資安險叫好不叫座 去年僅141張保單

你不知道的個資風暴來襲專題6（中央社記者劉姵呈、吳柏緯台北14日電）企業個資外洩事件層出不窮，但攸關降低風險的資安險推出後卻一直「叫好不叫座」，投保率不僅偏低，去年一整年資安險銷售件數甚至還出現衰退現象。

政府部會及企業外洩個人資料的案件屢見不鮮，曾多次協助私人企業進行網路系統安全檢測、修補漏洞的白帽駭客吉米（化名）說，曾有企業將活動APP委託外面的程式公司設計，但是該公司的資安系統做得非常差，完全沒有嚴密的加密措施，導致發生了資料外洩的情況。後來他跟其他程式設計師臨危受命救火，協助修補了漏洞，並且一併檢視該程式設計公司的其他資安漏洞，才沒有讓情況失控。

中華民國消費者文教基金會董事、律師游開雄表示，個資洩露之後舉證不易，就算受害者向外洩個資的企業求償，依法可獲賠金額也只有新台幣500元至2萬元間，「很少有消費者會為了500元去打一個官司」。

他感慨，也因為民眾沒有立即、明顯的痛苦，即便法律明定賦予民間團體可以打團體訴訟，但個資法2015年底修正，隔年3月施行以來，消基會卻只成立了一個向雄獅求償的團訟案。「立法從嚴、執法從寬」，加上刑度過低，對業者根本沒有嚇阻的效果，沒有壓力，業者根本不會重視資安防護。

資安攻擊已成新常態 資優生都中鏢

根據台灣電腦網路危機處理暨協調中心統計，去年資安通報案例達7639筆，其中還包括去年8月震驚全台的台積電晶圓產線大當機，損失高達52億元，創下台灣有史以來損失金額最高的資安事件；趨勢科技最新分析也指出，變臉詐騙攻擊（或稱為商務電子郵件入侵）所造成的全球損失大幅成長。

隨著企業面臨的資安威脅越來越險峻，一旦受到攻擊，就可能導致嚴重損失，已有不少企業也開始尋求移轉風險的解決方案，資安險應運而生。

資安險的防護主要分為兩方面，一是企業損失風險，例如營業中斷、資料損失、商譽損失等；二是企業第三人責任風險，理賠的範圍包括法律調查、訴訟費用、危機處理公關費等，不同類型的企業，需要的資安防護不同。

以製造業為例，需要防護的是營業中斷，較需要第一種資安險，但對旅行社、醫院等擁有大量個資的機構，資安責任就是比較需要防護的重點。

保發中心表示，目前資安險範圍包括資料保護保險、資料及網路錯誤或疏漏責任保險、資訊系統不法行為保險和資訊服務業專業責任保險。另外，近年來有許多產險公司有推出客製化資安險商品，或針對中小企業開發簡易型資安險，投保流程相對簡易快速。

產險業者表示，資安保險的好處在於，企業可轉移損失外，產險公司也會提供專業資安危機處理諮詢服務。且由於傳統產業導入自動化科技、大數據的時程較晚，近兩年開始較多製造業來詢問，資安防護上較嚴謹的標準金融業反而較少。

資安險保費高 企業先自我防護再保險

值得注意的是，根據保發中心的統計資料顯示，2018年資安險投保件數僅有141張保單、總保費收入是新台幣8907.5萬元，較2017年投保件數303件、總保費收入是6415.7萬元，去年一整年資安險銷售件數衰退，不到前年的一半，保費則增加38.8%。

其中，討論度最高的資料保護保險及資訊系統不法行為2種險種，2018年總件數還不到100件，僅有86件；2017年也僅有43件，顯示企業投保資安險比率仍相當低。

產險業者透露，企業對於資安防護的投資，會先著重強化網路安全、網站架構防護和緊急應變措施，加上資安險的保費不算「親民」，企業通常要花較多時間評估，在精打細算的考量下，仍然抱持觀望的態度。

目前正在規劃購買資安險的電商平台技術長表示，已初步和產險業者接洽，但因為公司正在導入英國個人資料保護標準BS10012認證，未來取得認證之後再去購買資安險，會比較有談判空間，否則相關的費用會太高。

這位擔心公司名稱若曝光，會惹來駭客攻擊的技術長低調表示，資安險的報價會有一系列的評估，包括公司的營運、資安防護等整體評估，再交由精算師精算，因此現在並無法估計要花多少成本。

不過，買了保險不代表就不用做資安，怡安保險（Aon）風險管理顧問香港區協理庾燕玲在2019台灣資安大會上指出，購買資安保險並不能直接改善企業的資訊安全，企業還是應該要儘可能維護自己的資訊安全，再向保險公司投保。

她說，保險是透過金錢補償業者損失，但公司若是重要機密遭到洩露，很可能導致完全無法運作，或是被競爭對手抄襲後，使得公司無法生存，難以仰賴經濟上的補償而得到復原。

庾燕玲也強調，若是企業相關防護做得夠好，也能當作購買資安險時談判的籌碼，向保險公司爭取較低的保費。1080914