カジノサイト

保険引受のリスク: ランサムウェアがサイバー保険市場をどのように変えるか

保険会社は、自社のシステムが侵害された場合、誰に頼るのでしょうか? 2020 年 9 月、保険会社兼リスク管理会社の Arthur J. Gallagher & Co. がその疑問を思い出しました。システム内でランサムウェアが検出されたことを米国証券取引委員会 (SEC) に送信。

「当社は、予防措置として直ちに当社の全世界のシステムをすべてオフラインにし、対応手順を開始し、調査を開始し、外部のサイバーセキュリティおよびフォレンジック専門家のサービスを利用し、顧客への混乱を最小限に抑えるための事業継続計画を実施しました」と同社はSECへの提出文書で述べた（攻撃の検出から48時間後に作成された）。 「この日付の時点で、当社はほとんどのビジネス システムを再起動したか、再起動の途中です。当社はインシデントを評価する初期段階にありますが、現在知られている情報に基づいて、インシデントが当社のビジネス、業務、または財務状況に重大な影響を与えるとは予想していません。」

会社はこの出来事から立ち直る一方で、ランサムウェア攻撃を含むサイバー攻撃やその他のインシデントが将来の財務結果に影響を与える可能性があると SEC に報告しました。

「将来、重大なサイバーセキュリティやデータの事件、あるいはそれに関するメディア報道は、たとえ虚偽であっても、当社が風評被害、顧客と収益の損失、機密データの損失、規制措置と監視、制裁やその他の法定刑、訴訟、顧客の情報の保護を怠ったことに対する責任や経済的損失を経験する可能性がある」と申請書には説明されている。 「このような事件が発生すると、機密情報、個人情報、または専有情報が紛失または盗難されたり、詐欺行為の永続化に使用されたり、悪意を持って公開されたり、密かに変更されたり、一定期間アクセス不能になったりする可能性があります。上記で言及した 2020 年のランサムウェア事件に関連して私たちが経験したように、サイバー攻撃の際にはシステムをオフラインにしなければならない可能性があり、それによってクライアントへのサービスが妨害されたり、当社の評判が傷ついたりする可能性があります。そのような損失は、保険が適用されないか、または完全に補償されない可能性があります。私たちが維持する保険。」

サイバー保険契約で何がカバーされ、何がカバーされないのか、そもそも誰が補償対象なのかという問題は、保険業界を標的としたものを含むサイバーインシデントが増加し続けるにつれてますます重要になっています。

たとえば、2021 年 5 月米国最大の保険会社の 1 つである CNA Financial Corp. が、ランサムウェア事件後にネットワークを復元するためにハッカーに 4,000 万ドルを支払った疑いがあると報じました。 CNA は、ネットワークが侵害され企業データが盗まれてから約 2 週間後に支払いを行ったと伝えられています。

185 万ドル

2021 年のランサムウェア攻撃の平均修復コスト。

この支払いは、サイバー保険市場が多少の混乱に見舞われている間に行われました。米国最大の商業保険ブローカーであるマーシュ・マクレナンが収益に基づいて分析したところ、顧客のサイバー保険加入率は2016年の26パーセントから2020年には47パーセントに増加したことが判明した。サービス業、小売業、製造業だけでなく、教育やヘルスケアの分野からも最も関心が集まっている。

この増加は、2015 年にアンセム、プレメラ ブルー クロス、アシュリー マディソン、米国人事管理局などの一連の注目を集めたデータ侵害の後に起こったと、コーヴァス保険の最高引受責任者マイク カルバッシ氏は述べています。

カルバシ氏は、この期間中に、保険契約はサイバー恐喝、データ回復、事業中断、偶発的な事業中断、サイバー犯罪を含むものに進化したと付け加えました。

「これは、データ侵害の調査と対応コスト、プライバシーに関する責任、規制および PCI の罰金、罰則に関連する従来の補償範囲を拡大したものです」と彼は言います。 「当時は、偶発的なシステム障害、ハードウェアの交換、人身傷害、および自発的なネットワークのシャットダウンに関連する補償は通常含まれていませんでしたが、過去 2 年間でそれらは含まれるようになりました。」

しかし、a 氏によると、すべてが市場の見通しを上向きにしているわけではありません。米国会計検査院 (GAO) により 2021 年 5 月に発行。

「これまでの受入率は上昇傾向にあるにもかかわらず、保険会社のサイバーリスク引受意欲と能力は最近、特に医療や教育などの特定の高リスク産業部門や公共部門で縮小している」とGAOは、保険代理店・ブローカー協議会、マーシュ・マクレナン、AMベストからの情報を分析した後に書いた。 「これらの関係筋は、この縮小はサイバー攻撃による損失の増加、将来の攻撃の脅威、保険市場全体の状況などの要因によって生じていると指摘した。」

GAO 金融市場・コミュニティ投資チームのディレクター、ジョン・ペンドルトン氏は、GAO が米国のサイバー保険市場の 5 か月評価を実施していたとき、2020 年に保険料が上昇し始め、保険会社が保険契約を絞り込んでいることに気づいたと述べています。

たとえば、多くの企業は、既存のポリシーにサイバー補償を含めるのではなく、クライアント向けに独立したサイバー ポリシーを作成し始めました。これらの保険は通常、サイバー補償と専門職賠償責任を組み合わせたものです。 GAOが話を聞いた関係者によると、サイバー特有のポリシーの増加は、データとシステムの機密性、完全性、または可用性による損失の明確化と補償を求める結果である可能性があるという。これらの独立した保険は、サイバー攻撃後の訴訟を減らし、保険契約者にサイバー特有のより高い制限を提供する可能性もあります。

「私たちが目にしたのは、価格が上昇しているということでした…引取率は上昇しており、すべてが上昇傾向にありました」とペンドルトン氏は言います。 「そして保険会社は、補償内容をより具体的にするようになりました。」

たとえば、GAO は、保険引受会社が将来の保険の利用可能性と手頃な価格に影響を与える可能性のある事業体によるリスクを「より慎重に精査」していることを発見しました。

「彼らは、保険会社がリスクの高い事業体や産業に補償を拡大し、提供する補償の価格を引き上げることにおいてより選択的になっていると指摘した」と報告書は述べている。 「この警告は、サイバー攻撃の頻度、深刻さ、コストの増大と、将来の攻撃の種類、範囲、ターゲットに関する不確実性に対応したものです。」

サイバーリスクを引き受ける保険会社の需要と能力は、最近、特に特定の高リスク業界部門で縮小しています。

2020 年から 2021 年の初めにかけて、組織はランサムウェアに繰り返し感染しました。また、攻撃者は、被害者が身代金を支払わない場合、企業の機密情報を公開すると脅して、身代金が支払われる可能性を高めました。によると、この問題はランサムウェア攻撃を修復するための平均コストが 2 倍以上になる中で発生しました。2021 年のランサムウェアの現状世界規模の調査:.

「ビジネスのダウンタイム、注文の損失、運用コストなどを含む修復コストは、2020 年の平均 761,106 ドルから 2021 年には 185 万ドルに増加しました」と調査では評価されています。 「これは、ランサムウェア攻撃から回復するための平均コストが、平均して身代金の支払い額の 10 倍になっているということを意味します。」

この調査では、身代金を支払った組織の数が2020年の26パーセントから2021年には32パーセントに増加したことも判明した。ただし、すべてのデータを取り戻したのは 10% 未満でした。

コンサルティング会社によると、皮肉なことに、これらの費用にはサイバー保険料の値上げが含まれている可能性が高い.

「サイバー攻撃後の実際の保険料引き上げに関する公開データはほとんどない」とデロイトは CFO ファクトシートで述べた。 「デロイトは、サイバー保険の大手プロバイダーを対象に非公式の調査を実施しました。その結果、保険契約者が同じ補償内容でも 200% の保険料の増額に直面することは珍しくないこと、あるいはサイバー インシデント後に厳しい条件が満たされるまで補償を拒否される可能性さえあることが判明しました。」

GAO の評価では、保険ブローカーが大規模で高リスクの業界の保険料が 2021 年に値上げされると予想していることがわかりました。また、多くの企業は、ランサムウェアや、医療や教育などのリスクの高い分野への適用範囲を縮小し始めています。

「新型コロナウイルス感染症 (COVID-19) の時代にポリシーは進化しましたが、おそらくパンデミックのせいではなく、ランサムウェアの請求の頻度と深刻さが増加したことが原因であると考えられます」と Karbassi 氏は言います。 「保険会社は過去 1 年半にわたって大きな損失を経験しており、利上げ以外の保険形態の調整を始めています。」

場合によっては、これらの調整には、ランサムウェアの補償範囲に対する共同保険やサブリミットが含まれます。また、保険会社は、サイバー保険の申込者に対して、多要素認証の使用、電子メール フィルタリング ツール、包括的なネットワーク冗長戦略など、拘束力のある補償の前に、堅牢な IT セキュリティ保護が存在することを確認することを要求し始めています。

「業界関係者は、保険会社がサイバー特有の保険の契約条件を厳格化していると指摘している」と GAO は書いている。 「また、従来の補償範囲に除外項目を追加し、補償内容がサイバー保険と重複する曖昧さを避けるため、サイバー裏書付き保険をパッケージ化している。これらの制限は、複数の事業に損害を与え、保険会社が支払能力にリスクをもたらす可能性のある重大な予期せぬ損失を蓄積させる可能性がある『サイレント』サイバーリスクの補償範囲を排除することを目的としている。」

また、保険会社にとって課題となっているのは、リスクの予測とモデル化に使用できるデータが不足していることです。その理由の 1 つは、サイバーが保険適用の分野としてはまだ新しい分野であることだけでなく、サイバー インシデントの報告要件が (あるとしても) ほとんどないことが多く、そのため保険会社が過去のインシデントのデータベースを開発して分析することができないためでもあります。

「さらに、国際保険監督者協会による2020年の報告書は、サイバーインシデントに関する不完全または不正確な過去のデータが保険数理モデルの信頼性を低下させ、損失推定に関する不確実性の増大につながると指摘した」とGAOは書いている。 「そのようなデータにアクセスできないため、一部の業界関係者や研究者は、サイバー保険の現在の価格がリスクを正確に反映していないのではないかと懸念しています。」

たとえば、Corvus では、同社のデータ サイエンスおよびエンジニアリング チームが、潜在的なアカウントの外部 IT インフラストラクチャの脆弱性を探すスキャンを作成したと Karbassi 氏は述べています。スキャン結果はスコアの生成に使用され、保険会社が口座を評価できるようになります。

「スキャンでは、会社の公開 Web サイトなどの明白な側面だけでなく、会社の Web アプリケーションに組み込まれたソフトウェアの一部の脆弱性や、会社が所有する未使用のドメインなどのあまり明らかでない側面も調べられます。」と彼は説明します。

業界全体のデータ不足に対処するためのいくつかの取り組みが進行中です。その中には、 による勧告も含まれます。議会にサイバーリスクを理解し、保険会社がより良いリスクモデルを作成できるよう支援する組織を創設させること。

しかしながら、この勧告は現時点では法律化されていないセキュリティ管理者プレスタイム。