요합니다.

소규모 회사와 공급업체에도 보장이 필요합니다.

NetDiligence Cyber Claims Study 2016 에 따르면, 2013년부터 2015년까지 발생한 평균 침해로 인해 200만 개 이상의 기록이 손실되었고, 비용은 665,000달러였습니다. 연구 결과, 대부분의 손해배상 청구는 매출이 20억 달러 미만인 회사에서 제기된 것으로 나타났습니다.

숫자가 보여주듯이 모든 규모의 회사는 사이버 사고로 어려움을 겪고 있으며, 소규모 조직도 사이버 보험이 필요합니다. 대기업은 공급업체에도 일정 수준의 보장을 요구하는 것이 좋습니다.

마지막으로, 모든 규모의 회사는 공제금이 너무 높지 않은지 확인해야 하며, 손해를 계산할 때 어떤 요소가 고려되는지 이해해야 합니다. 공제금에 해당하여 보험에서 사고를 보장하지 않는 경우, 보장 가치가 없습니다.

사라 바디는 현재 F5 Networks의 위협 인텔리전스 보고 부서인 F5 Labs를 이끌고 있습니다. 그녀는 Demand Media에서 정보 보안 및 비즈니스 인텔리전스 부문 부사장을 역임하고 F5로 이직했습니다. 사라는 Demand Media에서 6년간 보안팀을 운영했습니다. 그녀는 Demand Media에 합류하기 전 11년 동안 Network Computing Architects와 Conjungi Networks에서 다양한 정보 보안 컨설팅 역할을 맡았습니다.