How MOVEit Is Likely to Shift Cyber Insurance Calculus
2023/10/14 DarkReading — 大手企業数十社の不正侵入で悪用された、ファイル転送ソフト MOVEit の開発元である Progress Software は、最近の証券取引委員会 (SEC) への提出書類の中で、$15 million のサイバー保険の全額を受け取るつもりだと述べている。 しかし、この巨額の支払いは、保険会社自身のビジネスに対して、どのような影響を与えるのだろうか? Progress が直面しているのは、集団訴訟/罰金/ビジネス・ブランドの失墜などであり、その損失をカバーするために数百万ドルが必要になるのは当然のことである。さらに、SEC への最新の 10-Q 提出書類によると、Progress Software は MOVEit ランサムウェアとは別のインシデントで、2022年11月に保険を受け取っている。
Progress は、「2023年8月31日の時点で、当社は約 $4.9 million の保険を受け取っており、そのうちの $3 million は、2022年11月のサイバー・インシデントに関連するものだ。また、$1.9 million は MOVEit の脆弱性に関連しており、追加のサイバー・セキュリティ保険の補償範囲は $10.1 millionとなっている。 ただし、請求ごとに、 $0.5 millionの保留が発生する。 当社では、保険契約に基づいて可能な限りの受け取りを追求する」と述べている。
保険料は高く、補償範囲は狭い
Tanium の Senior Advisor for Global Executive Engagement である Mark Millender によると、複数のサイバー保険会社が持っていないものとして、自動車保険会社や住宅保険会社のような過去のデータやリスク・モデルが挙げられる。Millender は、Progress Software が求めているような保険金の支払いは、保険料を押し上げ、サイバー保険のエコシステム全体の補償要件を引き上げることになると考えている。
Millender は「損害率が上昇して収益性が低下すると、リスク許容度は後退し、収益を上げる必要性が保険料に反映される。そして、今回の Progress Software の請求などの請求を受けることで、保険契約を更新することは、より難しくなるだろう」と予測している。
Millender は、「それと同時に、請求書を提出した被保険者は、更新時に厳しい監視下に置かれることになる。被保険者が、同じ保険会社または別の保険会社と、更新できるかどうかは、今回の請求の経験だけでは判断できない。一般的なサイバー・セキュリティの防御態勢や、インシデントへの対処の方法などの、多くの要因に左右されるだろう」と述べている。
すでにサイバー保険契約は、間違いなく以前より高額になり、補償内容も少なくなっている: サイバー保険業界の現状に関する Delinea の報告書では、調査の対象となった企業の 3分の2が、過去1年間でサイバー保険料が 50% 上昇し、補償範囲が狭くなったと回答している。また、80% の企業が、過去1年間において、少なくとも1件の保険金請求を行ったと報告している。
Viakoo の CEO である Bud Broomhead は、「サイバー保険市場の成長を後押ししているのは、3つの重要な要因である。具体的に言うと、サイバー侵害による責任の拡大および、侵害に対する大きな責任と取締役会や上級管理職の関係性、そして、サイバー・セキュリティ態勢を維持するための “強制機能 “をサイバー保険が提供することだ」と述べている。
Broomhead は、サイバー保険市場が成熟するにつれて、これらの要因は変化していくだろうが、最終的には、より少ない補償でより高額な保険額になるという傾向が続くだろう、と付け加えている。しかし、サイバー保険会社がリスク評価を精緻化するにつれて、保険料は安定するはずであると、同氏は更に付け加えている。
サイバー保険会社とセキュリティチームとのコミュニケーション
サイバー保険会社は顧客のリスクプロファイルを詳細に調査しているが、この傾向は Progress の状況により更に高まるだろう。 Optiv の Cyber Insurance Services Leader である Dara Gibson は、このような監視の強化の結果の1つとして、サイバー保険会社と契約者との協力関係の強化が挙げられると説明する。
彼は、「現時点においてサイバー保険会社は、サイバー・セキュリティ・チームとコミュニケーションを取っている。保険会社/サイバー・セキュリティ/被保険者の間で、より協力的な取り組みが行われるようになるだろう」と述べている。
同じような評価を行うのかどうかは、企業チーム次第だと、Broomhead はアドバイスする。Broomhead は、「リスク評価とサイバー保険は、脅威のベクターが進化するのと同じように、常に進化し続ける。最も重要なことは、組織が自らリスク評価を行い、社内のポリシーが攻撃対象領域全体に対応していることを、確認することだ」と述べている。
MOVEit ハッキングの被害者数ですが、Emsisoft によると、9月22日時点で 2053件に達し、影響を受けた個人の人数は 5700万人を超えるとのことです。その後にも、Sony が侵害されているため、さらなる数字が上乗せされているはずです。その結果として、大規模な補償が行われ、保険の請求も膨大なものになるでしょう。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.