211service.com
保険会社はサイバー災害に価格をつけるためにスクランブリング
ジャックサックス
1992年、ハリケーンアンドリューはフロリダの南海岸を荒廃させ、数十人を殺害し、250億ドル以上の被害をもたらしました。嵐はまた、不動産保険会社がそのような自然災害の潜在的なコストを定量化する方法の重大な弱点を明らかにしました。多くの保険会社は、嵐の後の数ヶ月で大きな損失を被り、 いくつか失敗しました 。
今日、保険会社は、新しい種類の潜在的な大惨事の経済的範囲を理解するのに苦労しています。これは人為的なものであり、壊滅的なサイバー攻撃です。 1992年の教訓のいくつかが当てはまりますが、他の点では、これは解決すべき非常に異なる種類の問題です。
AIGやChubbを含む大手保険会社は、1990年代後半からサイバーポリシーを提供しており、現在、約80社がそれらを販売しており、そのほとんどがデータ侵害に重点を置いています。一連の注目を集める攻撃により、ハッカーが深刻な懸念を引き起こしていることを経営幹部に納得させたため、サイバー保険の市場は最近急速に成長し始めています。プライスウォーターハウスクーパース 見積り 企業は2020年にサイバー保険に75億ドルを支払うことになります。 推定 2015年には27.5億ドル。
それでも、保険会社はサイバーリスクの性質を把握し、壊滅的な損失に対して脆弱にならないようにポリシーを構築する方法を理解するのに苦労しています。
人々はサイバーセキュリティをITの問題ではなくビジネスリスクと見なし始めていると、保険会社がサイバーリスクをモデル化するのを支援する3年前の会社であるCyenceのCEOであるArvindParthasarathiは言います。つまり、これを認識することは明確な解決策の問題ではなく、排除することはできませんが、管理できるリスクです。さて、Parthasarathiは言います、幹部は尋ねています、私はどれくらいのリスクを維持するのが快適ですか?
保険会社は、新しいサイバーセキュリティポリシーの価格設定方法を決定しようとするのと同じ質問をしています。現代のサイバー脅威は複雑で急速に進化しています。最も差し迫った課題は、サイバー災害が一度に多くの保険契約者を襲うリスクを定量化し、最悪のシナリオでの最大損失を見積もることです。それが、ハリケーンアンドリューの前に保険会社が失敗したことです。
ハリケーンアンドリューに匹敵する規模のサイバー災害は、まだ発生していないため、モデル化が困難です。昨年10月、ハッカーがコマンド付きWebカメラ、DVR、その他のモノのインターネットデバイスのネットワークを使用して、インターネットトラフィックの主要ルーターであるDynに大規模なサービス拒否攻撃を仕掛けたときに、このような災害が発生する可能性がある方法を垣間見ることができました。この攻撃により、Amazon、Netflix、Spotifyなどの多くの著名なWebサイトが、米国内の何百万ものユーザーが何時間も利用できなくなりました(10 Breakthrough Technologies 2017:Botnets of Thingsを参照)。
Dyn攻撃のコストはまだ明らかではありませんが、Cyenceの見積もりによると、AmazonのS3クラウドストレージシステムの最近の4時間の停止(サイバー攻撃の結果ではありません)は、S&P500企業に少なくとも1億5000万ドルのコストをかけました。クラウドサービスへの大規模な攻撃が数十億の損失を引き起こすことを想像するのは難しいことではありません。
従来の物理インフラストラクチャに対するサイバー攻撃 グリッドのかなりの部分を取り出しました ウクライナのキエフでは、12月も懸念事項です。一部の人々は、この攻撃をロシアの国家が後援するハッカーに帰したとしています。保険市場 ロイズオブロンドン 最近、米国北東部の停電で9,300万人が停電するという仮説のシナリオを分析しました。そのようなイベントは、保険会社に210億ドルから710億ドルのコストがかかる可能性があると結論付け、そのようなリスクのコストを特定することがいかに難しいかを示しています。
サイバーリスクを定量化しようとする課題は、保険会社がこの種のリスクの経験がほとんどないという点で、1990年代に直面したものといくつかの点で似ています。保険会社が今日信頼している複雑で詳細な自然災害モデルの根底にあるデータセットを構築するのに15年かかりました、と保険会社の壊滅的なリスクモデルを開発するリスク管理ソリューションの製品マネージャーであるトムハーベイは言います。サイバーにとって物事ははるかに速く進んでいますが、企業が収集するデータはまだかなり一貫性がない、と彼は言います。そのため、情報を集約して業界の動向を調査することは困難です。
もちろん、自然災害とサイバー災害のモデリングには重要な違いがあります。これは、熟練した人間が物理法則ではなくサイバーイベントを推進するという事実から始まります。ハッカーの動機、戦術、技術、およびターゲットは、新しい防御を克服するために急速に変化します。課題は、アクティブな敵を理解することです、とCyenceのParthasarathiは言います。彼の会社は、攻撃者の行動をモデル化するためにゲーム理論と行動経済学を利用しています。
インターネットの地理を理解することも、大規模なサイバー攻撃のリスクを評価するために重要です。保険会社は、貴重なデータが保管されている場所の地図を必要としています。これには、それらの資産の所有者が資産をどの程度保護しているかに関する情報も含まれます、とBitSightのCTO兼共同創設者であるStephenBoyerは述べています。 Boyerの会社は、インターネットに保存されている資産のこの種のマッピングを行い、それらの資産を所有する組織のセキュリティパフォーマンスを測定します。
保険会社は、ハリケーンアンドリューの前にフロリダの海岸ですべての人をカバーするサイバーバージョンを実行することを避けなければなりません、とボイヤーは言います。そこで停電が発生すると、誰もが主張していると彼は言います。