サイバー保険が期待に応えられない

RUSIの論文は、サイバーセキュリティ慣行の改善に対する保険セクターの貢献は「政策立案者や企業が期待するよりも制限されている」ことを発見し、政府と業界の行動を推奨しています。

サイバー保険への期待

主な調査結果

  • これまで、サイバー保険は、組織のサイバーセキュリティ慣行を改善するためのツールとして機能する可能性があるという期待に応えられませんでした。
  • ただし、保険会社はこれに対処できるサイバーセキュリティサービスをますます提供しています。
  • 保険業界にとって克服できない可能性のある課題は、信頼できるサイバーリスクデータを収集および分析できないことです。これがなければ、サイバーリスクの保険可能性に関して重要な質問があります。
  • ランサムウェアは、一部の保険会社にとって実存的な脅威となっています。損失が増大し、世論の批判が高まっている時期に、この論文は業界のリセットを主張しています。

気候変動とパンデミックに沿って、世界経済フォーラムによって「今後5年間で社会が直面する最も困難なリスクの1つ」として特定されたサイバー犯罪は、政府と企業の両方にとって複雑で急速に成長し、深刻な脅威です。2020年には、サイバー犯罪は世界経済に1兆ドル以上の損害を与えます。

この上昇は、組織がデジタル化、接続性の向上、リモートワークの増加に対応し、保護の必要性を高めようとしているため、オンライン環境が急速に変化しているときに発生しています。国のインフラストラクチャと経済安全保障の両方が危険にさらされているため、「注目を集めているツールの1つはサイバー保険です」。

サイバー保険は、組織が金融リスクを保険会社に移転することによってサイバー犯罪影響を軽減する方法と見なされているだけでなく、市場が成長し成熟するにつれて、サイバー保険会社は他の業界の保険会社が果たす役割を果たす可能性があると見なされています。

「より良いサイバーセキュリティ慣行を奨励するのに適した場所にいる…「優れた」リスク管理に報いる」、またはより高度なセキュリティ管理や標準を実装している組織に金銭的利益と専門知識を提供する。

保険業界は重大な課題を克服する必要があります

しかし、報告書は、サイバー保険が望ましい影響を与えるためには、「保険業界は重大な課題を克服しなければならない」と結論付けています。

保険およびサイバーセキュリティ業界、政府、学界の専門家へのインタビューとワークショップに基づいて、このペーパーは、サイバーリスク自体を理解するのに苦労しているだけでなく、信頼できるサイバーリスクデータの収集と共有に苦労している保険業界を特定しています。それは引受とリスクモデリングに情報を与えることができます。

データがなければ、保険会社と再保険会社は組織のリスクやセキュリティ慣行を正確に評価することができないため、それに応じて保険料の価格を設定することはできません。さらに、サイバー保険市場は、保険契約者のサイバーセキュリティ慣行を改善するために、金銭的インセンティブの使用を受け入れたり、セキュリティ義務を課したりすることはまだありません。

その結果、一部のサイバー保険会社は正しい方向に動き始めていますが、業界はサイバーセキュリティのインセンティブに関して理論から実践への移行に依然として苦労しています。

実際、逆のことが起こっている可能性があります。この論文は、「サイバー保険会社は、サイバー犯罪者への身代金の支払いを容易にすることでかなりの批判を受けており」、そうすることで、「サイバー犯罪者のランサムウェア操作への関与を促し、既存の事業者がその能力に投資して拡大できるようにしている」と述べています。ランサムウェアによる損失も、一部の保険会社が市場を離れる一因となっています。

これらの欠点のために、サイバーセキュリティ慣行の改善という目標に対するサイバー保険の影響は、「政策立案者や企業が期待するよりも限定的」です。

サイバー保険プロバイダーへの推奨事項

  • 保険会社は、中小企業のリスク評価の一環として、一連の最小セキュリティ要件に集合的に同意する必要があります。
  • サイバー保険会社は、マネージドセキュリティサービスプロバイダー、クラウドサービスプロバイダー、脅威インテリジェンスプロバイダーとのパートナーシップを模索して、内部データソースにアクセスする必要があります。
  • 内閣府とクラウンコマーシャルサービスは、すべての政府のサプライヤーとベンダーにサイバー保険の適用を義務付けるためのポリシーと法的枠組みを策定する必要があります。
  • 国家安全保障事務局は、身代金の支払いを非合法化することの実現可能性と適合性について緊急の政策レビューを実施する必要があります。
  • NCSCNCAと保険業界の関係者はサイバー脅威と金融犯罪に対抗するため、既存の官民パートナーシップモデルを活用し、匿名の脅威インテリジェンスと身代金の支払いデータを交換するための専用の情報共有のパートナーシップを確立すべきです。
  • 保険会社は、攻撃が発生した場合、身代金が支払われる前に、保険契約者がNCAとNCSCに通知するための要件をランサムウェアの補償範囲に含める必要があることを指定する必要があります。
  • 保険業界は、NCSCおよびサイバーセキュリティパートナーと協力して、脅威インテリジェンスと保険会社の請求データに基づいて、一連の最小限のランサムウェア制御を作成する必要があります。