サイバー保険の問題に直面して、地方自治体は他の選択肢を見つけます

5月11日-地方自治体は、ランサムウェアの熾烈な脅威と、支払うかどうかについての厳しい決定に直面しています。 彼らが課題を乗り越えようとするとき、多くの人は、サイバー保険の資格を取得して維持することのコストと複雑さが増していることに気づき、包括的な補償範囲を手の届かないところに置いています。

サイバーセキュリティ会社SophosのStateofRansomware 2022のレポートによると、昨年、世界中の州および地方自治体の約半数がランサムウェアの恐喝を支払いました。 この調査では、2022年1月と2月にさまざまなセクターのIT専門家を対象に調査を行い、米国から500人、その他の国から5,100人の回答者を集めました。

その報告は世界的に見られましたが、ボストンCISOと市CISO連合の共同議長であるGreg McCarthyは、支払い率が地方自治体の観察と一致しているとGovTechに語りました。

これは世界的に比較的高い支払い率であり、K-12教育セクターのみがトップになっています。 ソフォスは、2021年に州および地方の機関の49%が支払いを行っており、K-12エンティティの53%が同じことを行っていることを発見しました。 スペクトルのもう一方の端には、32%しか支払っていない金融サービス組織がありました。

ランサムウェアの政府レート?

利益を追求するサイバー犯罪者は、被害者が余裕があると思うものまで交渉することをいとわないことがよくあります。

世界中の州および地方自治体は、最終的に2021年に身代金あたり平均214,000ドルを支払うことになりました。これは、セクター全体で2番目に低い料金です。 しかし、マッカーシーは、偶然にも、彼は50万ドルの球場での金額を聞いたと言いました。

身代金の価格を交渉することで、政府がバックアップのステータスを確認し、支払いなしで回復できるかどうかを判断する時間を稼ぐことができると、約820の郡ITリーダーのネットワークを持つ全米郡協会(NACo)のCIOであるRitaReynolds氏は述べています。 520の郡から。

回復への遅い道

身代金を支払うことは、通常に戻るための迅速な道を保証するものではありません。 セクターを超えた組織は、「最も重大な攻撃から回復するのに」1か月かかりました。 恐喝を支払ったものと差し控えたものを区別しませんでした。 また、レイノルズ氏は、米国のGovTech郡では、回復時間が長くなることがよくあると語った。

被害を受けた組織は、サービスをオンラインに戻す前に、システムからウイルスの痕跡をすべて削除したことを注意深く確認する必要があるためです。 マッカーシー氏によると、身代金を支払う影響を受けるエージェンシーは、データが破損せずに到着するという保証もありません。そのため、攻撃者が攻撃を再開できるバックドアを隠さないように時間をかける必要があります。

マッカーシー氏によると、復旧は通常段階的に行われ、影響を受けた代理店が最初に最も重要な資産(1か月以内に管理する可能性のあるタスク)を復元し、完全に正常に戻るまでに時間がかかります。

大きな支払いの議論

支払うかどうかは複雑な計算です。

場合によっては、それは法的な問題です。ノースカロライナ州は最近、政府機関による支払いを禁止しましたが、Sophosは禁止事項が常に機能するとは限らないと述べています。 イタリアはこの慣行を非合法化しましたが、調査対象のイタリアのランサムウェア被害者の43%が支払いを報告しました。

しかし、選択を与えられた機関にとって、生命に不可欠なサービスの停止やシステムを自分で回復できないことに直面している機関は、恐喝に屈することを余儀なくされていると感じるかもしれません。 そしてマッカーシー氏は、バックアップからデータを復元できる政府でさえ、ハッカーが居住者の機密情報を漏洩するのを防ぐためにお金を払うかもしれないと言った。

しかし、代理店は、犯罪者が実際に侵入するかどうかをより正確に推測するために、ハッカーの身元と動機も考慮する必要があります。

「脅威のアクターが誰であるかを知ることは、パズルにとって非常に重要な部分です」とマッカーシーは言いました。

Alan Sharkは、地方自治体に研究、専門能力開発、コンサルティングを提供するメンバーシップグループであるCompTIAのPublic Technology Institute(PTI)の常務取締役です。 シャーク氏は、1年半前に行動したランサムウェアハッカーは、お金と引き換えにデータを返すという約束を支持することがよくありましたが、今日の動きの速いサイバー強奪者の新しい作物は、どの犠牲者が支払ったか、支払わなかったかを覚えていることにあまり警戒していないようです。彼らは取引をやり直す傾向があります。

支払いはまた、ハッカーがシステムを離れたり、再び攻撃するのを避けたりすることを保証するものではない、とシャークは思い出させた。 また、必ずしも完全に回復するわけではありません。Sophosは、身代金を支払い、データの平均59%を受け取った世界中の州および地方自治体を見つけました。これは、セクター全体の平均回収率60.6%をわずかに下回っています。

多くの場合、これらの評価を行うのは政府だけでなく保険会社でもあります。

保険会社はクライアントのためにランサムウェアの交渉を行うことが多く、抵抗するよりも支払うほうが安いと考える場合があります。 シャーク氏は、フロリダ州リビエラビーチが600,000ドルの身代金を支払った2019年にこれが当てはまると述べた。

世界的に、州および地方自治体は、「最も重大な」サイバーインシデントの際に保険基金の身代金を支払う可能性が平均的な組織よりもわずかに高く、セクター全体で40%であるのに対し、49%がこれを報告しています。 一方、全組織の77%と比較して、政府機関は保険会社に復旧と運営の費用を支払わせる可能性が大幅に低く、44%がそのような支払いを受け取っています。

前提条件マウント

保険会社が価格を引き上げ、クライアントが補償範囲を取得または更新するためのさまざまなベストプラクティスを満たすように要求するにつれて、サイバー保険の補償範囲を確保することは米国の市や郡にとってますます困難になっています。

将来の地方自治体の顧客を引き受けるリスクを評価したい保険会社は、サイバーセキュリティのトレーニングと防御を詳述した11ページの申請書に記入するように依頼するかもしれないとシャーク氏は述べた。 ReynoldsとMcCarthyの意見によれば、保険会社が望んでいるサイバーセキュリティ対策は合理的です。 しかし、それでも都市が実施したり、余裕を持ったりするのは難しい場合があります。

「質問票は非常に詳細です。最初の質問は、ほとんどの場合、多要素認証がありますか?郡が「いいえ」と答えた場合、サイバー保険に加入することをほとんど忘れることができると繰り返し聞いています」とレイノルズ氏は述べています。 。 「10の郡のうち9つの郡と会話すると、サイバー保険の取得または更新が困難であると言われます。」

地方自治体は、多くの場合、ベストプラクティスを満たすことで値を付けられます。

「妥当な料金を得るために実施する必要のある管理の数やセキュリティ対策の数は、小さな自治体が実施することはほぼ不可能です」とマッカーシー氏は述べています。 「それは、「OK、10個の新しいテクノロジーまたは10個の新しいソフトウェアを実装する必要がある」のようなものです。」

ただし、インフラストラクチャ投資および雇用法により、今後4年間で州および地方政府に10億ドルのサイバーセキュリティ資金が提供されるため、ある程度の救済が見込まれます。

しかし、アプリケーションを完成させるプロセスでさえ、ITに関する重要な専門知識が不足している場合、小規模なエージェンシーが処理できる以上のことになる可能性があります。

「これらの11ページは非常に複雑であるため、多くの小さな地域ではそれをどのように記入するかがわかりません」とShark氏は述べています。 「そして、あなたがそれを間違って記入した場合…あなたは基本的に記録を偽造したので、保険会社が支払う義務はありません。」

これらの懸念にもかかわらず、「75人を超える」地方自治体のIT幹部の90%が、2021年8月から9月のCompTIA/PTI調査でサイバー保険に加入していると報告しました。 その発見は彼らが十分な保険を持っているかどうかを捕らえないかもしれませんが; シャークは、カリフォルニアの都市で卓上演習を実施したことを思い出しました。これにより、当局は、200万ドルの計画が400万ドルであるはずだと気づきました。

創造性を発揮する:自家保険とサイバー保証

ボストンのような一部の都市は、自家保険を選択しています。これは、組織が緊急費用を支払うための資金を予算化する慣行であり、多くの場合、保険料に費やされる金額を節約することを期待して行われます。

一部の自治体は、一定の費用額まで自家保険に加入し、それを超える費用をカバーするために再保険を購入する可能性があるとシャーク氏は述べた。 クライアントがより多くのリスクを引き受けるため、再保険はより安くなる傾向があります。

また、マッカーシー氏は、マネージドサービスプロバイダー(MSP)が顧客にランサムウェアとデータ侵害の保証を提供する新しい市場が出現していると述べました。

たとえば、クラウドストライクのエンドポイント検出プラットフォームのサブスクライバーは、「サイバー恐喝の支払い」と特定の「[data] 重大なセキュリティインシデントが製品によって保護されているエンドポイントのオペレーティングシステムに影響を与えた場合にカバーされる「違反対応費用」。これには、最大$100,000の身代金が含まれます。

十分なサイバー保険を提供するのに苦労している自治体は、代替または補足としてそのような保証に頼るかもしれません。

メリーランド州レオナルドタウンがカセヤに対するランサムウェア攻撃の影響を受けたとき、市は回復支援のために最初にMSPに頼ることができたとシャーク氏は語った。 MSPは、市がサイバー保険会社と契約することを避け、保険料が上昇するリスクを冒して、彼らが回復するのを助けることができることを証明しました。

もちろん、MSP(または保険会社)ができることには限界があります。

MSPは一定額の費用までの資金提供を約束するかもしれませんが、身代金の空白の小切手を書くことはありません、とSharkは言いました。 また、一定の時間内に顧客の支援を受けることを約束することはできますが、データの回復やその他の結果を保証することはできません。

保険も役に立ちますが、全体像ではありません。

「郡が今よりよく理解しているもう一つのこと [is that] サイバー保険は、「あなたを救済する」ためのものではありません。 それはあなたがまだ必要としている保険ですが、郡が優れた基本的なサイバー衛生を行っていることが重要です」とレイノルズ氏は述べています。

NACoは、郡が四半期ごとにシミュレートされたサイバー攻撃トレーニングに参加することを奨励し、ベンダー契約で迅速なインシデント通知が必要であることを確認し、たとえば、Webサイトの脆弱性を自動的にチェックできるツールなどを採用します。

侵害の可能性を減らすためにエアギャップバックアップを作成するなど、強力なリカバリ戦略も不可欠です。 そして、バックアップの作成は戦いの一部にすぎません。 政府はまた、定期的に政府からの回復を実践する必要があります。

___

(c)2022政府の技術

www.govtech.comでGovernmentTechnologyにアクセスしてください

によって配布 トリビューンコンテンツエージェンシー、LLC。

Leave a Reply

Your email address will not be published.