办公楼业主需警惕网络保险的误解

关键要点

• 许多商业楼宇业主错误地认为，通过一般商业财产保险政策已覆盖网络犯罪风险。
• 安全专家强调，业主需要了解操作技术（OT）的威胁，并检查其商业财产政策中的网络保险覆盖情况。
• 近年来针对建筑自动化系统的网络攻击事件频发，业主需做好网络安全风险的评估。
• 网络保险市场正在快速增长，但并非所有物业都能全面满足保险要求。

在如今的商业环境下，很多商业楼宇的业主可能认为他们的财产通过普通商业财产保险政策已经得到保护，然而，安全专业人士正强调迫切需要纠正这一误解并帮助业主符合网络保险的资格。

根据JLL物业管理集团、红野科技集团和Aon最近的一份白皮书，业主必须了解操作技术（OT）所面临的威胁及其商业财产保险政策中是否包含任何网络覆盖，以防范潜在的灾难性损失。

JLL技术基础设施负责人JasonLund在报告中指出：“我经常与建筑业主交流，他们对OT威胁的风险以及什么得到了保障感到困惑。在过去，业主对这一缺乏理解的调查并不充分。不幸的是，这个问题现在已变得无法忽视。”

实际上，虽然许多物业业主往往将网络安全与信息技术联系在一起，但对建筑内部的OT和物联网（IoT）威胁的担忧日益增加。Lund在周二的一次LinkedIn小组讨论中提到：“已经发生了成功的网络攻击，攻击者控制了建筑的自动化系统。此外，还对客户的喷水灭火系统、门锁以及建筑的通信系统发出了威胁。”

今年早些时候，Intelligent Buildings，一家为房地产业主提供顾问和管理服务的机构，表示一个讲中文的威胁组织正通过微软ExchangeProxyLogon漏洞攻击多个亚洲国家的建筑自动化系统。2019年，ForeScout的研究人员开发了可以通过十种不同的漏洞感染建筑自动化系统的恶意软件概念证明。

如今，网络保险的年保费估计在80亿到100亿美元之间，行业专家表示，由于对保险需求的增加，到2025年这个数字可能会达到225亿美元。据FitchRatings的报告称，网络保险公司在未来几年内预计会因价格上涨和更严格的承保标准而获益，但同时他们也指出网络安全领域的损失将比其他保险产品更为波动。

Aon的董事总经理Joanne Quintal在小组讨论中指出，网络保险是一个困难的市场，很少有物业在保险上能全面合格。

在保险行业，困难市场指的是市场周期的上升阶段，此时保险保费率上升，覆盖范围逐渐减少。自2017年NotPetya恶意软件攻击导致超过100亿美元的全球损失以来，网络保险已经脱离了困难市场周期。

Quintal表示：“在这个（困难市场）环境中，保险公司非常关注评估各个网络安全档案的充分性。如果没有足够的网络安全协议，这种调查工作可能导致买方无法获得充足的保险覆盖。”

为了符合全面的网络保险资格，红野科技的首席技术官DavidCahoon建议物业业主和运营者从风险评估开始。“您必须查看建筑的每个方面，包括访问控制、IoT/OT设备、终端、网络通信、健康和安全以及消防控制。根据这些评估，您可以开始确定安全类型以及您希望在风险减轻方面实现的水平。”

Cahoon和Quintal还指出，物业业主可以专注于开发网络保险公司所期望的特定安全控制措施，如多因素认证、终端检测与响应、补丁管理、安全远程访问、事件响应计划和灾难恢复计划。

了解安全威胁与相应防护措施至关重要，帮助物业业主提前规避网络风险。