Only 30% of Cyber-Insurance Holders Say Ransomware is Covered
2022/11/11 InfoSecurity — Delinea の最新調査によると、保険金請求者への支払額が急増しているため、サイバー保険プロバイダーたちは、保険の適用範囲を限定しているとのことだ。セキュリティ・ベンダーである Delinea は、最新レポート Cyber-insurance: if you get it be ready to use it を作成するために、米国に拠点を置く IT 意思決定者 300人を対象に調査を実施した。
その結果として、93% の回答者が、プロバイダーから専門のサイバー保険の適用を承認されていることが明らかになった。しかし、ランサムウェア/身代金交渉/身代金支払いなどの重要なリスクを、保険でカバーしていると回答したのは 30% に過ぎないという。
約半数にあたる 48% は、自社の保険がデータ復旧をカバーしていると回答しているが、インシデント対応/規制当局への罰金/第三者への損害賠償をカバーしていると回答したのは 3分の1 に過ぎない。
つまり、数多くの組織が定期的に侵入され、プロバイダーに対して支払いを求めるため、保険会社のコストを押し上げているようだ。調査対象者の約 80%が保険に加入する必要があったと回答し、そのうちの 50% は複数回にわたって保険金請求を行ったと、この調査は指摘している。
その結果として、多くの保険会社は契約前に加入希望者に対して、より包括的なセキュリティ管理の実施を要求するようになった。
回答者の半数 (51%) がセキュリティ意識向上トレーニングを必須条件とし、47% がマルウェア対策/AV ソフト/多要素認証 (MFA)/データバックアップを必須条件としている。
SafeBreach の CISO である Avishai Avivi は、「保険会社は、顧客のセキュリティ対策が適切に導入されていることを確信できないため、ハイレベルなチェックを行ったとしても、急増する損失から保険会社を守るには不十分かもしれない」と述べている。
彼は、「サイバー保険のプロバイダーは、セキュリティ管理に関する単純なチェックリストを超えたレベルに達する必要がある。サイバー保険会社は、顧客のセキュリティ対策が設計/期待どおりに機能することを検証するよう、顧客に求める必要がある。保険会社にとって必要なことは、顧客が攻撃を受けたときに、その攻撃が侵害につながらないことをシミュレーションすることだ。実際のところ、政府の規制やガイダンスには、敵対者のシミュレーションなどが含まれており、それらを脅威への事前対応の一環として参照する動きが見られる」と主張している。
多発するランサムウェア被害と、それに伴う身代金の支払い、そして、ロシアのウクライナ侵攻により、サイバー保険のあり方が見直されています。実際のところ、2022年に入ってから、この種の記事が増えています。
8/29:Lloyd’s 保険が新たな免責条項:国家支援サイバー攻撃を補償から除外
10/7:Lloyd’s 保険にサーバー攻撃:ロシア制裁の推進者に対する報復か?
11/3:Zurich と Mondelez の和解:NotPetya に関連する $100M の保険請求
11/7:サイバー保険市場の動向:顧客のセキュリティ意識の向上が安定を導く
IoT OT Security News 
You must be logged in to post a comment.