【IT168专稿】笔记本电脑被盗、黑客入侵、磁带在运输时丢失等事件的发生都可能导致数据泄漏。再加上国家披露法规，可能会引发高额费用。

　　网络保险单可以涵盖此类损失，但它们可能非常昂贵，复杂和难以获得，它甚至可能会更加难以确认它们是否真正物有所值。

　　网络保险面纱还未揭开

　　网络保险单大约出现在10年前。当时，人们认识到传统保险仅涵盖了有形损害，但不包括数据丢失。针对最新头条，今天的保险单将重点放在与数据泄漏相关的损失上。这种损失通常包括通知受害者，为他们提供信贷监测和其他"危机管理"的费用，IT风险经理公司总裁Larry Harb解释道。她是密西根州Okemos地区的一名保险经纪人。抵御所发生的诉讼及政府监管行动在其特色保险范围之内。

　　虽然保险范围有所发展，尽管市场上现有约20名不同的运营商，但价格仍然居高不下。Harb回顾了向牙医学会提供的一份总值达100万美元的私隐保险。该协会为每个所储存的人名每年支付1美元的保费。一名既定牙医可能会有4000名病人的档案，每年保费为4000美元。"这比把他们所有其他保险，包括一般的财产和债务放在一起还高，所以他们没有买，" Harb说道。

　　"一家银行所支付的费用将超过一家比萨饼店所支付的费用。但在平均每100万美元的保险范围内，保险费用通常为7500美元至12000美元，" 国家联合火灾保险公司的副总经理Nick Economidis说道。该公司位于美国匹兹堡，是AIG的一个子公司。

　　涵盖网络风险在内的保单，其预期费用为每百万美元收取10000美元至20000美元，芝加哥AON公司的一名主任Kevin Kalinich说道。该公司被认为是世界上最大的保险经纪公司。但加上"误差和遗漏"专业服务，费用将增加一倍，，他补充道。

　　但多变的保单和保险范围明显如其价格一样令人不快。位于弗吉尼亚州费尔法克Sensei公司的总经理Sharon Nelson在回想就网络保险所接触的五个不同保险商时说道："同样的保险范围，而每年保险价格从16，000美元至70，000美元不等。我的感觉是网络保险是一个神秘的世界，所有参保者都不了解。

　　"同样，还有一些关于覆盖范围的问题，" Nelson补充道。"如果能有一个提供咨询的博客，你也许就不能够获得保险范围。70％的数据入侵由内部人员造成，但很多保单只涵盖由内部人员造成的直接损失，而不包括第三方侵害。"

　　对小公司更有利?

　　而小公司则可能在必要的购物比较上准备最少，比大公司相比，网络保险其实更适合他们，剑桥Yankee集团的一名分析师Khalid Kark表示道。他解释道，保险复盖范围太小，很难吸引大公司，但将足以拯救一个小公司。

　　"我从来没有听说过网络保险单提供超过1000万美元的保险，" Kark解释道，"但就大公司的潜在成本而言，由于数据外泄一旦发生，损失极为庞大，故自我投保较佳。" (在一月公布4560万信用卡信息被盗的TJX公司宣布该事件已经造成1700多万美元的损失) 。

　　与此同时，正如纳尔逊指出，自愿购买网络保险并不能保证会有一名保险商愿意卖给你保单，因为保险商们有各自的问题。
　　"约有百分之十( 网络保险申请者)直接被拒，" Kalinich 说道。"另外的百分之二十五支付更高的保费，或在他们的保单中写有保险范围限制或者或有费用。"

　　被拒最大的原因是买方缺乏适宜的政策和程序，例如没有灾难恢复计划，或没有使用监控系统等，Kalinich指出，"我可以告诉你，主要卫生保健和金融机构已经被拒绝了，因为他们没有通过审查。"他说道。

　　"有机构正在寻求能替代所持有适当保单和程序的保险范围，" ACE Professional Risk公司副总裁助理Toby Merrill补充道。该公司是费城的一家保险商。

　　"我寻找非常简单的事情--我希望看到某种能够保护自己的网络及其客户资料的管理权益，" Merrill补充道。"无论在人身安全和数据泄漏事件上，他们必须有一个非常周全的灾难恢复或业务连续性计划。那些想要对公众隐瞒信息，或改变一点点规则以求节省一美元的公司，不是我们感兴趣的客户，我们感兴趣的公司会做正确的事 并承认其所暴露的是什么，" Merrill说道。

　　有些保险商采用如在费城的Netdiligence公司那样的第三方公司来评估申请者的安全措施。NetDiligence公司的领导人Mark Greisiger说道，在做评估时，他所看到的最大的问题是公司没有及时对其环形服务器打补丁以及没有对所存储的数据进行加密。对于零售商，不遵守信用卡业内最起码的一些安全规则 (经支付卡行业数据安全标准)的公司比率达90％，他说道。

　　非常好的做法正在改变

　　Economidis声称他的公司进行自己的评估。"当我们开始这样做时，我们在防火墙方面遇到许多麻烦。随着时间的推移，它变成了灾难恢复计划。他们在这方面做的很好。但今天我们要与我们最大的客户探讨加密技术，"他说道。

　　至于索赔，Merrill表示，迄今为止他所见到的绝大多数都涉及第一方费用，主要用于应急机制，通知被害人以及公关费用。"涉及法律责任的不是很多，但我预想其将会发生很大的变化，因为原告律师在这方面的经验将越来越丰富并更能适应这类问题，"他说道。

　　显然，有很多企业管理者对此看法相同，因为发起者认为网络保险市场正在迅速增长。Kalinich指出，尽管最初有高速发展的预测，但该领域的销售额在十年的前几年中每年缩减一亿美元。随着每日有关灾难性数据泄漏的报道，这一数字在2006年最终上升至300万美元。

　　随后发生了被广泛报道的TJX数据泄漏案，这正是Kalinich预计销售额将比今年翻一番的一个直接原因。"我们已开始接到一些公司的电话，这些公司此前曾表示他们没有必要对此担心－但现在公司董事会已就此进行了询问，"他说道。"保险市场应整体给予TJX公司一笔奖金－TJX可能需要它。" 

　　当号召商店进行网络保险时，"做一份你可能因数据泄漏而招致损失的项目类型清单，然后对所涉及的保单保险范围进行详细比较，" Hunton & Williams驻纽约办公室隐私和信息管理实务的负责人 Lisa Sotto说道。"注意到那些涵盖在保单之内，而哪些不在保单之内，这点非常重要。保单各不相同，而且它们变化很快―兼谈细节，每一份保单的细节都可以谈。但其措辞常常非常厚重，这可能使人很难确定他们最终到底涵盖那些范围。

　　货比三家

　　"网络保险值得一探，但你需要货比三家并交换意见，"Sotto说道。另一方面，她担心许多小企业假定这些网络保险均被涵盖在内，因为这些公司有一般的商务保单。这些保单涉及当他们电脑被损坏所造成的损失，但并不包括来自数据泄漏造成的第三方损害，她指出道。

　　"由于政府监管更喜欢较大的目标，而且通常不会去理会他们，小公司往往过于担忧数据泄漏将给他们造成多少损失，" Kark指出。"他们的恐惧并非毫无根据，尤其在一个管制性的行业或是一家知名公司。网络保险也许适用于这些公司，但在没有银弹的情况下－你必须弄清楚它的潜在成本，并决定购买这种保险是否得当。"

　　然后是最终的保险形式，拒绝。"大多数公司认为这不会发生在自己身上，而这对他们而言并非如此，"尼尔森说道。"他们曾经走运。但正像我们所知的那样，你不可能一直在赌桌上都走运。"