根據英國金融時報 (FT) 最新一篇關於英國資安市場的報導 UK cyber insurance claims tripled in 2024, says trade body,資料顯示,英國市場在 2024 年資安保險理賠總額暴增三倍,達1.97億英鎊,相當於新台幣 80 億元。
而資安理賠事件暴增元兇,主要是勒索軟體與惡意程式攻擊,佔所有索賠的51%。現階段各國資安面臨 AI 帶來的新威脅,攻擊者利用 AI 設計更精密的釣魚郵件,以及更多層出不窮的攻擊手法。不但如此,整體市場也呈現出系統性風險,許多保單存在「除外條款」,監管機構擔憂公司「大規模保險不足」。
根據英國保險業協會 (ABI) 的最新資料,一場網路安全的完美風暴正在醞釀。2024年,英國保險公司支付的資安保險索賠總額高達1.97億英鎊,相較前一年的6,000萬英鎊,激增了三倍以上。
這項資料揭示了一個令人不安的趨勢:隨著網路犯罪集團的攻擊日益猖獗,英國公司正遭受嚴重打擊。
資安警訊是勒索軟體索賠佔比過半
這份調查涵蓋了英國多數大型保險公司。資料顯示,網路攻擊的性質正在發生變化:
報告中顯示,由惡意軟體 (Malware) 和勒索軟體 (Ransomware) 引發的索賠,佔總數的比例從前一年的 32% 飆升至 51%。
更值得注意的是,這份驚人的資料甚至尚未完全計入 2025 年稍早針對 Harrods、Marks and Spencer(瑪莎百貨)等大型零售商,以及製造商捷豹路虎(Jaguar Land Rover)的一系列重大資安攻擊。
其中,捷豹路虎近期的資安事件尤其發人深省,他們並未投保資安保險,而 2025 年 9 月時發生重大資安事件,因為駭客攻擊導致他們的產線一度停擺。
攻擊為何激增?三大關鍵驅動因素
業界專家指出,索賠案件的穩定上升(從2022年第一季到2025年第三季)並非偶然,而是由多種因素共同驅動:
地緣政治的催化是一大因素,業界的網路安全分析師指出,近年來地緣政治的緊張局勢,使得駭客團體更頻繁地鎖定高知名度的公司和關鍵基礎設施。根據富時 100 指數保險公司 Beazley 的核保長 Paul Bantick 表示,雖然有些駭客是為了錢,但許多攻擊是「基於地緣政治,針對特定國家的組織」,目標鎖定基礎設施、能源和鐵路系統,企圖更廣泛地破壞經濟。
再來是AI 助攻,這讓更多的釣魚郵件進入「精準化」狀態, Bantick 補充指出,一個從 2024 年就開始明顯出現的趨勢是,犯罪分子已開始利用人工智慧(AI)軟體來設計更精密、更具針對性的個人化釣魚活動,這使得傳統的資安防禦機制更難以應對。
接著是暗網憑證與供應鏈弱點,英國保險經紀人協會 (BIBA) 執行長 Graeme Trudgill 指出,在暗網上販售的登入和密碼憑證,是公司被入侵的關鍵途徑。他警告:「無論你位於供應鏈的頂端還是底層,都可能成為目標。」
潛在的危機是「保險覆蓋不足」的真相
儘管威脅迫在眉睫,但英國政府在6月發布的一項調查顯示,雖然有45%的英國公司(中小型公司的比例超過60%)擁有某種形式的資安保險,但這背後隱藏著巨大的風險。
許多市面上的資安保險產品存在廣泛的缺口或「除外條款」(exclusions),這意味著公司在遭遇某些重大事件時,例如:
1、因資金轉移造成的損失
2、國家級駭客發動的攻擊
3、可能根本無法獲得理賠。
英國金融行為監理總署 (FCA) 執行長 Nikhil Rathi 對此發出嚴厲警告,他認為公司正處於「潛在大規模保險不足」(potentially massively underinsuring)的狀態。
Rathi 在上個月的演講中以捷豹路虎 (Jaguar Land Rover) 的攻擊為例:「在全球範圍內,只有一小部分的災難和網路風險有被保險。當保險覆蓋薄弱時,最終衝擊的是國庫(Treasury)。這些事件以及對民生的影響,將激起公眾的憤怒。」
誰來買單?業界呼籲政府建立「安全網」
面對可能導致系統性停電的國家級網路攻擊,保險業高層普遍認為,私人保險市場難以獨自承擔如此巨大的風險。
因此,業界開始呼籲政府應為資安保險市場提供,「後備機制」 (backstop),也就是說呢,由政府出面承保最大的損失。他們認為,唯有如此,才能鼓勵私人保險公司擴大其資安保險的覆蓋範圍,填補當前關鍵的保障缺口。
CyberQ 觀察,這份英國的報告不應僅被視為區域性事件。它清楚地顯示出,網路威脅已從單純的「IT問題」演變為嚴重的「經濟與國家安全問題」。隨著 AI 降低攻擊門檻、地緣政治推高攻擊動機,公司必須重新審視自身的資安風險破口,不僅是資安方面的防禦縱深要強化,更重要的是保單上的「除外條款」也要注意,以免發生資安事件時,無法獲得理賠。
首圖由 ComfyUI 搭配本地端 AI 模型生成
