勒索軟體撼動了整個資安保險模型

撰文：David Stinson 孫維德

保險業之所以會出現死亡螺旋，就是因為經濟誘因開始主導風險估計方式。保險可以一邊提高整體資安標準，一邊讓企業自己注意風險，保險一旦崩潰只會帶來更大的資安危機。

2017 年左右，許多人非常擔心幾年前隨「歐巴馬健保」（Affordable Care Act，《平價醫療法案》）而起的健保市場即將落入「死亡螺旋」。該法案禁止保險公司根據既有病史資料，拒絕最昂貴的保單。這項規定結合高度的政治風險，使得醫療保險吃力不討好，目前不知道還有多少保險公司會繼續提供此類保單。

保險業之所以會出現死亡螺旋，就是因為經濟誘因開始主導風險估計方式。當保費上漲、承保條件限縮，風險較低的客戶就會退出市場，只有風險較高的客戶繼續留著。而這會讓保險公司的支出逐漸增加，於是它們只好提高保費，但這只會加劇惡性循環，使得安全的客戶越來越少，最後保險市場只好關門大吉。

歐巴馬健保的動盪最後穩定了下來，但目前的資安保險市場似乎落入類似困境。這類保單的價格暴漲，理賠範圍卻正在縮小，勒索軟體、「戰爭行為」（只要駭客有拿國家的錢就算），還有許多高度相關的威脅，全都不再理賠。此外，申請理賠的過程耗時越來越長，即使滿足某些先決條件，通常也需要半年的時間；因為資安維護程序不當而被拒絕理賠的比例也越來越高。

這些問題中有一些是無法避免的，因為網路資安風險涉及全球，建立財務模型本來就相當困難。保險可以一邊提高整體資安標準，一邊讓企業自己注意風險，保險一旦崩潰只會帶來更大的資安危機。但保險業該怎麼準確評估風險，卻是個大難題。

形式必須符合功能

在某種意義上，保險業的上述變化，並非道德風險帶來的危機，反而可能促進該行業的健康發展。保險公司為了避免風險，本身會再保險（Re-insurer），把保單分給其他公司負責。當再保險的比例越來越高，最初的保險公司就變成了中盤商，而非真正承擔風險的人。但承接再保險的公司，也會因為看不到通常用來計算風險的統計資料，而變得越來越謹慎。

當第一層的保險公司發現風險太大、太抽象，無法完全掌握時，就會使用再保險。保險公司 Verisk 財產請求服務主管 Tom Johansmeyer 在《哈佛商業評論》（Harvard Business Review）的文章中表示，用保險聯結型證券 (Insurance Linked Securities, ILS) 來轉分保單，便可改善保險市場問題。

資安也一樣。程式碼從上到下分為很多不同層次，維安的方式也應該要層層拆分。很多時候我們必須根據要達成什麼功能，來決定要採取什麼形式。

在這方面，某些客戶難以買到保單，其實反而證實了激勵機制正常發揮作用。資安的風險難以量化，但依然有跡可循。研究顧問公司 Forrester Research 最近發現，有投保資安險的公司，通常比沒有投保的更安全。這表示保險公司確實讓客戶注重資安，降低了買保險的道德風險與選擇偏差。也就是說，保險公司拒絕了某些不負責任的客戶。也許我們應該把保險當成一種身份象徵，而非一種權利，每個人在尋求外部協助之前，都應該做好基本的資安維護。

受害人變成加害人

以前我們都假設，購買保單的顧客與保險公司的利益站在同一邊，而且遊戲規則相當公平。顧客如果看守不嚴，被入侵之後受到的損失，會遠遠超過賠償金的上限。因此雙方都沒有動機去濫用規則。但勒索軟體蓬勃發展大幅改變了誘因結構，讓道德風險主導了市場，如今賠償金已經不只是保險公司要支出的成本，而是對犯罪行為的補貼。

這表示建立風險模型的困難一直都沒有解決。我們在模擬複雜現象的時候，都希望自己打造的模型不會改變它所代表的現實。但如果要預估的事件相當罕見，激勵機制的影響就會過大。統計學告訴我們，樣本量小的時候很難推導出先驗機率。只要你賭的次數不夠多，就不可能知道賭局是否公平。

而死亡螺旋就是這樣發生的。勒索軟體成功入侵之後，公司通常會請專業顧問來談判贖金，保險市場就是因此受到影響。談判時，雙方必須建立信任。兇手必須向受害者保證，只要拿到贖金就會歸還資料的存取權。照理來說，背信的兇手日後會拿不到贖金，但很多人繼續背信。

更令人驚訝的是，受害者如果跟兇手打好關係，反而可以降低傷害。資安公司 MindSense 的創始人 Kurtis Minder 指出，稱讚對方的攻擊技術高超，會讓兇手覺得你至少懂一點資安，跟他們有共通語言，因而降低開出的贖金價格。

而當市場力量充分發揮，受害者就能自由選擇，要交保費給保險公司，還是跟兇手達成共同利益。這大幅增加了投保的道德風險，兇手在使用勒索軟體時，通常會用駭客偷出來的資料，事先調查攻擊目標交付贖金的能力。所以從客戶的角度來看，無論是要避免自己受到攻擊，還是為了防止大家的保費最後落到兇手口袋，最好的選擇都是不要保險。

資安的本質是什麼

勒索病毒服務（Ransomware-as-a-Service, RaaS）把事情搞得更糟。這個名詞的出現，代表資安漏洞的增加已經在暗網撐起了一個犯罪市場，攻破漏洞的人和利用金融方式獲利的人已經成為了商業夥伴關係。不過諷刺的是，勒索軟體的市場化（因加密貨幣的出現而更快發生）反而使風險更容易建模。當然扭曲的誘因依然存在，保險公司即使靠著模型準確算出風險，也無法依此訂出有效的保單價格。我們只是更確定被攻擊的風險多高，但完全無法降低風險。

所以到底哪種觀點才對？到底是因為保險沒有跟著資安畫出層次，還是打從一開始就不該推出資安保險？答案取決於資安的概念到底是什麼。

電腦病毒最早來自生物學，作者只是想寫出一種可以自我複製的程式碼。病毒是道德中立的，某些生物病毒不會影響宿主，某些甚至有益。宿主與病毒的演化是大自然的正常現象。許多早期的「社運駭客」也相信他們偷出的資料可以引發物理世界的政治變革，或者事先找出系統的漏洞及時加以防範，讓世界變得更好。

此外，有些物理世界的跨國犯罪會偶爾使用到線上工具，但我們不該為了避免被這種無法預期的犯罪所牽連而投保，這既不道德也不實際。但這也表示法律必須能夠識別哪些人是真正的罪犯，哪些是被牽連的路人。無論如何，法律不該懲罰支付贖金的行為，這會動搖法治制度，而且讓人無法拯救企業，甚至生命。再說若要降低勒索軟體的威脅，就需要相關威脅的最新資訊，如果執法機關與民間的關係逐漸對立，它們勢必更難獲得這些資訊。

要如何保障資料安全，減少駭客入侵？決定的關鍵可能在於我們要根據不同層次的目標分別設計保險，還是妥善引導經濟誘因。（本文作者為台灣金融研訓院特聘外籍研究員；譯者為劉維人）

來源：《台灣銀行家》166 期

更多精彩內容請至 《台灣銀行家》