議会は、期限切れのテロ保険プログラムの更新を利用して、サイバーセキュリティ保険のための連邦バックストップを作成すべきだと、火曜日に発表された報告書が述べています。この報告書は、著者が発展が遅れていると指摘する業界を強化するために、多くの困難な課題を解決しようとしています。
理想的な世界では、サイバーセキュリティ保険は、保険契約者を保護し、すべての人がより良いサイバー慣行を採用するよう促す貴重なツールとなり得ますが、さまざまな課題の中でその完全な潜在能力を発揮するためには政府の介入が必要ですと、D.C.に拠点を置くシンクタンク、Foundation for Defense of Democraciesのためにニック・レイサーソンが研究で書いています。
「過去20年間の大規模な成長にもかかわらず、サイバー保険は政策立案者の期待に応えていません」とレイサーソンは書いています。「重大なカバレッジギャップがあります。悪意のあるサイバーアクターによるほとんどの損害は保険でカバーされていません。市場は未成熟であり、保険料、契約、および引受において年ごとの大きな変動があります。サイバーリスクの価格設定はまだ初期段階であり、この市場主導のアプローチからの教訓は、より広範なサイバーポリシーの議論やサイバーセキュリティの運用活動に反映されていません。」
CyberScoopはこの論文を最初に報告しており、連邦のサイバーセキュリティ再保険プログラムを作成するための最良の賭けは、2027年のテロリズムリスク保険法(TRIA)の期限切れに結び付けることだと予測しています。議会は、9月11日のテロ攻撃後に、保険保護が不足する恐れがある大規模なイベントのために連邦バックストップを作成するためにこの法律を可決しました。
保険契約の仕組みを考えると、TRIAの再承認のための議会の実際の締め切りは2026年末であるため、2025年は行動を起こすための重要な年であり、審議を開始し、法律を作成するために必要ですとレイサーソンはCyberScoopに語りました。
TRIAに似たサイバーセキュリティ再保険プログラムの作成に対する懐疑論者は、必要なデータの不足などの理由で困難であると主張しており、納税者の負担やその他の要因のためにそもそも推奨されないかもしれません。
レイサーソンの提案は、サイバー問題に取り組んできたヒルのスタッフや国家サイバーディレクターのオフィスで働いていた経験を持ち、現在はInstitute for Security and Technologyの政策担当上級副社長である彼が、これらの課題に答えるとともに、現在業界が直面している課題にも取り組んでいます。
基本的な推奨事項:「議会は、ほとんどのサイバー保険ポリシーで既にカバーされているサイバーインシデントに関連するシステミックリスクを軽減するために設計された再保険プログラムを設計し、承認すべきです。このプログラムは、特定の閾値を超える政府の共同保険を提供し、総責任に上限を設け、トリガーされた場合には回収を通じて資金を調達するべきです。」
レイサーソンはCyberScoopに対し、回収メカニズムは、保険会社が時間をかけて支払う一種の料金または税金であると語りました。これは、たとえば「ウイルス性のワームが世界中に野火のように広がる」場合に、政府のバックストップが発動された後に適用されると彼は書いています。バックストップがなければ、十分に壊滅的な攻撃は連邦のスタッフォード法災害復旧法を引き起こし、政府と納税者が結局負担を負うことになるだろうと彼は述べました。
保険会社はおそらく回収コストを顧客に転嫁するでしょうが、リスクの増加が保険料の上昇につながるのは業界では自然なことですと彼は述べました。そして、バックストップが一度も使用されなかった場合、それは「単に今日のより安い資本と低い保険料の利益を国が享受することを可能にするだろう」と彼は書いています。
既存のカバレッジギャップを考慮すると、今日サイバーセキュリティ保険ポリシーで既にカバーされているリスクに提案を限定することのポイントは、バックストッププログラムが「テールリスク」としてのまれなイベントに対する保護を提供することによって資本コストを安くし、それがより多くのカバレッジのための低い保険料に変換されるだろうということですとレイサーソンは述べました。
バックストップは、その参加者によるデータ共有の要件を伴うべきだと論文は推奨しています — データは匿名化され、政府または指定された第三者と共有されます。
「検証されたサイバーインシデントデータを入手するのは難しい」と研究は述べています。「被害者のシステムの制御環境に関する情報とペアになったデータを見つけるのはさらに難しいです。評判の損害や株主や顧客による訴訟の恐れから、被害者組織はそのようなデータを共有することに非常に消極的ですが、少なくともある程度は保険会社と共有しています。」
Foundation for Defense of Democraciesのサイバーおよび技術革新センターのシニアディレクターであるマーク・モンゴメリーは、シンクタンクの次のステップは、法案の草案を書き、議員に提示することだと述べました。