Technológia

A biztosítók nem voltak felkészülve a ransomware vállalásának kihívásaira

A biztosítási szektor hozzájárulása a fejlődéshez kiberbiztonság az eddigi legjobb gyakorlat korlátozottabb volt, mint azt mind a döntéshozók, mind a vállalkozások kedvelhetik, és az egész iparágra kiterjedő visszaállításra lehet szükség a kiberbiztosítók ügyletének elősegítéséhez az előttük álló kihívásokkal, különösen a ransomware által okozott „egzisztenciális fenyegetés”.

Ez egy újonnan megjelent cikk szerint, amelyet a Royal United Services Institute (Rusi) agytröszt, amely fényt derített a kiberbiztosítók előtt álló kihívásokra; a ransomware mellett ezek tartalmazzák a kockázati adatok gyűjtésével és elemzésével kapcsolatos problémákat.

Az újságban A kiberbiztosítás és a kiberbiztonsági kihívás, ami a nyilvánosság számára letölthető Jamie MacColl, a Rusi kibernetikai elemzője, munkatársa, Jason Nurse (szintén a Kenti Egyetem kiberbiztonsági docense) és James Sullivan kiberkutatási igazgató azzal érvel, hogy az ágazat érlelődésével a kiberbiztosítás potenciálisan betöltheti a biztosítók által betöltött szerepet más iparágak, például a jó kockázatkezelés jutalma vagy pénzügyi előnyök – vagy akár speciális ismeretek és segítség – felajánlása azoknak a szervezeteknek, amelyek jobb biztonsági ellenőrzéseket és szabványokat hajtottak végre.

A cikk szerzői azonban azt mondják, hogy bár léteznek olyan erők, amelyek révén a kiberbiztosítás ösztönözheti a jobb biztonsági higiéniát, mindnek „jelentős korlátai vannak”, és a kialakulóban lévő kiberbiztosítási szektor „küzd az elméletből a gyakorlatba való áttérésért”.

Arra a következtetésre jutottak, hogy ha a kiberbiztosítás a kívánt hatást akarja elérni, akkor az ágazatnak sokkal jobban meg kell szereznie nemcsak a kiberkockázat megértését és azonosítását, hanem megbízható kiberkockázati adatok összegyűjtését és megosztását is a biztosítás és a kockázat modellezése érdekében.

Ezen adatok nélkül – állítja Rusi – a biztosítók és a viszontbiztosítók lényegében nem tudják pontosan felmérni az ügyfelek kockázatát vagy biztonsági gyakorlatát, ezért nem tudják megfelelően árazni a díjaikat. Ezenkívül azt mondta, hogy a piacnak még nem kell átfognia a pénzügyi ösztönzők vagy kötelezettségek megfelelő alkalmazását a számítógépes gyakorlat javítása érdekében az ügyfelek körében.

A cikk kitér arra, hogy e hiányzó kapcsolatok eredményeként az ágazat valójában rossz irányba mozoghat, megjegyezve, hogy a kiberbiztosítókat bírálták – egyes esetekben magas szinten – az internetes bűnözőknek történő ransomware-fizetések megkönnyítése érdekében. Ezzel a kritikusok szerint további számítógépes bűncselekményekre ösztönöznek, és lehetővé teszik a meglévő bűnbandák számára, hogy befektessenek és bővítsék képességeiket. Megállapítja, hogy a ransomware-t érintő kockázatvállalási okok kritikátlanul okozott veszteségei hogyan járultak hozzá egyes biztosítókhoz is – mint például az AXA – néhány piac elhagyása.

Rusi számos ajánlást fogalmazott meg a kiberbiztosítók számára, hogy fordítsák a helyzetet. Ide tartozik a minimális biztonsági követelményekről szóló kollektív megállapodás a kkv-k kockázatértékelési folyamata során; és további együttműködés a felügyelt biztonsági szolgáltatókkal, a felhőszolgáltatókkal és a fenyegetés-elhárítási szakemberekkel az ügyfelek adatainak megérintésére.

Arra is sürgeti a Kabinetirodát és a Crown Commercial Service-t, hogy dolgozzon ki olyan politikai és jogi keretet, amely kötelezővé teszi a kiberbiztosítási fedezetet az állami beszállítók és szállítók körében.

Azt sugallja, hogy Nemzeti Kiberbiztonsági Központ (NCSC), Nemzeti Bűnügyi Ügynökség (NCA) és a biztosítással foglalkozó érdekelt felek, hogy forduljanak a köz- és magánszféra meglévő partnerségi modelljeihez a számítógépes események és a pénzügyi bűnözés leküzdése érdekében, és hozzanak létre információcsere-kapcsolatokat a fenyegetésekkel kapcsolatos információk és a váltságdíj fizetésével kapcsolatos adatok cseréjéhez – mindezt név nélkül; a biztosítóknak meg kell határozniuk, hogy a ransomware lefedettségi politikáknak felajánlással kell megbízniuk a kötvénytulajdonosokat, ha azok megtámadják, és fizetés előtt értesítik az NCSC-t és az NCA-t; és hogy a biztosítási szektornak együtt kell működnie az NCSC-vel és a kibertársakkal a fenyegetésekkel kapcsolatos információk és a kárigények adatain alapuló minimális ransomware-ellenőrzések létrehozása érdekében.

Rusi is felszólította a Nemzetbiztonsági titkárság szakpolitikai felülvizsgálat lefolytatása a ransomware-fizetések törvényellenes betiltásának megvalósíthatósága és alkalmassága tekintetében.

Úgy tűnik, egyre nagyobb a támogatás a ransomware-fizetések valamilyen tilalmának bevezetésére; korábban 2021 júniusában közzétett jelentés egy ransomware-ellenes kampány elindításának jegyében, #Ransomaware, azt állította, hogy a kiberbiztonsági szakemberek csaknem 80% -a és a fogyasztók körülbelül ugyanannyi aránya támogatná a tiltást.