最近國際新聞不時傳出網路駭客攻擊企業，鎖住資料庫，癱瘓資訊系統，迫使企業付贖的事件。五月初，美國東南部最大的汽油供應商Colonial Pipeline遭駭客攻擊後，造成美國東南部數州缺油恐慌。Colonial在付出75枚比特幣（當時約值440萬美元）的贖金後，方得逐漸恢復營運。同月稍後，全世界最大的牛肉供應商JBS也被另一批駭客攻擊勒贖，付出價值約1千1百萬美元的比特幣贖金方得解決。

網路安全與攻擊已經成為與氣候變遷、核武競爭、烏克蘭緊張情勢等，同等級的國安風險，以致美國總統拜登在就任後首次與俄國領袖普丁在日內瓦舉行的高峰會中，就把網路攻擊列為討論重點，之後同意雙方就網路安全成立特別諮詢平台。但美俄峰會後，七月初又發生一起駭客藉由Kaseya遠端資訊管理軟體入侵全球數千家企業的事件，駭客要求一整筆5千萬美元贖金，但此一以俄國為基地的駭客集團於7月13日又突然銷聲匿跡，全球數千受害企業頓時茫然不知所措。

網路勒贖事件從去年開始快速成長，主因有二，首先，新冠疫情下的遠距上班，大幅增加了駭客入侵企業資訊系統的機會。第二，新型態的勒贖軟體服務（Ransomware as a Service, RaaS）犯罪模式，由具備高超資訊能力的專業駭客集團開發入侵軟體，陳列在暗網（Dark Web）上供附庸駭客下載，並由附庸駭客結合車手執行攻擊，在車手得手贖金後，與專業駭客集團分享。此一新犯罪模式透過招募附庸，大幅擴充了攻擊量能。

網路資安保險（Cyber Insurance）在日益猖獗的資訊勒贖事件中成為關注焦點。一般而言，資安保險在資安事件發生時，提供企業補償因法律責任所生的賠償和抗辯費用，以及因事件所引發的應變、復原費用，營業中斷及帳戶盜領損失，和企業所付出的勒索贖金。其中一個關注的焦點在於贖金可獲保險賠償是否助長了勒贖？雖然法國的AXA保險在5月宣布其新承作的資安保險不再賠付贖金，但大部分的保險業者均認為除非政府立法禁止支付贖金，在企業自行決定是否付贖的前提下，不應限制資安保單承保勒贖支出，而限制了企業控管風險的可能。

但是，勒贖事件的猖獗，以及勒贖金額的節節高升，的確給資安保險帶來嚴峻的挑戰。去年全球資安保險的損失率從不到50%暴漲至超過70%，已成為賠錢的險種，以致保險公司紛紛提高資安保險的核保標準，並限制保額。造成當企業面對日益高漲的資安風險，卻無法得到保險業的支持，管控其風險。

挑戰也往往是契機。資訊安全已成為全球公認的重大並且普遍的風險，而方興未艾的5G通訊、物聯網、大數據蒐集等趨勢，只會更提升資安風險。但是去年全球資安保險的保費在所有商業險中僅略高於1%。台灣則更低，還不到1%。顯然資安保險有巨大的成長空間。保險公司不應僅是提供資金補償損失，更要以專業協助企業控管風險。在資訊安全的領域，台灣產險業者或可結合專業能力居於世界前沿的本土資安人才，在勢必大幅成長的全球資安保險領域，有所作為。