Veeam: มูลค่าที่แท้จริงของประกันภัยไซเบอร์คืออะไร?

ภัยคุกคามจากการโจมตีทางไซเบอร์ไม่ใช่เรื่องใหม่ แต่แรนซัมแวร์ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพในการสร้างผลกำไรมากกว่าที่เคย

สิ่งนี้ได้ผลักดันให้ธุรกิจต่างๆ หันมาใช้ประกันภัยเพื่อปกป้องตนเองจากผลกระทบทางการเงินจำนวนมากจากการโจมตีเหล่านี้

เนื่องจากความต้องการเพิ่มขึ้นถึงระดับที่ไม่เคยเกิดขึ้นมาก่อน อุตสาหกรรมจึงมีความผันผวนสูง เบี้ยประกันกำลังเพิ่มสูงขึ้น มีกฎเกณฑ์เพิ่มเติมเกี่ยวกับสิ่งที่ครอบคลุมและไม่ครอบคลุม และมีการนำมาตรฐานขั้นต่ำมาใช้สำหรับธุรกิจที่ต้องการทำประกัน นี่อาจดูเหมือนเป็นข่าวร้ายสำหรับธุรกิจ แต่ท้ายที่สุดแล้วก็มีข้อดีหลายประการ

ประกันภัยสำหรับโลกดิจิทัล

บางครั้งผู้คนคิดว่าความปลอดภัยทางไซเบอร์เป็นโลกมืด ในความเป็นจริง ความเป็นจริงทางกายภาพและดิจิทัลมีความคล้ายคลึงกันมากกว่าที่คุณคิดมาก สามสิบปีที่แล้ว บริษัทที่ต้องการปกป้องทรัพย์สินของตนคำนึงถึงการประกันอัคคีภัยและการโจรกรรมเป็นอันดับแรก ปัจจุบันความเสี่ยงเป็นเรื่องดิจิทัลมากขึ้น ตาม รายงานแนวโน้มการปกป้องข้อมูลของ Veeam ปี 2024องค์กรสามในสี่ถูกโจมตีด้วยแรนซัมแวร์อย่างน้อยหนึ่งครั้งในปีที่ผ่านมา และหนึ่งในสี่ถูกโจมตีมากกว่าสี่ครั้งในช่วงเวลาเดียวกัน

จึงไม่น่าแปลกใจที่การประกันภัยทางไซเบอร์กลายเป็นตัวเลือกยอดนิยมสำหรับหลาย ๆ องค์กร – คาดว่าจะเติบโต 24% จะกลายเป็นอุตสาหกรรมที่มีมูลค่า 84,62 พันล้านดอลลาร์ภายในปี 2030 อย่างไรก็ตาม เนื่องจากจำนวนธุรกิจที่ซื้อและต้องการประกันภัยเพิ่มขึ้น ต้นทุนก็เพิ่มขึ้นอย่างต่อเนื่องเช่นกัน โดยเบี้ยประกันภัยก็เพิ่มขึ้น ในช่วงสามปีที่ผ่านมา นี่ไม่ใช่การเปลี่ยนแปลงเพียงอย่างเดียวของผู้ประกันตนที่ต้องการรักษาผลกำไรจากการคุ้มครองทางไซเบอร์: การประเมินความเสี่ยงที่มีความหมายมากขึ้น การแนะนำมาตรฐานความปลอดภัยขั้นต่ำ และการลดความครอบคลุมกลายเป็นเรื่องธรรมดาในช่วงไม่กี่ปีที่ผ่านมา

จะจ่ายหรือไม่จ่ายค่าไถ่?

การประกันภัยทางไซเบอร์ได้กลายเป็นหัวข้อถกเถียงเมื่อเร็ว ๆ นี้ ซึ่งส่วนใหญ่เป็นคำถามล้านดอลลาร์เกี่ยวกับแรนซัมแวร์: จ่ายหรือไม่จ่าย? แม้ว่าหลายคนจะปฏิเสธความคิดที่ว่าบริษัทประกันภัยนั้นอยู่ก็ตาม มีแนวโน้มที่จะจ่ายค่าไถ่มากขึ้นเป็น รายงานประจำปี 2023 เกี่ยวกับเหยื่อพบว่า 77% ของค่าไถ่ได้รับการจ่ายค่าประกัน อย่างไรก็ตาม บริษัทประกันหลายแห่งกำลังพยายามยุติสถานการณ์นี้ รายงานเดียวกันนี้พบว่า 21% ขององค์กรแยกแรนซัมแวร์ออกจากนโยบายของตนอย่างชัดเจน เรายังเห็นคนอื่นอีกด้วย ไม่รวมค่าไถ่อย่างชัดเจน จากนโยบายของพวกเขา: พวกเขาจะครอบคลุมค่าใช้จ่ายการหยุดทำงานและความเสียหาย แต่ไม่ครอบคลุมค่าใช้จ่ายในการกรรโชกทรัพย์

ในความคิดของฉัน แนวทางหลังคือวิธีที่ดีที่สุด การจ่ายค่าไถ่ไม่ใช่ความคิดที่ดีและไม่ใช่สิ่งที่ควรทำประกัน มันไม่ได้เป็นเพียงคำถามเกี่ยวกับจริยธรรมและการก่ออาชญากรรมเท่านั้น แต่ความจริงที่ว่าการจ่ายค่าไถ่ไม่ได้ช่วยแก้ปัญหาในทันทีและมักจะสร้างปัญหาใหม่ขึ้นมาด้วย ประการแรก อาชญากรไซเบอร์ติดตามว่าบริษัทใดจ่ายเงินเพื่อให้สามารถกลับมาโจมตีครั้งที่สองหรือแบ่งปันข้อมูลนี้กับองค์กรอื่นๆ

การศึกษาชิ้นหนึ่งพบว่า 80% ของบริษัทที่จ่ายค่าไถ่ถูกโจมตีเป็นครั้งที่สอง แต่ก่อนที่จะมาถึงจุดนี้ การกู้คืนด้วยการจ่ายค่าไถ่นั้นไม่ใช่เรื่องง่าย การกู้คืนด้วยคีย์ถอดรหัสที่ผู้โจมตีให้มาจะใช้เวลานานโดยมักจะจงใจ เนื่องจากบางกลุ่มเรียกเก็บเงินสำหรับแต่ละคีย์เพื่อเร่งกระบวนการ ตราบใดที่การถอดรหัสใช้งานได้ บริษัท XNUMX ใน XNUMX จะต้องจ่ายค่าไถ่และไม่สามารถกู้คืนข้อมูลของตัวเองได้

ยกระดับมาตรฐาน  

ดังนั้นการจ่ายค่าไถ่ผ่านการประกันจึงโชคดีที่หายไปอย่างช้าๆ แต่นั่นไม่ใช่สิ่งเดียวที่มีการเปลี่ยนแปลง บริษัทที่ต้องการประกันภัยทางไซเบอร์จำเป็นต้องปฏิบัติตามมาตรฐานขั้นต่ำด้านความปลอดภัยและความสามารถในการฟื้นตัวของแรนซัมแวร์เพิ่มมากขึ้น ซึ่งอาจรวมถึงการใช้การสำรองข้อมูลที่เข้ารหัสและไม่เปลี่ยนรูป และการนำหลักปฏิบัติในการปกป้องข้อมูลไปใช้ เช่น สิทธิ์ขั้นต่ำ (ให้สิทธิ์การเข้าถึงเฉพาะกับผู้ที่ต้องการสิทธิ์เท่านั้น) หรือสี่ตา (กำหนดให้การเปลี่ยนแปลงหรือคำขอที่สำคัญต้องได้รับการอนุมัติจากคนสองคน) นโยบายบางประการยังกำหนดให้บริษัทต้องมีแผนที่ชัดเจนเพื่อให้แน่ใจว่าระบบมีความพร้อมใช้งาน รวมถึงกระบวนการกู้คืนความเสียหายที่ดี defiไนเต็ดเพื่อป้องกันการหยุดทำงานเนื่องจากการโจมตีของแรนซัมแวร์ ท้ายที่สุดแล้ว ยิ่งระบบล่มนานเท่าไร ต้นทุนการหยุดทำงานก็จะสูงขึ้นตามไปด้วย และค่าใช้จ่ายในการเคลมประกันด้วย

บริษัทควรจะยังคงมีองค์ประกอบเหล่านี้ทั้งหมด หากการประกันภัยมาพร้อมกับกระบวนการปกป้องข้อมูลและการกู้คืนที่เลอะเทอะ การจ่ายเงินประกันจะบันทึกเฉพาะข้อบกพร่องเท่านั้น การเปิดตัวมาตรฐานขั้นต่ำถือเป็นข่าวดีสำหรับบริษัทต่างๆ ไม่เพียงแต่จะช่วยลดต้นทุนเบี้ยประกันภัยในระยะยาวเท่านั้น แต่หลักการด้านความปลอดภัยที่พวกเขาต้องการจะมีคุณค่าต่อธุรกิจมากกว่าการประกันภัยในตอนแรก การประกันภัยทางไซเบอร์ไม่ใช่การรับประกันที่แน่นอน แต่อาจเป็นองค์ประกอบที่เป็นประโยชน์ของกลยุทธ์ความยืดหยุ่นทางไซเบอร์ในวงกว้าง ทั้งสองมีประโยชน์ แต่ในกรณีที่คุณถูกบังคับให้เลือกเพียงอันเดียว ความยืดหยุ่นจะเป็นตัวเลือกที่ดีที่สุดเสมอ โชคดีที่บริษัทประกันเห็นพ้องต้องกันว่า เนื่องจากธุรกิจที่ไม่ได้รับการคุ้มครองกำลังกลายเป็นสิ่งที่ไร้ผลกำไรเกินกว่าจะครอบคลุมได้

อัสซิคูราร์ซี

การประกันภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับแรนซัมแวร์ กำลังก้าวไปสู่โลกที่บริษัทประกันภัยมีความยืดหยุ่นทางไซเบอร์ที่แข็งแกร่ง และแผนการกู้คืนความเสียหายที่ได้รับการยอมรับอย่างดี defiไนเต็ดและใช้การประกันภัยเพื่อลดผลกระทบของการโจมตีและต้นทุนของการหยุดทำงานในขณะที่กู้คืนผ่านการสำรองข้อมูลที่ไม่เปลี่ยนรูปแบบเท่านั้น นี่คือโลกที่ต้านทานต่อแรนซัมแวร์ได้ดีกว่าโลกที่ธุรกิจพึ่งพาการประกันภัยเพียงอย่างเดียว  

BlogInnovazione.it