一般來說,網路保險都有排除條款,而排除條款會包含所謂國家支持的網路攻擊(State-backed cyber attacks),因為這種攻擊會為市場帶來難以承受的損失。資安長在檢視此類排除條款時,首先需要清楚定義「責任歸屬(Attribution)」與「威脅發動者(Threat actor)」等關鍵術語。
不斷創新的科技與技術無疑為生活帶來便利,但也大大提升了資安風險。根據思科《安全成果研究第二卷》指出,超過半數的台灣受訪者表示,現有的網路安全基礎架構並不可靠。因此,企業除了部署資安策略與技術,也應考慮規劃網路安全保險來降低侵害事件造成的影響。
一般來說,網路保險都有排除條款,而排除條款會包含所謂國家支持的網路攻擊(State-backed Cyber Attacks),因為這種攻擊會為市場帶來難以承受的損失。資安長在檢視此類排除條款時,首先需要清楚定義「責任歸屬(Attribution)」與「威脅發動者(Threat actor)」等關鍵術語。
「歸責」指的是先收集網路攻擊事件的證據,並對比過去已知事件的存證,從中找出相似性後進行歸責判斷;「威脅發動者」則是發起網路攻擊的惡意行為者。由於他們大部份很少會顯露真實身份,許多看似追求地緣政治利益為攻擊目的的團體,結果卻是國家在背後贊助或支持。
由於「歸責」易缺乏明確證據及量化的標準,因此Cisco Talos資安情報組織也提出了四點有助於判別的因素:
1.收集鑑識證據:資安長應具備基本的網路環境數據收集、分析、保護與查詢的能力,以保險公司同意之方式採集攻擊的鑑識證據。此外,也須留意攻擊者可能會破壞或篡改證據。因此在阻擋攻擊與蒐集有效證據之間,資安長必須決定兩者的優先順序。
2.定義歸責方式:資安長應制定使用鑑識工具進行歸責的流程,以及將攻擊行為歸責於特定團體的判斷標準。另外,像是思科等主要資安大廠,亦能作為可靠的歸責依據。當有任何人提出歸責建議,可信賴的組織便能透過公開的證據、情報來源及檢驗方式為企業把關。
3.歸責的不定性:曾被視為事實的資訊,有可能在未來被辨別為錯誤資訊,因而改變先前判定的歸責對象。故資安長必須訂定時間範圍,若在預設時段後持續找到相關證據,也不能更改攻擊歸責結果。
4.定義國家支持的性質:資安長應與保險公司共同整理被視為由「國家支持」的威脅發動者及同類組織之名冊。有些犯罪組織可能受到部份國家指揮而被容忍或鼓勵,因此,在確定攻擊事件是否由「國家支持」時,須經過謹慎考量。
大環境的變化需要投注心力與資源適應,卻也為企業帶來更多機會。建立全方位且完整的判別流程會是資安長在未來的一大難題,不過卻也能藉此機會審視網路安全保險條款的細節,並訂定判別問題歸責時的詳細流程。藉此,企業便可以有更多方式控制資安風險,大幅減少伴隨的損害。
<本文作者:林岳田現為思科大中華區副總裁暨台灣總經理>