企業被詐騙,有保險可陪嗎?
企業資安必讀》商務電郵網路釣魚,專騙執行長、財務長,詐騙金額是勒索軟體的 8 倍!如何降低財務損失?一文讀懂資安保險如何理賠
台灣一直被認為是友善、開放、好客有禮的地方,加上完善的健保制度及合宜的物價指數,多年來一直被票選為全世界合宜定居的環境之一。然而這樣的台灣近年來卻一直籠罩著一片揮之不去的烏雲,那就是詐騙。
不只是一般個人受到詐騙集團的嚴重威脅,近幾年來企業遭受網路詐騙的事件更是層出不窮!
每一位公民對其個人資料享有自主控制之資訊隱私權,受憲法 22 條保障。《個資保護法》針對個人資訊之蒐集、處理或利用,建立一般性的法律框架,然而針對消費者之個資保護仍有極大的改善空間。
相較來說,歐盟有最嚴格的個資保護法:《一般資料保護規則》(General Data Protection Regulations, GDPR);美國加州於 2018 年通過《加州消費者隱私法 》(The California Consumer Privacy Act, CCPA),2020年 11 月通過《2020 年加州隱私權法》(The California Privacy Rights Act of 2020,CCPA 2.0)遂取代 CCPA。
今年七月,金管會公布今年以來至五月底,接獲民眾陳情投資詐騙案件共 250 件,主要可分為四種類:
一、偽造名人粉絲專頁
二、Line 群組推薦飆股勸誘買賣
三、邀請加入詐騙金融商品交易平台 App
四、虛擬通貨交易平台誘騙投資
這類誘導投資詐騙,經常透過 Google 及 FB 兩大社群媒體網站進行廣告投放,其中 Google 投資詐騙廣告件數下架率高達 91%,FB 之下架率更高達 95%。
網路詐騙種類
當今網路詐騙常見的有所謂『網路釣魚』(Phishing)、『社交工程』(Social Engineering)、『商務電子郵件入侵』 (Business email compromise ,BEC)又稱為『變臉詐欺』。
根據英國國家網路安全中心(National Cyber Security Centre)定義為,『商務電子郵件入侵』(以下簡稱 BEC):「BEC 是網路釣魚攻擊的一種型式,不法分子試圖誘騙高階管理者或掌握預算之人轉移資金或洩漏敏感信息。」
美國聯邦調查局 FBI 則將 BEC 定義 為:「BEC 是一種複雜詐騙攻擊,同時針對企業與個人誘使執行資金轉移。」所謂「個人」(individual)一般都是高階主管或被授權匯款之人。「網路釣魚」是廣義社交工程的一種,針對不特定人,例如虛假網站、一頁式購物平台等等,以願者上鉤方式進行詐騙,因此被稱為“Phishing”。
「社交工程」主要透過社交、交友的方式,如社群媒體,包括 Line、FB、 IG,先成為線上好友再進行詐騙,其目的 包括但不限於獲取錢財、帳號、個資及其 他有價值的資料。例如,先互相成為網路上的朋友,再進行情感欺騙,最後以可代為投資、獲取暴利,或雖擁有資產卻急需現金應急等理由要求匯款。
企業注意!商務電子郵件入侵
BEC 則是以企業為詐騙對象的詐騙手法,透過介入商務郵件的往來,假冒某種特定身分獲取不法利益,例如:竄改收款的銀行帳戶資料檔,提出以假亂真的匯款請求,導致受害者直接匯款給犯罪組織。
至於介入商業郵件的手法有以下幾種:一、 入侵郵件伺服器,二、入侵員工電腦,三、 入侵員工手機,四、社交工程(包含釣魚郵件)。
近來因為 Covid-19 疫情使得 BEC 進化到另一個意想不到的發展,利用線上會議工具發動 BEC 攻擊。線上會議平臺包括以聲音、視訊、螢幕共享及 webinar 等形式進行,依據 FBI 指出,從 2019 年到 2021 年,FBI 接到 愈來愈多與線上會議有關的 BEC攻擊者通常是冒充公司高層或部門主管,例如 CEO、CFO,透過冒名電子郵件進行誘騙,致使匯款到不法分子的銀行帳號。
依據「FBI 最新網路犯罪報告」(2022 FBI Internet Crime Report),自 2015 年連續七年 BEC 居經濟損失的主要原因,2022 年損失總計超過 27 億美金(如表一),與去年同期相比成長 14.5%,每次 BEC 攻擊的件均損失金額超過 12.5 萬美元(如表二),自 2015 年以來增長了 300%。
談到網路犯罪就不能不提到「勒索軟體攻擊」(Ransomware attack),依據「2022 安聯風險晴雨計」(Allianz Risk Barometer 2022)全球企業營運風險排名,第一名是網路安全事件(Cyber incident),勒索軟體攻擊是所有網路安全事件中占比最高的,其次就是數據外洩(Data breaches)。(如表三)
然而企業實際損失金額,BEC 卻遠大於勒索軟體攻擊;網路安全專家 Ryan Flores 曾 統計指出,由於 BEC 的詐騙金額是勒索軟體攻擊的 8 倍左右,故被戲稱為「投資報酬率最高」的網路詐騙。 個人遭受網路詐騙,不論是網路釣魚或社交工程,其金錢損失是無法藉由保險給付轉嫁的,然而企業遭受網路詐騙,卻可以透過正確的保險規劃,降低財務損失。
直接聯想到的正是目前最受關注的資安保險(Cyber insurance),過去三年資安保險理賠案件明顯增加,一方面由於資安保險的普及,另一方面是「勒索軟體攻擊」成長了 50%;2021 年上半年的理賠件數已經等於 2020 年全年,尤其是大型企業及其供應鏈,成為首要攻擊目標,也導致營運中斷損失翻倍的增加。
所幸由於網路安全意識及企業韌性的提高,勒索軟體攻擊有趨緩的現象。
完整的資安保險保障範圍
一、隱私責任(Privacy Liability),例如不當洩漏個資依法應負之民事賠償責任以及相關抗辯費用。
二、網路安全責 任(Network Security Liability),未能阻止網路惡意攻擊產生之抗辯費用及民事賠償責任。
三、事故應變費用(Incident Response Costs),顧名思義是指網路安全事件導致的必要費用,例如鑑識調查 (Forensic Accountancy)、 客服中心(Call Centre Service)、通知 (Data Subject Notification)、信用監控(Credit Monitoring )、身份恢復(Identity Restoration)、 公關費用及法律諮詢等。
四、網路勒索(Cyber Extortion), 當遭受勒索攻擊時,修復系統漏洞或防止機密訊息外洩而產生的費用及給付勒索金。
五、數據損失(Data Asset Loss), 數據被竄改或被破壞而產生的恢復費用,例如移除惡意軟體、重建數據、 辨識及修復程式設計錯誤之支出。
六、營運中斷(Business Interruption),惡意軟體、駭客攻擊、未經授權使用或登入、阻斷服務攻擊、人為錯誤、 造成的營業收入損失及相關恢復費用。
回到本文重點,面對日益嚴重的 BEC 詐騙,企業如何妥善規劃正確保險轉嫁風險,降低淨財務損失(Net financial loss),確保企業獲利及保障股東權益?
發生在美國的真實案例
SJ 電腦公司(以下簡稱 SJ)固定向多家不同供應商訂購電腦設備,一般訂購流程如下:首先 SJ 的採購經理會向供應商發出採購訂單,於是供應商依照訂購設備之成本開具費用發票,之後採購經理確認該發票之正確性後,email 轉寄至 SJ 之 CEO,最後 CEO 在收到採購經理的發票之後,向供應商指定銀行帳戶電匯付款。
2021 年 3 月,不法份子用電子郵件寄出假發票給 SJ 採購經理,據稱是來自一個現有的供應商“ERI Direct”(Electronic Recyclers International Direct)。 這張假冒發票提供與 ERI Direct 過去 不同的銀行帳戶資料,不法份子在寄出假發票之後,侵入採購經理之 email 帳號,將此假發票轉寄給 SJ 之 CEO,最後 SJ 依此發票指示匯款至犯罪分子的銀行帳號。
當 CEO 收到假冒採購經理 email 轉寄假發票時,曾致電 ERI Direct 確認銀行帳戶變更,但沒有人接電話,最後 CEO 留下語音訊息。
然而在付款期限截止前沒有任何人回電給 SJ 之 CEO,CEO 在 與ERI Direct 通話確認之前,即依發票之匯款指示,分二次轉帳付款總金額 $593,555 美元。幾天後 SJ 發現被詐騙,不法份子已經將該筆匯款提領走,這是一個非常典型的 BEC 詐騙。
由於之前 SJ 向旅行者產險公司 ( Travelers Causality and Surety Company of America,以下簡稱 Travelers)投保「 犯罪保險 」(Crime insurance),保單條款中有二項保障約定:
一、因為「社交工程詐騙」(Social Engineering Fraud)之損失,每一單一 賠償上限 100,000 美元,
二、因為「電腦詐騙」(Computer fraud)之損失,每一單一賠償上限 1,000,000 美金。
因此 SJ 向 Travelers 提出犯罪保險理賠申請,但 Travelers 認定此一網路詐騙屬於社交工程詐騙引起之損,,並非電腦 詐騙引起,因此理賠上限給付 100,000 美 元。 然而 SJ 主張此事件屬於電腦詐騙導致, 因此 Travelers 應該理賠實際損失 $593,555 美元。
任何保險均依保單條款約定要保人 (Policy holder) 及保險人(Insurer) 雙方權利義務,本質上保單是一份合約。 那麼 Travelers 的犯罪保單條款是如何區分「社交工程詐騙」與「電腦詐騙」?
犯罪保單中「 電腦詐騙 」 定義: “an intentional unauthorized, and fraudulent entry or change of data or computer instructions directly into a Computer System”,意即「未經授權意 圖非法登入電腦系統,直接改變數據或電腦指令」才符合電腦詐騙之定義;並且與 「社交工程詐騙」的保障約定一樣,將「員工及經授權之人所為之改變或登入」列為除外不保事項。 原文如下“such entry or change made by an Employee or Authorized person⋯”。
犯罪保單對「社交工程詐騙」的定義:“The intentional misleading of an Employee or Authorized Person by a natural person impersonating: (1) a Vendor, or that Vendor’s attorney ; (2) a Client , or that Client’s attorney; (3) an Employee; or (4) an Authorized Person, through the use of a Communication.”
意即經由溝通對話的方式,以假冒下列四種身分意圖誤導員工或被授權之人,分別是:(1)供應商或其律師 (2)客戶或其律師 (3)員工 (4)被授權之人
仔細看過社交工程的定義並了解事件完整經過,就知道此案適用的理賠範圍及要件。 因此當 SJ 對 Travelers 提起訴訟時,美國明尼蘇達州地方法院判決 SJ 敗訴。
條款中也清楚指出社交工程理賠與電腦詐騙理賠是互斥的,原文如下“The policy provides that, solely for purposes of the social-engineering-fraud insuring agree- ment , coverage will not apply to loss or damage due to Computer Fraud”,這意謂並不會因為「社交工程詐騙」的單一賠償上限 $100,000 美元,當實際請求賠償金額超過 $100,000 美元時,由電腦詐騙的理賠額度支付之。
為何 SJ 的損失無法依電腦詐騙之保障約定予以理賠,Travelers 在法庭前提交三點理由:
一、不法份子之行為,並不符合保單中有關電腦詐騙之定義
二、既使不法份子的行 為視為電腦詐騙,並無直接導致(directly caused by)SJ 的損失
三、保單的除外責任條款明確地排除以電腦詐騙保障 SJ 之損失。 面對日益嚴重的網路詐騙,尤其是 BEC 攻擊對企業造成巨大財務損失,企業不僅應規劃資安保險同時也應有犯罪保險,二者之間是相輔相成,缺一不可。
簡單區分:資安保險可有效降低勒索軟體損失,及第三方損害請求法律賠償;犯罪保險可以有效減少 BEC 及社交工程詐騙的直接損失。然而企業客戶要了解資安保險實屬不易,更何況要清楚資安保險與犯罪保險的差別(如圖一),
針對本身所屬產業特性正確搭配組合,發揮最大的保障功能,簡直是不可能 的任務!
這 些 BEC 案例,涉入其中通常是 CEO、CFO 等高階主管,然而保險規劃卻往往由作業層級(operational)人員依保費高低作出最終決定,不在意條款、名詞定義、啟動理賠要件、除外不保條件,更不曾想過理賠發生時的最佳實務(Best practice)對企業恢復營運的重要性。
因此專業的保險經紀人是企業風險管理與轉嫁的極重要夥伴,筆者經常面對企業最高層語重心長:「其實價格高低在我眼中只是第三重要而已,因為更重要的是一旦理賠啓動即時、有效率、具彈性的理賠實務,沒有最佳理賠實務,身為保險經紀人不知要如何面對客戶!」
客戶高層接著問:「價格是第三位,最佳理賠實務是第二位,那麼執行長什麼是位居第一位?」筆者:「用我三十年的專業及經驗,力求客戶的實際損失低於投保金額,絕對是第一重要,因為保險公司只要依條款履行理賠義務,一旦理賠達最高限額,保單效力終止,然而企業的真實損失卻可能遠高於理賠最高限額,尤其是法律責任風險(Liability risk)及抗辯費用經常遠遠超過企業的預期。」
網路詐騙已經不是單純的財務損失問題,資安威脅也不再只是 IT 層面的議題,而是資安治理(Cybersecurity gover- nance)的重大違失,在目前全球矚目的 ESG 範疇之中,網路詐騙直指“G”公司治理、風險管理必有極大的改善空間 。
SJ 敗訴之後,後續衍生的負面效應極可能是投資人對 CEO、採購經理及財務出 納主管以未盡善良管理義務或違反忠實義務提起集體訴訟,追究個人責任,不論最終審理結果如何,僅抗辯費用支出可能遠遠超過 BEC 造成的財務損失,這將考驗公司「董監事暨重要職員責任保險(D&O liability insurance)」 的 規劃妥當與否?
所謂「千金難買早知道」但事前「半毛保費被嫌貴」企業一旦遭遇重大風險,有賴平時與專業的保險經紀人緊密合作,事先作好萬全準備,控制情勢不再擴大,遏止引發一連串後續效應,儘速回復正軌。
孫子兵法九變篇,孫子曰:「故用兵之法,無恃其不來,恃吾有以待之;無恃其不攻,恃吾有所不可攻也」,三千年前兵法家孫武的睿智「恃吾有以待之」值得企業最高領導人借鑒。