サイバーセキュリティとITの専門家3000人を対象とした最近の調査によると、昨年サイバー保険に加入した組織のうち、この傾向がサイバー保険適用範囲に直接的に影響したと報告した組織は95%にのぼりました。
・「保険に加入する力に影響した」との回答が60%
・「保険にかかるコストに影響した」との回答が62%
・「契約条件に影響した」との回答が28%
サイバー保険はリスク損失管理戦略の重要な要素ですが、止まないサイバー攻撃と保険料の上昇により、費用対効果を分析することが一層難しくなっています。保険料の上昇や、より適切なシステムバックアップの実行を組織が習得するのに伴い、サイバー保険よりもシステム復旧手順への投資を増やすことを選ぶ組織もあります。
保険会社は、保険料率の引き上げに加え、リスク・エクスポージャーを最小限に抑えるため、保険契約に除外条項を設けています。過去2年間、多くのサイバー保険会社が、地政学的紛争やその紛争の対応に関連した国家レベルの活動がもたらす影響も含め、壊滅的なサイバーリスクの可能性に重点的に取り組んできました。
例えば、ロイズ・オブ・ロンドンは、戦争に関する新たな除外文言を設けています。また、マーシュは、保険会社に対し、戦争や壊滅的なサイバーリスクへのアプローチについて顧客に代わって質問を続けています。
保険会社は、サイバー攻撃の連鎖的影響を測定するリスクと複雑さを定量化するという課題に直面しています。
この途方もない課題は、サイバー攻撃の脅威が急速に変化しているため一層複雑になっています。被保険者の内部環境を分析するための継続的なモニタリングと再評価が行われなければ、リスクの定量化は静的とみなされ、予測において依拠することは困難です。
インシデンスレスポンスの複数の事例は、サイバーセキュリティ対策の予算が8桁の額にのぼるフォーチュン1000企業が、ツールの導入不足や重要資産のインベントリの欠如が原因で不正アクセスの危険にさらされていることを示しています。また、社内や第三者機関によるアクセスの適切な管理は、依然としてあらゆる組織の課題となっており、これを質問票や管理チェックリストで明らかにすることはできません。
サイバーリスク管理は、さまざまな方法で促進されています。予測的集約モデルの進歩や、サイバー衛生の向上、投資の優先順位付けの方法、企業と公的機関の情報共有の拡大、サイバーレジリエントな社会を支援する政府の対策や規制の強化などです。
これらの進歩によって内部リスク管理が改善されるものの、その鍵を握っているのは詳細かつ信頼性の高い継続的なデータです。