イギリス政府によるジャガー・ランドローバーへの数十億ドルの救済措置は、セキュリティ専門家からは良い判断ではないと見なされている。
昨年設立されたイギリスの組織に影響を与えるサイバーイベントを監視、定義、分類するために設立されたサイバー監視センター(CMC)の上級メンバーは、ジャガー・ランドローバー(JLR)に提供された15億ポンド(約20億ドル)の政府ローン保証が最初から行われるべきだったのかどうかを今週疑問視しました。
CMCの初年度の活動を概説した王立統一サービス研究所(RUSI)が主催するイベントで、CMCのサイバー監視技術委員会の議長であるシアラン・マーティンは、イギリス最悪のサイバーインシデントの1つとして説明されている攻撃に続いて昨年発表されたローン保証について説明しました。
「個人的に発言していることを強調しておく必要があります。ローン保証は不幸な先例だと思います。なぜなら、そのような介入がどのような形をとることができるかについての明確な基準なしに、一連の出来事に対応して、政府が単独のケースに対応する方法で介入したからです」とマーティンはパネルディスカッションでCMC幹部およびトレイシー・ポール(Pool Reのテロリズム再保険会社の最高戦略・コミュニケーション責任者)とともに述べました。
RUSI Distinguished Fellowでもあるマーティンは、「明らかに、合理的な国民が何らかの政府活動を期待する、もっともらしく、現実的で悪いシナリオのセットがあります。しかし、強制保険であれ、税制優遇措置で保険を促進することであれ、州の介入を引き起こすことになる一連の原則であれ、フレームワークがあった方が良いでしょう。そしてどのような形で?ローン保証?何か他のこと?」と述べました。
事態をさらに複雑にするために、ポールは今日サイバー保険の保護ギャップがあることに言及しました。「政府と保険業界およびサイバーエコシステムの他の部分とのパートナーシップなしに、潜在的な経済的損失と保険対象の損失の間のこのギャップを埋める方法がわかりません」と彼女は述べました。業界は事前資金提供されたモデルを持っており、保険会社が資金を使い果たした場合、政府が介入して損失を支払うためのお金をローンする政府との契約を持っています。
「しかし、それが1つの方法であり、彼らは別の方法でそれをする柔軟性が欲しいと思います」と彼女は述べました。「しかし、私が思うことは、あなたがそれの周りに何らかの構造を持たない限り、公共部門と民間部門の間のリスク移転を行うことはできないということです。そしてある時点で、政府はそれが何のように見えるかについて話し合いのテーブルに来なければならないでしょう。」
イベントの影響は「経済全体に波及する可能性がある」
アナリストはマーティンの懸念を共有しています。
エリック・アヴァキアン(Info-Tech Research Groupの技術顧問)は金曜日に、彼は「数年間、攻撃者が純粋な小規模な混乱型の攻撃(DDoSを考えてください)から会社の運営の壊滅的な混乱と破壊へと移行し始めると予測してきた」と述べました。
JLRでの事件は、「本当に企業の事業運営の全体的な回復力に影響を与えることについて語っています。そして、それが起こると、その影響は単なる四半期の収益の低下を超えることができます。」と彼は述べました。
アヴァキアンは、「ジャガー・ランドローバー攻撃で見たことは確かにそれの典型的な例であり、サイバーインシデントがITシステムだけでなく経済全体に波及する可能性のある影響の方法で実世界の運営をシャットダウンできることを示しています。ここでは、サイバー攻撃が国のGDP、雇用に直接影響を与え、国家輸出に混乱をもたらす可能性があります。」と追加しました。
彼はマーティンの感情に同意し、「私の意見では、このようにローン保証で政府が介入することは、いくつかの企業がサイバーリスクのために失敗するには重要すぎると見なされる可能性があるというシグナルを作成して送信しています。成功した攻撃がそのような大きな結果をもたらす可能性があることを知っている場合、大きな重要な組織はサイバー犯罪者の主要なターゲットになる可能性があるため、これは危険な先例を作成することができます。」と説明しました。
アヴァキアンは、「企業が彼らのためにそこにある暗黙のセーフティネットがあると信じている場合、彼らはセキュリティに過小投資する可能性がある」新しいリスクにつながる可能性があると述べました。サイバーレジリエンスはこれまで以上に重要であり、違反を防ぐ方法だけでなく、サイバー攻撃に直面して事業運営を継続する方法についても、組織がセキュリティとリスク管理をどのように考えるかの中心に据えるべきです。」
デビッド・シップリー(Beauceron Securityのストレース)は、「保険を使用して、短期的にはより高価で、長期的にはより効果的な方法でリスクを段ぶことを避ける方法で、モンスターが作成されました。」と追加しました。
なぜ、彼は、組織が「あなたが保険を購入できるだけで、多要素認証に全ての仕事を投資すべきなのか?」と尋ねました。問題は今、保険が供給するサイバー犯罪モンスターがゴジラサイズになり、すべての損害を保険することはできないということです。素晴らしい仕事です。」
業界への政府救済措置は、シップリーが述べたように、「同じ欠陥のある決定の次の悪い飛躍です。保険がサイバーリスク管理の誤りのクラックコカインであったなら、政府救済措置は企業フェンタニルです。多分スマートな答えは、商品やサービスの適切なセキュリティの実際の費用を説明し、お金を犯罪者の手に入れない方法に投資しなければならないということです。」
この記事は元々CIO.comに掲載されました。
