最近,刚好帮助哥们咨询了一下 IT 信息安全类的保险。为什么没有信息安全类的保险呢?其实信息安全是可以保的,但是具体怎么保?怎么陪?这些和我们的想象是不一样的。首先从保险公司来说,信息泄漏,密码被盗,网站被脱裤等等事件是没有相对应的险种的(如寿险,交强险),只能往产品责任险去靠。当然保险公司也可以为你设计相应险种,但是这个代价很高,它不会为你一个小公司几亿的保单去开发一个新的险种(新险种要报保监会审批)。所以只有责任险这一种,而责任险的定义和操作与我们IT行业的认知是不一样的。就说理赔这部分,如果网站为它的用户信息,买了上限 100万,单次10万的责任险的话。如果网站被脱裤,确认你的信用卡信息被盗。仅仅被盗是不能理赔的,只有在你发生损失的时候才可以产生理赔,什么叫发生损失呢?只有在你的信用卡确实因为此次网站被盗而被盗刷,比如盗刷10000元,才可以向保险公司理赔,但是这个理赔的举证是困难的,你得证明这个盗刷是因为网站泄露,而不是其他原因造成的。而如果被盗的是用户名,电话,地址等信息,更加无法界定损失和损失的多少,也就无从理赔。所以买这种保险没有意义,对于网站来说它即使买了保险,多半也是为了作秀,并不会给你带来多大的保障。所以目前国内来说,信息安全保险,即使有也没有太大的意义。当然随着社会发展,我相信信息安全带来的风险会逐步增大,公司和个人对预防这种风险的需求也会增大,随着技术的进步,也会相应产生适合且有实际意义的险种出现,当然如果“足够重要”国家也会出台相应险种,如交强险一样。
回复 ( 10 )
因为100%会泄露,这种亏本生意,谁要做
以下是故事:
我有个在线服务很火,注册用户很多,我很在意安全,尤其是涉及到用户隐私。
我遵循「信任的最小原则」与「分离艺术」(参考《程序员与黑客》),对开发运维人员、服务器、域名、文件、服务、端口等都做了漂亮部署与风险监测。为了应对传输过程用户隐私泄露,我们还加了 SSL/TLS 证书。
但千里之堤溃于蚁穴:
我们的一个开发人员把源码搞到了 GitHub 上;
我们的一个运维人员邮箱弱口令被黑;
我们的一个高管被邮件钓鱼,泄露了公司一半隐私;
我们的企业 Wi-Fi 被破解,黑客进入了内网;
SSL/TLS 「心脏出血」了,本以为的安全传输,却直接命中我的用户隐私心脏;
…
某安全公司打出这样的口号「全球最不怕黑客的云服务」,数据用了高强度加密,直接破解确实极难,但是你知道什么是黑客么?从这个云服务的应用层,分分钟搞定明文数据:)
我开的这个在线服务不敢给用户承诺,因为我太了解黑客了,因为我自己就是一名黑客。
虽然我能尽我的努力大大提高黑客成本,但是这也仅是我,像我这样的人太少了。
再说了,几乎没有用户关心这个,关心的那毛毛细雨用户,我根本不在乎。
故事结束。
做信息安全保险的核心难点在于“风险和收益无法精确计算”。
由于信息安全问题的特殊性,导致了以下问题的出现:
1、被保险虚拟物品的价值估算(例如题主说信息泄露,那么个人信息值多少钱?)
2、赔率和费率的计算(发生大规模信息安全事件的概率是怎样的?有没有历史数据?)
3、如何定损和赔付(一旦发生信息安全事件,如何现场勘查和定损?如何赔付?)
4、骗保行为的控制和调查(如何防范用户造假骗保?)
在上述几个问题能得到很好的解决之前,保险公司很难计算出这个险种的收益,而保险产品设计中风险控制与收益计算是核心,做不出模型,就没法设计产品,强行推出也会无疾而终。
第一,信息泄露,怎样算信息泄露?规范在哪里?界限在哪里?同学口述电话号码算不算信息泄露?口述不算,发微博发出去的个人行踪,行踪里提到了你,算不算泄露你的个人行踪?根本就是模糊不清,怎么保险?
第二,赔偿问题,怎样换算信息泄露的保值?Q微信密码和支付宝密码保额是否一样?公司采用明文密码算泄露吗?怎么衡量损失?电话号码和家庭住址和个人行踪,哪个更重要根本就是因人而异,怎么保?
第三,行情不明,根本不知道现在信息泄露风险到底多大,理论上是有信息一定可以泄露,规范不成熟前黑客风险小,收益大,完全看它想不想动手,这么大的风险谁先下水?你吗?
真是那句,绝大多数的问题都是语文问题,第一条都还没有解决,其实我想题主在打信息泄露的时候,其实也不知道自己在打什么。
保个屁。
最近,刚好帮助哥们咨询了一下 IT 信息安全类的保险。为什么没有信息安全类的保险呢?其实信息安全是可以保的,但是具体怎么保?怎么陪?这些和我们的想象是不一样的。首先从保险公司来说,信息泄漏,密码被盗,网站被脱裤等等事件是没有相对应的险种的(如寿险,交强险),只能往产品责任险去靠。当然保险公司也可以为你设计相应险种,但是这个代价很高,它不会为你一个小公司几亿的保单去开发一个新的险种(新险种要报保监会审批)。所以只有责任险这一种,而责任险的定义和操作与我们IT行业的认知是不一样的。就说理赔这部分,如果网站为它的用户信息,买了上限 100万,单次10万的责任险的话。如果网站被脱裤,确认你的信用卡信息被盗。仅仅被盗是不能理赔的,只有在你发生损失的时候才可以产生理赔,什么叫发生损失呢?只有在你的信用卡确实因为此次网站被盗而被盗刷,比如盗刷10000元,才可以向保险公司理赔,但是这个理赔的举证是困难的,你得证明这个盗刷是因为网站泄露,而不是其他原因造成的。而如果被盗的是用户名,电话,地址等信息,更加无法界定损失和损失的多少,也就无从理赔。所以买这种保险没有意义,对于网站来说它即使买了保险,多半也是为了作秀,并不会给你带来多大的保障。所以目前国内来说,信息安全保险,即使有也没有太大的意义。当然随着社会发展,我相信信息安全带来的风险会逐步增大,公司和个人对预防这种风险的需求也会增大,随着技术的进步,也会相应产生适合且有实际意义的险种出现,当然如果“足够重要”国家也会出台相应险种,如交强险一样。
保险公司没办法确定你的隐私是在投保前泄漏的,还是投保后泄漏的。
在投保前,保险公司也没办法肯定你的某条隐私是否已经泄漏。
泻药
在外国不知道,在下只知道在中国搞这个估计内裤都要赔掉。
因为互联网里没有安全的信息。囧
上网没秘密,有秘密别上网
你的想法不错,我们就缺一个程序员了