Veeam: サイバー保険の本当の価値は何ですか?

サイバー攻撃の脅威は何も新しいことではありませんが、ランサムウェアは利益を生み出す上でこれまでよりもはるかに効果的であることが証明されています。

このため、企業はこれらの攻撃による大きな経済的影響から身を守るために保険に頼るようになっています。

需要が前例のないレベルにまで増大するにつれ、業界は非常に不安定になっています。保険料は上昇しており、補償の対象と対象外に関する規則が増え、保険への加入を希望する企業のために最低基準が導入されています。これは企業にとって悪いニュースのように思えるかもしれませんが、最終的にはいくつかの良い点があります。

デジタル世界のための保険

サイバーセキュリティは暗い世界だと考える人もいます。実際には、物理​​的現実とデジタル現実は、あなたが思っているよりもはるかに似ています。 30 年前、資産を保護したいと考えている企業は、まず火災や盗難に対する保険を考えていました。今日、リスクはよりデジタル化されています。によると Veeam データ保護トレンド レポート 2024、4 つの組織のうち 3 つが過去 1 年間に少なくとも 1 回のランサムウェア攻撃を受けており、4 つのうち 1 つは同じ期間に 4 回以上攻撃を受けています。

サイバー保険が多くの組織にとってますます人気のある選択肢になっていることは不思議ではありません。 24%の成長が見込まれる 84,62 年までに 2030 億 XNUMX 万ドルの産業になると予想されています。しかし、保険を購入して必要とする企業の数が増加するにつれて、保険料も着実に増加し、保険料も上昇しています。 過去XNUMX年間で。 サイバープロテクションの収益性を維持しようとする保険会社による変化はこれだけではありません。近年では、より有意義なリスク評価、最低限のセキュリティ基準の導入、補償範囲の削減が一般的になってきています。

身代金を支払うべきか、支払わないべきか?

サイバー保険は最近物議を醸すトピックとなっていますが、そのほとんどはランサムウェアに関する数百万ドル規模の問題、つまり支払うべきか支払わないべきかという問題に集約されます。多くの人は保険会社が保険会社であるという考えを拒否しますが、 身代金を支払う可能性が高くなる、 2023年レポート 被害者の調査では、身代金の 77% が保険で支払われたことが判明しました。しかし、多くの保険会社はこの状況に終止符を打とうとしています。同じレポートによると、現在、組織の 21% がランサムウェアをポリシーから明示的に除外していることがわかりました。他の人も見ました 身代金の支払いを明示的に除外する ポリシーによると、ダウンタイムと損害コストはカバーされますが、恐喝コストはカバーされません。

私の意見では、後者のアプローチが最善です。身代金を支払うのは良い考えではなく、保険を使用すべきものではありません。これは単に倫理や犯罪の助長の問題ではなく、身代金を支払っても問題がすぐに解決されるわけではなく、しばしば新たな問題を生み出すという事実の問題でもあります。まず、サイバー犯罪者は、どの企業がお金を払っているかを追跡して、2 回目の攻撃に戻ったり、この情報を他の組織と共有したりできるようにします。

ある調査によると、身代金を支払った企業の 80% が二度目の被害に遭っています。しかし、この時点に至る前であっても、身代金の支払いによる回復は簡単なことはほとんどありません。攻撃者が提供した復号キーによる回復には長い時間がかかり、多くの場合意図的に、プロセスを高速化するためにキーごとに料金を請求するグループもあるため、復号が機能する限り、企業の XNUMX 社に XNUMX 社は身代金を支払って自社のデータを回復できません。

基準を上げる  

したがって、保険を通じて身代金を支払うことは、幸いなことに徐々になくなりつつあります。しかし、変わったのはそれだけではありません。サイバー保険を必要とする企業は、セキュリティとランサムウェアの回復力の最低基準を満たすことがますます求められています。これには、暗号化された不変バックアップの使用や、最小特権 (必要な人のみにアクセスを与える) や 4 つの目 (変更や重要なリクエストは 2 人による承認を必要とする) などのベストプラクティスのデータ保護原則の実装が含まれる場合があります。一部の政策では、災害復旧プロセスなど、システムの可用性を確保するためのしっかりとした計画を企業に求めることもあります。 defiランサムウェア攻撃によるダウンタイムを防ぐために制限されています。結局のところ、システムのダウン時間が長くなるほど、ダウンタイムのコストが増加し、それに伴う保険請求のコストも増加します。

企業は依然としてこれらすべての要素を備えている必要があります。保険にずさんなデータ保護および回復プロセスが伴う場合、保険金は欠陥を帳消しにするだけになります。最低基準の導入は企業にとって朗報だ。長期的には保険料コストが削減されるだけでなく、保険に求められるセキュリティ原則は企業にとって当初の保険よりも価値のあるものになるでしょう。サイバー保険は絶対的な保証ではありませんが、より広範なサイバー回復戦略の有益な要素となる可能性があります。どちらも便利ですが、どちらか 1 つだけを選択する必要がある場合には、レジリエンスが常に最良の選択となります。幸いなことに、保護されていない事業​​はあまりにも採算が合わなくなってきているため、保険会社もこれに同意している。

アッシクルシ

サイバー保険、特にランサムウェアに関連する保険は、被保険会社が強力なサイバー回復力と確立された災害復旧計画を備えた世界に向かって進んでいます。 defi攻撃の影響と、不変のバックアップを通じて復元する際のダウンタイムのコストを軽減するためにのみ、保険を使用します。これは、企業が保険のみに依存する世界よりも、ランサムウェアに対してはるかに耐性のある世界です。  

BlogInnovazione.it