menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

雜誌

勒索軟體撼動了整個資安保險模型

台灣銀行家 2023-10-04 08:47


撰文:David Stinson 孫維德

保險業之所以會出現死亡螺旋,就是因為經濟誘因開始主導風險估計方式。保險可以一邊提高整體資安標準,一邊讓企業自己注意風險,保險一旦崩潰只會帶來更大的資安危機。


2017 年左右,許多人非常擔心幾年前隨「歐巴馬健保」(Affordable Care Act,《平價醫療法案》)而起的健保市場即將落入「死亡螺旋」。該法案禁止保險公司根據既有病史資料,拒絕最昂貴的保單。這項規定結合高度的政治風險,使得醫療保險吃力不討好,目前不知道還有多少保險公司會繼續提供此類保單。

保險業之所以會出現死亡螺旋,就是因為經濟誘因開始主導風險估計方式。當保費上漲、承保條件限縮,風險較低的客戶就會退出市場,只有風險較高的客戶繼續留著。而這會讓保險公司的支出逐漸增加,於是它們只好提高保費,但這只會加劇惡性循環,使得安全的客戶越來越少,最後保險市場只好關門大吉。

歐巴馬健保的動盪最後穩定了下來,但目前的資安保險市場似乎落入類似困境。這類保單的價格暴漲,理賠範圍卻正在縮小,勒索軟體、「戰爭行為」(只要駭客有拿國家的錢就算),還有許多高度相關的威脅,全都不再理賠。此外,申請理賠的過程耗時越來越長,即使滿足某些先決條件,通常也需要半年的時間;因為資安維護程序不當而被拒絕理賠的比例也越來越高。

這些問題中有一些是無法避免的,因為網路資安風險涉及全球,建立財務模型本來就相當困難。保險可以一邊提高整體資安標準,一邊讓企業自己注意風險,保險一旦崩潰只會帶來更大的資安危機。但保險業該怎麼準確評估風險,卻是個大難題。

形式必須符合功能

在某種意義上,保險業的上述變化,並非道德風險帶來的危機,反而可能促進該行業的健康發展。保險公司為了避免風險,本身會再保險(Re-insurer),把保單分給其他公司負責。當再保險的比例越來越高,最初的保險公司就變成了中盤商,而非真正承擔風險的人。但承接再保險的公司,也會因為看不到通常用來計算風險的統計資料,而變得越來越謹慎。

當第一層的保險公司發現風險太大、太抽象,無法完全掌握時,就會使用再保險。保險公司 Verisk 財產請求服務主管 Tom Johansmeyer 在《哈佛商業評論》(Harvard Business Review)的文章中表示,用保險聯結型證券 (Insurance Linked Securities, ILS) 來轉分保單,便可改善保險市場問題。

資安也一樣。程式碼從上到下分為很多不同層次,維安的方式也應該要層層拆分。很多時候我們必須根據要達成什麼功能,來決定要採取什麼形式。

在這方面,某些客戶難以買到保單,其實反而證實了激勵機制正常發揮作用。資安的風險難以量化,但依然有跡可循。研究顧問公司 Forrester Research 最近發現,有投保資安險的公司,通常比沒有投保的更安全。這表示保險公司確實讓客戶注重資安,降低了買保險的道德風險與選擇偏差。也就是說,保險公司拒絕了某些不負責任的客戶。也許我們應該把保險當成一種身份象徵,而非一種權利,每個人在尋求外部協助之前,都應該做好基本的資安維護。

受害人變成加害人

以前我們都假設,購買保單的顧客與保險公司的利益站在同一邊,而且遊戲規則相當公平。顧客如果看守不嚴,被入侵之後受到的損失,會遠遠超過賠償金的上限。因此雙方都沒有動機去濫用規則。但勒索軟體蓬勃發展大幅改變了誘因結構,讓道德風險主導了市場,如今賠償金已經不只是保險公司要支出的成本,而是對犯罪行為的補貼。

這表示建立風險模型的困難一直都沒有解決。我們在模擬複雜現象的時候,都希望自己打造的模型不會改變它所代表的現實。但如果要預估的事件相當罕見,激勵機制的影響就會過大。統計學告訴我們,樣本量小的時候很難推導出先驗機率。只要你賭的次數不夠多,就不可能知道賭局是否公平。

而死亡螺旋就是這樣發生的。勒索軟體成功入侵之後,公司通常會請專業顧問來談判贖金,保險市場就是因此受到影響。談判時,雙方必須建立信任。兇手必須向受害者保證,只要拿到贖金就會歸還資料的存取權。照理來說,背信的兇手日後會拿不到贖金,但很多人繼續背信。

更令人驚訝的是,受害者如果跟兇手打好關係,反而可以降低傷害。資安公司 MindSense 的創始人 Kurtis Minder 指出,稱讚對方的攻擊技術高超,會讓兇手覺得你至少懂一點資安,跟他們有共通語言,因而降低開出的贖金價格。

而當市場力量充分發揮,受害者就能自由選擇,要交保費給保險公司,還是跟兇手達成共同利益。這大幅增加了投保的道德風險,兇手在使用勒索軟體時,通常會用駭客偷出來的資料,事先調查攻擊目標交付贖金的能力。所以從客戶的角度來看,無論是要避免自己受到攻擊,還是為了防止大家的保費最後落到兇手口袋,最好的選擇都是不要保險。

資安的本質是什麼

勒索病毒服務(Ransomware-as-a-Service, RaaS)把事情搞得更糟。這個名詞的出現,代表資安漏洞的增加已經在暗網撐起了一個犯罪市場,攻破漏洞的人和利用金融方式獲利的人已經成為了商業夥伴關係。不過諷刺的是,勒索軟體的市場化(因加密貨幣的出現而更快發生)反而使風險更容易建模。當然扭曲的誘因依然存在,保險公司即使靠著模型準確算出風險,也無法依此訂出有效的保單價格。我們只是更確定被攻擊的風險多高,但完全無法降低風險。

所以到底哪種觀點才對?到底是因為保險沒有跟著資安畫出層次,還是打從一開始就不該推出資安保險?答案取決於資安的概念到底是什麼。

電腦病毒最早來自生物學,作者只是想寫出一種可以自我複製的程式碼。病毒是道德中立的,某些生物病毒不會影響宿主,某些甚至有益。宿主與病毒的演化是大自然的正常現象。許多早期的「社運駭客」也相信他們偷出的資料可以引發物理世界的政治變革,或者事先找出系統的漏洞及時加以防範,讓世界變得更好。

此外,有些物理世界的跨國犯罪會偶爾使用到線上工具,但我們不該為了避免被這種無法預期的犯罪所牽連而投保,這既不道德也不實際。但這也表示法律必須能夠識別哪些人是真正的罪犯,哪些是被牽連的路人。無論如何,法律不該懲罰支付贖金的行為,這會動搖法治制度,而且讓人無法拯救企業,甚至生命。再說若要降低勒索軟體的威脅,就需要相關威脅的最新資訊,如果執法機關與民間的關係逐漸對立,它們勢必更難獲得這些資訊。

要如何保障資料安全,減少駭客入侵?決定的關鍵可能在於我們要根據不同層次的目標分別設計保險,還是妥善引導經濟誘因。(本文作者為台灣金融研訓院特聘外籍研究員;譯者為劉維人)

來源:《台灣銀行家》166 期

更多精彩內容請至 《台灣銀行家


Empty