画像ソース:環境金融研究機構
データ侵害は安くはありません。侵害の平均コストは 424 万ドルに上るため、多くの組織はセキュリティ インシデントの経済的影響を軽減するためにサイバー保険に目を向けています。しかし、保険会社は、ますます複雑化する脅威環境のリスクを保険市場が吸収する能力に対する信頼を失い始めています。
たとえば先週、Lloydsは、2023年3月以降、すべてのサイバー保険契約は「国家が支援するサイバー攻撃から生じる損失に対する責任を除外しなければならない」ことを発表 する速報をリリースしました。
この決定の背後にある理論的根拠は、国家による攻撃が市場を体系的なリスクにさらす可能性がある一方で、「損失は保険市場が吸収できるものを大幅に超える可能性がある」というものです。
他の保険会社がこれに追随した場合、企業はサイバー保険に依存して、国家が支援する脅威アクターによるデータ侵害の経済的影響から身を守ることができなくなります。
MetaBeat は、10月4日にカリフォルニア州サンフランシスコで、ソート リーダーを集めて、メタバース テクノロジがすべての業界のコミュニケーションとビジネスの方法をどのように変革するかについてのガイダンスを提供します。
サイバー保険の適用範囲を狭めるというロイズの決定は、ロシアとウクライナの戦争の中で、紛争の両側の国家が新しい脅威を発明するにつれて 、脅威の状況が制御不能になったことを認識しているようです。戦争が続くにつれ、その影響が紛争に直接関与している国だけでなく、世界中の組織に及ぶことがますます明らかになっています。
今週発表された新しい調査によると、米国、英国、フランス、ドイツ、ベルギー、オランダ、オーストラリアのセキュリティ意思決定者の 64% が、自分の組織が国家によるサイバー攻撃の直接の標的になっていると疑っています。
国家による攻撃が増加し、保険の適用範囲が狭まる中、企業はポリシーを見直して、財務リスクにさらされないようにする必要があります。Forresterのプリンシパル アナリストであるHeidi Shey氏は次のように述べています。
「ロイズの決定の要件の 1 つは、すべての重要な用語が明確に定義されていることです。保険会社がどのように、また何を国家国家攻撃の原因と見なすかを見るのは興味深いでしょう。攻撃から国民国家への特定 (可能であれば) までの時間の経過が問題です」
Lloydsは国家による攻撃の報道を排除するつもりですが、プロバイダーはサイバー攻撃が特定の国家によって承認されたことを証明する必要があるため、多くの評論家はこのポリシーは強制力がないと考えています.
「彼らの速報に基づくと、攻撃された企業はそれを国民国家のイベントであると宣言する必要があり、うまく機能しません。それは次のような疑問を投げかけます — どの時点で国民国家が対象となる組織を直接攻撃しているのか、そして誰がその決定を下すのか?」とContrast SecurityのCISO である David Lindner氏は述べています。
これらの攻撃の原因を特定することも困難です。特に、攻撃者が身元を偽装しようとしている場合はなおさらです。、Optivのサイバー リスク、戦略、取締役会関係担当副社長のJames Turgal氏によると、初期の侵入からネットワーク内での横方向の移動の確立まで、国家がサイバー攻撃のあらゆるセグメントを実行するために要求できるイニシャル アクセス ブローカー (IAB) のアンダーグラウンド マーケットプレイスがあるとのことです。
「特定の国家が使用する戦術、技術、手順 (TTPS) があり、ある程度の帰属を可能にしますが、通常、 FBI、CIA、または NSA のような米国の法執行機関および諜報機関のメンバーによって使用される高度に洗練された調査技術のみが使用できます。そのような特定の TTP を検出します」と Turgal氏は述べています。
これらの手法も高度に機密化されており、ポリシー決定を行うために保険会社と共有される可能性はほとんどありません。
結局のところ、政府が支援する攻撃を構成するものに関するあいまいさは、特に攻撃が特定の政府によって承認されたものであるかどうかについて保険会社と組織が意見を異にする場合には、双方にとって不利になる可能性があります。
この種の脅威から確実に保護する唯一の方法は、データ セキュリティを優先する一方で、ゼロトラスト アクセスを実装して、攻撃者がミッション クリティカルなデータにアクセスできないようにすることです。
サイバーセキュリティの専門家であり、 comforte AGのデータ セキュリティ スペシャリストであるErfan Shadabi)氏は、次のように述べています。
Linderはまた、データ管理フレームワークを実装し、新規および既存の従業員向けのセキュリティ認識トレーニング プログラムを開発するとともに、データが侵害された場合に確実に復元できるように、バックアップとアーカイブを含むデータの冗長性を実装することを組織に推奨しています。
(via VB)
Last Updated on 2022年8月26日 by Editor
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)
