資安保險(Cyber Insurance)的理賠金額正以爆炸性速度成長,英國日前最新報告顯示因為 AI 輔助攻擊加上地緣政治因素,該國資安保險理賠金額暴增三倍。然而,「買了資安保險」並不代表「出了事一定就能理賠」。
在台灣市場,不少公司在採購時仍以「價格」為優先考量,卻忽略了條款細節,這就埋下了未來可能無法獲得理賠的巨大陷阱。
根據台灣產險公會的資料,資安保險的投保產業類別上,2018 年至 2021 年以金融保險業投保占比最高,2022 年起電腦及週邊設備業、半導體業之保費收入已超過金融保險業,科技業相關對資安保險的重視程度已經上升,近年駭客攻擊科技產業的事件亦時有所聞。目前台灣市售的資安保險相關產品,有因應大型公司的客製化高價資安保險外,也有針對中小型廠商投保資安相關的保險產品,包括:
資訊系統不法行為保險:針對受到第三人不法入侵電腦系統,導致資金或其他財產損失之保險。
資料保護責任保險:針對個人資料外流產生對第三人依法應負之賠償責任之保險。
資訊安全綜合保險:針對遭受網路攻擊、電腦勒索或管理錯誤行為等產生的財產損失,與對第三人依法應負賠償責任之保險。
以下是 CyberQ 整理的台灣企業在投保資安保險時,最容易忽略的六大關鍵條款。
陷阱一:戰爭除外條款(War Exclusion)— 台灣的灰色地帶
這是目前台灣公司在資安市場面臨最大、也最模糊的風險之一。
條款內容: 幾乎所有保單(不僅限於資安保險)都會有「戰爭、軍事行動、恐怖主義」的除外責任。
近年來,國際間多起與「國家支持的駭客攻擊(State-backed Attacks)」有關的案件,皆引發理賠爭議。
為何是陷阱?
若台灣公司遭受攻擊,而保險公司主張這是由「敵對勢力」或「政治動機駭客(APT 團體)」發起的「準戰爭行為」,便可能援引戰爭除外條款拒賠。
目前尚無台灣判例明確界定這類情形,但風險可能會存在。
以常見的資安保險合約為例,通常會有針對戰爭及恐怖主義的條款內容,主要會提到「因為或基於任何型態的戰爭、恐怖主義或暴動所致之賠償請求。」是不保的,但是呢,現在很多和約會加上,「本除外不保事項不適用於本保險契約的「網路勒索」及「網路攻擊」,也就是說碰到這兩種項目或其他有提到的除外不保事項,還是會給公司理賠,因此都要注意是否有這個條款來補救,不然現在很多網路駭客攻擊的案件,發動方常常是 APT 團體或者是某些國家的國家級駭客在攻擊。
CyberQ 建議:
在投保前主動詢問業務員:「若遭國家級駭客攻擊,是否屬承保範圍?」同時確認是否有我們前述到「針對政治動機或國家支持攻擊」的特別除外條款。
陷阱二:未盡注意義務(Due Diligence / Reasonable Precautions)
這是保險公司最常用來拒絕理賠的「尚方寶劍」。
條款內容: 保單會要求公司必須採取「合理」或「應盡」的資安防護措施。
但「合理」的定義模糊且主觀。
為何是陷阱?
保險公司會在理賠調查階段審查公司的實際防護情況,例如:
重大漏洞未修補: 例如 Log4j 曝光數月後仍未修補。
MFA 未全面實施: 投保申請書勾選「有多因素驗證」,但實際僅部分帳號使用。
備份未測試: 雖有備份系統,但從未演練還原,導致事故時無法恢復。
這些都可能被視為「未盡注意義務」,成為拒賠理由。
CyberQ 建議:
保單是「期末考」,但平時資安維運才是「期中考」。
企業應確保申報資料真實可驗證,且在投保前進行資安健檢。
目前「先健檢,後承保」已成主流,像富邦產險、明台產險等皆要求投保前完成外部弱點掃描或資安評估報告。
陷阱三:勒索軟體贖金(Ransomware Payment)的給付條件
公司投保資安保險的最大動機之一就是防範勒索軟體攻擊,但贖金理賠條件往往充滿限制。
為何是陷阱?
不得自行談判: 被駭後不得自行與駭客聯繫或支付贖金。保單通常要求「立即通知保險公司」,由保險公司指定的「談判專家」接手。若自行處理,可能全額拒賠。
不保證支付: 承保「贖金」不代表一定支付。若駭客地址列入 OFAC 制裁名單,保險公司可依法拒付,只支付「資料重建費用」。
幣值波動風險: 贖金多以加密貨幣支付,匯率波動損失若未事先約定,保險公司可不予承擔。
CyberQ 建議:
確認保單是否規定需「事前書面同意」才能支付贖金,並了解加密貨幣支付相關風險。
資安保險不是「付錢就解鎖」的萬靈丹,而是風險管理的一環。
陷阱四:保單追溯日(Retroactive Date)
條款內容: 保單只理賠在「追溯日」之後首次發生的攻擊事件。
為何是陷阱?
許多 APT 攻擊在被「發現」之前,已潛伏系統數月甚至數年。
假設公司於 2025 年 11 月 1 日投保,而追溯日也是同一天。
若於 2025 年 12 月發現勒索軟體攻擊,但調查後確認駭客初始入侵點在 2025 年 1 月(投保前),保險公司可依條款拒賠。
CyberQ 建議:
確認保單是依「發生日」或「發現日」理賠。
爭取「追溯日等同首次投保日」,並在續保時維持追溯日不變。
陷阱五:供應鏈與委外風險(Contingent BI / Vendor Risk)
台灣製造業與科技業最容易忽略的連鎖效應。
條款內容: 傳統資安保險僅保障「被保險公司自身系統」的損害。
為何是陷阱?
現代企業高度依賴外部供應商與雲服務,例如:
AWS、Azure、GCP
SaaS(如 Salesforce、Microsoft 365)
代管服務商(MSP)
金流或物流 API
若是供應商(如 Kaseya 事件)遭駭導致你公司中斷營運,有的保單並不理賠。
CyberQ 建議:
確認保單是否含有「委外服務中斷」或「連帶業務中斷 (Contingent Business Interruption)」條款,並確認第三方服務商攻擊造成損失是否承保。
陷阱六:賠償範圍的認定差異
為何是陷阱?
公司心中的「損失」與保險公司認定的「損失」往往是有些微不同的。
硬體 vs. 軟體損失: 若 Wiper 攻擊導致硬體變磚,部分保單僅賠「資料還原費」,不含重購硬體。
商譽損失: 保單多只理賠「公關危機處理費」,不賠「股價下跌」或「客戶流失」。
營業中斷起算點: 多數保單設有 8–24 小時「等待期」,這段時間的損失需自行吸收。
CyberQ 建議,仔細確認是否承保:
硬體更換費用
資料重建費用
營業利潤損失
公關與法律顧問費用
若這些未明列,出事後理賠爭議機率會變高一些。
台灣資安保險市場現況
在台灣,資安保險並非新產品,但在勒索軟體與個資法執法趨嚴的雙重壓力下,需求激增。
根據產險公會統計,資安保險保費收入已從 2018 年的 8,900 萬元,成長至 2024 年的 5.3 億元以上,增幅近五倍,顯示市場迅速擴張。
目前市場上已有超過 16 家產險公司推出不同型態的資安保險,其中以下幾家為主要與較早投入者,其餘還有更多資安保險可以再多比較:
富邦產險(Fubon Insurance):與資安廠商合作導入事前健檢與外部曝險管理。
國泰產險(Cathay Insurance):推出企業資訊安全保險,涵蓋第三方責任與自有損失。
明台產險(MSIG Mingtai):針對 SME 推出「資安の好險 Plus」方案。
華南產險(South China Insurance):提供《資訊安全綜合保險》,承保網路入侵與個資外洩。
凱基保經(KGI Insurance Brokers):提供病毒攻擊、勒索贖金、鑑識費用、法律抗辯、第三方責任等範圍的資安保險方案。
台灣資安保險的兩大市場區隔
大型企業:「客製化」綜合型保單
主要提供者: 富邦產險、國泰產險等。
適合對象: 上市櫃公司、金融機構、大型醫療與高科技製造業。
保額區間: 新台幣 500 萬至上億元。
承保範圍(一般包括):
第三方責任(隱私責任、安全責任、PCI-DSS 罰款)
自有損失(勒索贖金、營業中斷、資料重建)
危機處理費用(鑑識、律師、公關、客戶通知)
核保條件嚴格: 需提交資安健檢報告、MFA 實施證明、EDR 部署情況等。
中小企業:「平價型」簡易方案
主要提供者: 明台產險、華南產險等。
適合對象: 診所、零售業、小型電商等中小規模企業。
保額區間: 數百萬至數千萬不等,保費通常僅需數千至數萬元。
承保重點:
以「個資法合規」與「危機應變」為核心,保障重點多在:
鑑識費用
法律顧問費
客戶通知與公關費用
多數不含或僅部分涵蓋:
勒索贖金
營業中斷損失
優點: 投保門檻低,可確保「第一筆應變資金」聘請專家協助。
市場新常態與投保趨勢
「先健檢,後承保」成主流: 富邦、明台等業者已要求結合資安顧問服務。
MFA 成為必選題: 若公司未導入 MFA,保費可能顯著上升甚至無法承保。
個人資安險尚未普及: 富邦曾推出個人資安保險,但目前市場仍以法人為主,個人部分多由信用卡或銀行機制涵蓋。
參考海外資安保險理賠現況
鑒於台灣資安保險理賠的數量和案件金額還不夠多,且有的公司發生資安事件並沒有很明確地公開完整資訊,若我們以海外資安保險理賠數量的資料來看,根據 Coalition 2025 年最新資安保險理賠報告,2024 年的多數理賠 (60%) 源於商務電子郵件入侵 (BEC) 和資金轉移詐欺 (FTF) 事件。
2024 年,來自威脅行動者的勒索贖金要求有所下降,平均要求金額為 110 萬美元,YoY 下降了 22%。值得注意的是,2024 年下半年的平均要求金額在兩年多來首次降至 100 萬美元以下。在所有勒索軟體理賠中,Akira 勒索軟體是 Coalition 保單持有人中最猖獗的變種,佔 2024 年理賠的 13%。Black Basta 變種僅佔所有勒索軟體理賠的 3%,但其要求金額最高,平均為 400 萬美元。
以 2024 年來看,該機構與產業通力合作成功追回了 3,100 萬美元,平均追回金額為 278,000 美元。從第一手經驗顯示,迅速報告 FTF 事件的保單持有人有更大的機率追回損失,保險公司如果有這類條款,如客戶在初次詐欺轉帳後的 72 小時內報告 FTF 事件,即可享有較低的自付額,鼓勵各家公司迅速採取行動以提高追回機率。
他山之石,可以攻錯,也值得在各地市場的公司們在評估資安保險和通報事件時參考。
CyberQ 觀點:重新評估自己的資安保險需求
資安保險的重點,已從「事後理賠」轉變為「風險管理服務綁定」。
企業應將其視為整體防禦策略的延伸,而非萬靈丹。
投保前請確保:
已完成定期資安健檢與弱點修補。
MFA 與 EDR 全面實施。
備份機制與復原演練常態化。
明確了解保單除外條款與追溯日期。
唯有如此,資安保險才能發揮真正價值,而非在危機發生時才發現,「買了,卻理賠不了。」
如果有關於資安合規性要求與相關專案需求,歡迎聯繫我們。
本文題圖由 ComfyUI 搭配本地端 AI 模型生成
