18% of the top 99 insurance carriers have a high susceptibility to ransomware
2022/04/08 HelpNetSecurity — Black Kite が発表したレポートは、保険分野におけるサイバー・リスクの高まりと、ランサムウェアの影響に対する懸念を示している。最も注目すべき点は、上位 99社の保険会社のうち、20% 近くがランサムウェアの影響を受けやすい状況にあることだ。Black Kite の CSO である Bob Maley は、「サイバー保険の状況は、かつてないほど不安定になっている。デジタル・サプライチェーンは急速に拡大しており、サードパーティにおけるデータ漏洩やランサムウェア攻撃のリスクにさらされている。ビジネスを保護するためには、デジタル・ネットワークのサイバー健全性を徹底的に評価し、継続的に監視する必要がある」と述べている。
ソフトウェア・サプライチェーン攻撃は急激に増加しており、2022年〜2021年において 300% 増となっている。Forrester は、2022年のセキュリティ・インシデントの 60% が、サードパーティを介したものになる予測している。この業界において、保険会社が定める要件を、サードパーティ・ベンダーが満たすことは稀である。この調査では、純益としての保険料で見た、上位 99社の保険会社を分析し、サイバー態勢とリスクレベルの増大による影響について理解を深めていく。
保険分野におけるランサムウェアの影響の受けやすさ
- 最大手保険会社の半数以上が、A ランクの保険会社に比べて、サイバー侵害を経験する可能性が3倍高い。
- 保険会社の 20% が、ランサムウェア閾値 0.6 を超えており、ランサムウェア耐性が低いことが示されている。
- 分析の対象となった保険会社の 82% が、フィッシング攻撃の影響を受けやすい。
- サプライチェーン攻撃の最も一般的な原因はソフトウェア・ベンダーにあり、2021年のサードパーティ・インシデント全体の 25% を占めた。
これまでに支払われた最大のランサムウェア身代金は、ある保険会社が 2021年に支払ったものであり、その総額は $40 million だった。また、その波及効果により、保険料の上昇/風評被害/事業の中断などが生じた。その結果、現在では、すべての証券引受人が、ランサムウェア/サプライチェーンの脅威を受ける Top-3 に位置づけられている。
Black Kite の SVP CRE である Jeffrey Wheatman は、「証券引受人の 85% は、企業に対して、サイバー・セキュリティの強化に注力すべきだと考えている。保険会社は、デジタル・サプライチェーンの奥深くで発生する、リスク・イベントに常に不意打ちを食らっている。 Black Kite の最新の調査では、サードパーティ・リスクを評価し、それに応じて計画を立てるために、行動を起こす必要があるという証拠が示されている」と述べている。
この記事では、サプライチェーンやサードパーティに関するリスクについて、ユーザー企業と保険会社との間で、明確な線引が必要だと述べられています。2021年8月の「サイバー保険は API により進化していく」では、保険を進化させるための API 接続が必要をされています。ランサムウェの時代において、サイバー保険が何を何処までカバーするのかという、とてもセンシティブな問題があるのでしょう。たとえば、2022年3月4日の「サイバー保険の現状:ウクライナ侵攻と戦争免責の関係は慎重に考えるべき」では、被害にあったとき、単なるサーバー攻撃に遭ったのか、それとも戦争免責が適用されるのか、という間にあるので注意が必要と述べられて言いました。
IoT OT Security News 