’n Losprysware-aanval kan finansieel verwoestend wees vir ’n maatskappy. In die eerste helfte van 2024 het die gemiddelde vraag na losprys was $5,2 miljoen, volgens Comparitech. Of maatskappye nou die eise van bedreigingakteurs betaal of nie, hulle moet die finansiële gevolge van stilstand, remediëring en handelsmerkskade trotseer. Kuberversekering kan maatskappye assist om daardie koste te dek. Maar moedig versekeringsmaatskappy se dekking van losprys bedreigingsakteurs aan om voort te gaan om slagoffers af te pers en hul eise te verhoog?
Anne Neuberger, Amerikaanse adjunk nasionale veiligheidsadviseur vir kuber en opkomende tegnologie, voer aan dat dit wel is. In ‘n Opinie geskryf vir die Financial Timesdoen sy ‘n beroep op versekeringsmaatskappye om op te hou om ransomware-betalings te dek. “Sommige versekeringsmaatskappye se polisse – byvoorbeeld wat die terugbetaling van losprysbetalings dek – stimuleer die betaling van lospryse wat kubermisdaad-ekosisteme aanvuur,” het sy geskryf.
InformationWeek het met vier kuberveiligheids- en versekeringskundiges gesels oor die kuberversekeringsmark en losprysware-neigings om die verhouding tussen die twee beter te verstaan.
Slimme kubermisdadigers
Die waarde van die kuberversekeringsmark is in die miljarde. Meeste organisasies met 100 tot 5 000 werknemers (90%) het ‘n soort kuberversekeringsdekking, hetsy ‘n individuele polis of as ‘n komponent van ‘n meer algemene polis, volgens ‘n verslag van die kuberveiligheidsmaatskappy Sophos.
Die bedrag van kuberversekeringsdekking en polisbesonderhede verskil baie na gelang van die versekerde en sy versekeringsmaatskappy. Maar sommige kubermisdadigers kan vaardig genoeg wees om daardie inligting te vind en tot hul voordeel te gebruik. As hulle ‘n versekerde se polislimiet ken, hoekom eis nie daardie presiese bedrag nie?
Gedurende sy tyd as kuberversekeringsonderskrywer, Andrew Correll, senior direkteur, kuberversekerbaarheid by Sekuriteit telkaart‘n kuberveiligheidsgraderings- en reaksiemaatskappy, het daarvan gehoor wat gebeur.
“Jy kan ‘n baie sterk afleiding maak dat die bedreigingakteur in die loop van hul onderhandelinge na beleidsdokumente verwys het,” deel hy.
Natuurlik gaan nie alle bedreigingsakteurs beleidsdokumente kan vind of selfs tyd neem om dit op te soek nie. In baie gevalle is losprysaanvalle opportunisties van aard. Kubermisdadigers soek vir kwesbaarhede en slaan op hulle af, en weet nie noodwendig of gee om of die slagoffer kuberversekeringsdekking het nie.
Maar die moontlikheid dat kubermisdadigers versekeringsinligting kan uitsnuffel, is genoeg om die sensitiwiteit van polisdokumente te oorweeg. Mark Millender, senior adviseur van globale uitvoerende betrokkenheid by eindpuntbestuursplatform Taniumsê dat dit ‘n standaardaanbeveling van versekeringsmaatskappye is om hierdie dokumente vanlyn te hou.
“Beste praktyk is vir enigiemand wat ‘n kuberversekeringspolis het om daardie polis in ‘n papierlêerkas te hou, nie op hul rekenaarstelsel nie,” sê hy. “In die moderne wêreld is ons internet gewoond daaraan om dokumente elektronies te kry en dit elektronies te stoor. So, ek weet nie … wat die opvatting van daardie aanbeveling is nie.”
Versekering en Ransomware-betalings
Ransomware-betalings het die hoogte ingeskiet. In 2024 het die blokketting-ontledingsfirma Chainalysis berig ‘n $75 miljoen ransomware betaling. Die firma beskryf ‘n neiging van “grootwild jag” waarin sommige lospryswaregroepe minder aanvalle uitvoer, in plaas daarvan om versigtig teikens met meer geld vir afpersing te kies.
Wanneer lospryseise in die multi-miljoene styg, is versekering ‘n no-brainer vir ondernemingsleiers wat aan risikobestuur dink. “Om ‘n kuberversekeringspolis te hê wat ‘n mate van losprys-afpersing dek, is amper soos ‘n reddingsboei vir die meeste organisasies wat internet nie die kontant byderhand het nie,” sê Correll.
Maar is versekerde maatskappye meer geneig om ‘n lospryseis te betaal? Versekeringsdekking kan beteken dat hulle nie in hul eie sakke hoef te delf nie.
“Dit is regtig moeilik om ‘n datapunt te trek om aan te dui of dit waar of onwaar is,” sê Peter Hedberg, visepresident, kuberonderskrywing by Corvus‘n kuberversekeringsfiliaal van Travellers Insurance coverage. Baie ransomware-aanvalle phrase immers nie aangemeld nie.
Een studeer onderhoude met 96 professionele persone in kuberveiligheid, kuberversekering, polis, losprysware-onderhandeling en wetstoepassing ingesluit. Die proefpersone van die onderhoude is gevra of hulle glo dat versekerdes meer geneig sou wees om lospryse te betaal. Die antwoorde het gewissel.
Sommige respondente het opgemerk dat die betaling van die losprys uiteindelik goedkoper kan wees as die alternatief: herbou na die skade wat veroorsaak is deur ‘n losprysaanval. Ander het opgemerk dat betaling nie ‘n gladde oplossing waarborg nie; dekripsiesleutels sal dalk nie werk nie, en die oorsaakontleding en herstel is steeds nodig. Om ‘n losprys te betaal, of nie, is ‘n besigheidsbesluit.
As ‘n versekerde kies om ‘n losprys te betaal en ‘n eis by hul versekeringsmaatskappy in te dien om die koste te dek, beteken dit nie noodwendig dat die bedreiging-akteurs presies sal kry wat hulle eis nie. “Daar is ‘n baie, baie groot verskil tussen wat gevra phrase en wat hulle uiteindelik kry, indien enigiets,” sê Hedberg.
Volgens sy ervaring phrase losprysuitbetalings in die kuberversekeringsbedryf minder gereeld. “Ons betaal hulle nie naastenby so gereeld soos wat ons vroeër gedoen het nie,” sê Hedberg. “Die goeie nuus is of dit internet deur bewustheid is en of dit van onderskrywingsvereistes afkomstig is van die kuberversekeringsbedryf, die algemene kuberhigiëne van baie Amerikaanse ondernemings phrase baie beter.”
Kubersekuriteitsbewustheid verbeter dalk, maar daar is nog baie geld om met losprysware te verdien. Tot dusver kon die versekeringsbedryf selfs daardie ooglopende eise in die miljoene bestuur. “Hou in gedagte, hierdie versekeringsmaatskappye is gewoond daaraan om te sien dat honderde miljoene {dollars} aan eiendomseise uitbetaal phrase, indien nie miljarde {dollars} aan eiendomseise nie. Dus, selfs ‘n uitbetaling van $40 miljoen losprysware aan hulle is … nie baie kapitaal nie,” sê Blake Antrim, visepresident van professionele aanspreeklikheid by Novatae Risikogroep‘n groothandel- en spesialiteitsversekeringsmakelaar.
Ten spyte van die voorkoms van losprysware en ander kuberrisiko’s, daal kuberversekeringskoerse. Tariewe het in 2021 en 2022 die hoogte ingeskiet, maar dit is af 15% vanaf die hoogtepunt in die middel van 2022volgens die World Cyber Insurance coverage Pricing Index van die globale versekeringsgroep Howden.
“Dit is ‘n goeie tyd vir kopers om in te gaan en hoër limiete te start koop en beter dekking te koop,” sê Antrim.
Die versekeringsmark verander onvermydelik. Wat as die bedryf ‘n toename in katastrofiese (CAT) blootstelling ervaar wat verband hou met losprysware?
“Wanneer ons meer saamgevoegde eise en meer limietverliese vir gesamentlike sagtewareverskaffers soos ‘n CrowdStrike (of) die blootstelling aan motorhandelaars wat ons onlangs gehad het … ons gaan start sien dat eise $100 – $200 miljoen in die RTT-blootstelling raak,” sê Antrim. “Ek dink dit gaan wees waar ons start sien wat die koersstruktuur as geheel beïnvloed.”
Wanneer kuberversekering nie betaal nie
Web omdat ‘n organisasie kuberversekering het, waarborg dit nie dat dit die blad sal optel vir ‘n lospryseis nie. Wetstoepassing ontmoedig om losprys-eise te betaal, maar dit is nie onwettig nie, behalwe wanneer die groep wat betaling eis op die sanksielys van die Amerikaanse departement van die tesourie se kantoor vir buitelandse batesbeheer (OFAC) is. Byvoorbeeld, die ransomware groep Conti en verskeie individue wat daarby betrokke is, is deur die VSA en die VK goedgekeur.
Versekeringsmaatskappye gaan nie onwettige betalings namens hul versekerdes maak nie. Maar bedreigingsgroepe is deeglik bewus van die gevolge van sanksies. “Wanneer hierdie groepe wel deur die tesourie geïdentifiseer phrase, is hulle geneig om internet te ontbind en as ‘n nuwe groep saam te stel,” sê Hedberg.
Daar was ook wetgewende pogings om losprysbetalings te verbied. Byvoorbeeld, Noord-Carolina het ‘n wet aangeneem wat staats- en plaaslike regeringsentiteite verbied om losprys-eise te betaal na ‘n losprysware-aanval, volgens GovTech. Florida het ‘n soortgelyke wet.
Soos met enige tipe versekeringsdekking, is die duiwel in die besonderhede. ‘n Versekeringsmaatskappy kan ‘n eis weier en nie ‘n lospryseis betaal op grond van ‘n entiteit se polisbepalings nie. Organisasies moet daardie potensiële leemtes in dekking verstaan.
“Mense moet regtig ingrawe en verstaan wat daardie uitsluitings is, wanneer gaan hulle nie gedek phrase nie,” sê Millender. “Die ergste ding om te gebeur, is om agterna uit te vind dat jy nie gedek is vir iets waarvoor jy gedink het jy is gedek nie.”
As ‘n onderneming se polis ‘n losprysbetaling sal dek, is dit nie onmiddellik om by daardie besluit te kom nie.
“Om die losprys te betaal is tipies die laaste uitweg,” sê Antrim. “Hulle sal enige en alle maniere probeer om beheer oor die stelsel te herwin voordat hulle dit eers as ‘n opsie beskou.”
As ‘n organisasie vanlyn rugsteun het, kan dit dalk die vermoë hê om terug te keer van ‘n losprysware-aanval sonder om ‘n bedreigingsakteur se lospryseis te betaal in ruil vir ‘n dekripsiesleutel, wat dalk werk of nie.
‘n Ontwikkelende kuberversekeringsmark
In haar opinie roep die nasionale veiligheidsadviseur Neuberger versekeringsmaatskappye uit vir die betaling van lospryseise, maar sy merk ook op die positiewe impak wat die bedryf op die bekamping van losprysware kan hê. Sy vra dat effektiewe kuberveiligheidsmaatreëls as deel van die onderskrywingsproses vereis phrase.
“Kuberversekeraars … wil nie gesien phrase dat hulle voortgaan om die losprysware-epidemie aan te wakker nie,” sê Correll. En daar is ‘n aptyt vir strenger onderskrywingsvereistes.
Kuberversekeringsmaatskappye vra natuurlik voornemende versekerdes uit oor hul kuberveiligheidsposisie. Het hulle multi-faktor-verifikasie in plek? Enkripteer hulle hul knowledge? Gebruik hulle ‘n eindpuntopsporing- en reaksiestelsel? Hou hulle tred met die herstel van kwesbaarhede? Die antwoorde op hierdie vrae phrase tipies deur middel van selfverklaring gegee. Maar selfverklaring het sy swakhede.
“Selfs op ‘n perfekte dag sal daardie vraelys, daardie siening van hoe ‘n aansoeker se omgewing lyk, dit waarskynlik môre, die volgende week, die volgende maand verander,” sê Correll.
Die bedryf kan veranderinge aan onderskrywing sien wat ‘n meer akkurate prentjie van ‘n organisasie se risiko skets. “Wat die versekeraars met wie ek (praat) wil hê, is … bekragtiging uit werklike verslae,” sê Millender. “Die neiging is dat die versekeraars daardie beter knowledge wil hê om hul onderskrywingsbesluite te neem, maar hulle is nog nie daar in terme van vermoë om daardie knowledge te kry nie.”
Namate kuberversekeringsonderskrywing ontwikkel, sal vervoerders nuwe tegnologie in ag moet neem wat die kuberbedreiging en verdediginglandskap kan herskryf. KI en kwantumrekenaars gaan byvoorbeeld in die hande van lospryswaregroepe en in die hande van hul voornemende slagoffers wees. Hoe kan dit die toekoms van ransomware-betalings beïnvloed?
Aan die een kant kan KI en kwantumrekenaars ‘n groter quantity van selfs meer doeltreffende ransomware-veldtogte aanvuur. Hoe meer slagoffers, hoe meer potensiële uitbetalings.
Aan die ander kant gee hierdie tegnologieë verdedigers die geleentheid om dreigemente te stuit. KI phrase gewoond daaraan deepfakes opspoor. Kwantumrekenaars kan mense die krag gee om enkripsie te breek. “Maak dit teoreties losprysware minder kragtig?” vra Correll.
Versekeraars kan ook belowende nuwe tegnologie gebruik om onderskrywing te verbeter deur meer insig in risiko te verkry en die proses doeltreffender te maak. Daardie kombinasie van beter ontleding en spoed kan moontlik laer premies beteken vir maatskappye wat sterk kuberverdediging in plek het.
KI en kwantumrekenaars is instrumente wat beide risiko’s en geleenthede verteenwoordig, maar die impak wat dit op die steeds florerende losprysware-ekosisteem sal hê, is nog nie bekend nie.
“Ons evalueer wat gebeur, en ek kan tot dusver nie sê dat daar wesenlik iets groots gebeur het nie,” sê Hedberg. “Die antwoord op die oomblik van die versekeringsbedryf is kennis, waaksaamheid, versigtigheid, (en) bewustheid.”
Nuwe tegnologie, wetgewende veranderinge en strenger onderskrywing kan ‘n impak hê op die losprysware-ekosisteem, maar vir nou lyk dit of daar nog geld gemaak moet phrase vir bedreigingsakteurs. En kuberversekering gaan ‘n hulpmiddel vir ondernemings wees om daardie risiko te verreken.
==================================================
AI GLOBAL INSURANCE UPDATES AND INFORMATION
AIGLOBALINSURANCE.COM
SUBSCRIBE FOR UPDATES!