出典: Olekcii Mach via Alamy Stock Photo
英国の著名な店舗に対する攻撃の波を受けて、米国の小売業者は警戒を強めています。これらの攻撃は保険料やポリシーの要件に影響を与える可能性がありますが、その程度はどのくらいでしょうか?
過去数ヶ月間、Co-Opグループ、Marks and Spencer、ロンドンの高級店Harrodsを含む主要な英国小売業者に対するランサムウェア攻撃の報告が複数ありました。Harrodsは攻撃を検知し阻止したと確認しましたが、Marks and Spencerはそうではなく、4億ドルのコストを見込んでいます。
Google Threat Intelligence Groupの新しい研究によると、英国の小売業者に対する攻撃と米国の小売企業を標的とした最近の攻撃との関連が見つかりました。これらの米国の小売業者は、サイバー保険の提供者がこれらの攻撃を慎重に調査していることを認識すべきです。
保険料が上昇する可能性
Google Cloudのビジネスリスクおよび保険部門の責任者であるMonica Shokrai氏によれば、最近数ヶ月間、サイバー保険料は安定しているか、さらには低下しています。しかし、攻撃の量が多いため、請求の頻度が増加しています。Googleは、英国の小売業者に対する攻撃がサイバー保険にどのように影響するかを理解するために監視しています。保険料の増加が一つの結果となる可能性があると彼女は述べています。
関連記事:女性のためのより安全なオンラインスペースを作るための専門家の道筋
“ある時点で、頻度と深刻度の増加 — 非常に深刻な攻撃があるため — が保険市場に追いつき、保険料の上昇を見ることになるでしょう” とShokrai氏は述べ、”比較的” 早くそれが起こると予想しています。”それは単に数学の問題です。私たちはそれを非常に注意深く見守っています。”
歴史的に脆弱であったり、管理が弱い組織では保険料が上昇する可能性があると、サイバーリスク会社Resilienceのチーフデータ&アナリティクスオフィサーであるDr. Ann Irvine氏は述べています。一方で、ポリシーは財務的保護(Marks and Spencerのケースのように)、インシデント対応サービス、法医学的専門知識、リスク軽減パートナーシップを提供しますとIrvine氏は付け加えます。”このような著名な攻撃は、サイバーリスクを慎重に評価する重要性を再認識させ、サイバー保険は通常その評価の一部です” とIrvine氏は述べています。
リスク管理に注力
保険料の上昇に加えて、攻撃は組織により厳格なポリシーの実施を促す可能性があります。脅威が進化し悪化するにつれて、保険会社は強力なリスク管理と準備、特定のコントロールとベストプラクティスにより重点を置く可能性が高いとIrvine氏は説明します。
懸念の一つは、特に小売のような比較的セキュリティが未成熟な業界では、企業がサードパーティのリスクをほとんど把握していないことです。
関連記事:サイバーリスク計算機が評価の推測を排除
“小売業者がデジタル化を進め、複雑なパートナーネットワークを通じてオンライン事業を拡大し続ける中で、攻撃の可能性は増すばかりです” とIrvine氏は警告します。”そして、それらはデータだけでなく、支払いシステム、在庫管理プラットフォーム、配送物流などの重要な運用技術をも標的とするかもしれません。”
現在の料金は不安定
Coalitionもまた、英国の小売業者に対する広範なランサムウェア活動を追跡し、米国のトレンドを監視しています。注目の多くは著名な被害者に向けられていますが、小規模な店舗も同様の脅威に直面しています。同社の研究チームによれば、2025年にランサムウェアグループによって公に標的とされた英国企業133社のうち、4分の3は従業員が200人未満でしたと、CoalitionのチーフレベニューオフィサーであるShawn Ram氏は述べています。
“実際、従業員が10人未満の企業が影響を受けた数は、10,000人以上の企業よりも多いのです” とRam氏は述べています。”大手小売業者はそのようなインシデントを乗り越えるためのリソース — しばしばサイバー保険も — を持っていますが、ほとんどの中小企業は迅速に回復するための財務的な回復力と保護を欠いています。”
最近の攻撃の波は、保険会社が攻撃が成功する要因を理解し、リスクをよりよく評価し、組織のリスクに価格を設定するための洞察を提供します。データの不足と、特にランサムウェアにおける脅威の進化のため、リスクを評価することは困難です。例えば、COVID-19パンデミックのロックダウン、リモートワークへの急激な移行、ランサムウェア活動の急増を受けて、2020年と2021年にサイバー保険料は急騰しました。2年後、企業のセキュリティ態勢は改善しましたが、料金は依然として絶えず変動しています。
関連記事:効果的なセキュリティプログラムの構築には戦略、忍耐、明確なビジョンが必要
“不安定な料金の問題の一部は、保険会社全体でリスクの価格設定方法がよく理解されていないことにあります” とShokrai氏は述べています。”それはデータの問題に帰着します — 検証可能なデータ、内外のデータ、そして大規模なデータ — なぜなら、非常に多くの異なるセキュリティプレイヤーとテクノロジープロバイダーが存在するからです。”
最新のDark Reading Confidentialポッドキャストをお見逃しなく、最もあり得ない場所でAPTグループを見つけた日、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックと、その過程で発見した驚きを共有します。今すぐ聴く!