中小企业网络保险深度指南

据统计，43% 的网络攻击针对中小企业（SMBs）。攻击者认为小企业安全投入少、防护弱，且常与大型企业有供应链关系，可作为跳板。中小企业往往缺乏专职 IT 安全团队，补丁管理、员工培训、备份策略可能不足，风险更高。

常见攻击类型：勒索软件（Ransomware）、商业邮件欺诈（BEC）、社会工程（Social Engineering）、数据泄露（Data Breach）。一次事故可能导致业务中断、客户流失、监管罚款、诉讼，甚至关门。

First-Party（第一方）保障：企业自身直接损失。包括：取证调查（Forensics）、数据恢复、通知受影响个人、信用监控、公关/危机管理、营业中断（Business Interruption）、赎金及赎金谈判费用（视保单）。

Third-Party（第三方）保障：企业对他人承担的责任。包括：客户/供应商因数据泄露提起的诉讼、监管罚款（如州检察长、FTC、HHS）、PCI-DSS 罚款、隐私侵权索赔。

多数 Cyber 保单同时提供两类保障，但限额、子限额（Sub-limits）不同。投保时需分别确认 First-Party 与 Third-Party 限额及各项子限额。

数据泄露响应成本通常为$150–$200 每条记录（含通知、信用监控、法律、取证、公关等）。若泄露 1,000 条客户记录，总成本可达 $150,000–$200,000。中小企业往往低估此成本。

各州有数据泄露通知法（State Breach Notification Laws），要求企业在发现泄露后一定期限内通知受影响个人及州检察长。未通知可能面临罚款和诉讼。Cyber 保单通常承保通知成本及合规费用。

勒索软件（Ransomware）：攻击者加密企业数据，要求赎金解密。Cyber 保单可能承保赎金支付及谈判费用，但常有子限额（Sub-limits），如主限额 $1M 但赎金子限额仅 $100K。需确认子限额是否足够。

社会工程（Social Engineering） / 商业邮件欺诈（BEC）：攻击者冒充高管或供应商，诱使员工转账。此类损失常被标准 Cyber 保单除外，需单独附加或通过 Crime 保险（如 Funds Transfer Fraud）保障。投保前务必确认。

PCI-DSS（Payment Card Industry Data Security Standard）：处理信用卡数据的零售商需遵守。违规可能导致发卡行罚款、调查费用。Cyber 保单可能承保 PCI 相关罚款及合规成本，但需确认。

HIPAA：医疗保健小企业（诊所、牙科、药房、健康科技）若处理受保护健康信息（PHI），需遵守 HIPAA。违规可能导致 HHS 罚款、OCR 调查。Cyber 保单可承保 HIPAA 违规相关诉讼及罚款，但医疗实体通常需专门的 Healthcare Cyber 或 HIPAA 合规保单。

承保申请（Application）：核保人会询问：IT 基础设施、备份策略、是否启用 MFA、是否有 EDR、补丁管理流程、员工安全培训、既往事故等。如实披露至关重要，未披露已知漏洞可能导致拒赔。

常见承保要求（Security Requirements）：

• MFA（多因素认证）：关键系统启用
• EDR（端点检测与响应）：终端安全方案
• 备份（Backups）：定期、离线/异地、可恢复测试
• 补丁管理（Patching）：及时安装安全更新

未满足承保时的安全承诺，可能影响理赔。

常见除外（Common Exclusions）：未打补丁系统（Unpatched Systems）、战争/恐怖主义（Acts of War）、已知或事先存在的事件（Prior Known Events）、故意行为、部分社会工程。投保前仔细阅读除外条款。

成本估算（Cost Estimates）：大多数中小企业 Cyber 保险年保费约$500–$5,000，依收入、行业、数据量、安全措施而异。零售、医疗、金融等高风险行业可能更高。建议制定事件响应计划（Incident Response Plan），并评估供应商/供应链网络风险（Vendor/Supply Chain Cyber Risk）。