Avaliando o custo de um ataque DDoS
Underwriters já estariam se recusando a segurar as empresas de energia, porque os controles de segurança pobres estão deixando-os abertos a ataques de hackers e infestações por malware.
Lloyd de Londres, disse à BBC que tinham visto um aumento nos pedidos de seguro de empresas do setor de energia, mas os resultados dos testes pobres dos avaliadores de riscos de segurança significa que as seguradoras estão se voltando para baixo potencial de vários milhões de contratos de libra.
"No último ano, temos visto um grande aumento na demanda de empresas de energia e utilities", disse Laila Khudari, um segurador no Kiln Syndicate, que oferece cobertura através de Lloyd de Londres, disse a Beeb. "Eles estão todos preocupados com a sua dependência de sistemas de computador e como eles podem compensar isso com o seguro."
Infosec especialistas chamados para rever os sistemas do setor de energia voltar com comentários negativos. E isso significa oferecer "rede de segurança" seguro contra violações não é viável como uma proposta de negócio.
"Nós não queremos que o seguro seja um substituto para a segurança", explicou Khudari.
Lloyd opera um mercado de renome mundial que oferece um meio para obter o seguro comercial para qualquer coisa de navios porta-contentores de grandes projetos de desenvolvimento. As empresas de seguros têm vindo a oferecer seguro de violação de dados, pelo menos desde 2009, se não antes.
A lista de clientes da empresa de seguro Especialista Beazley inclui 30 por cento das 200 maiores empresas do mundo de petróleo e gás, bem como instituições bancárias e financeiras importantes. Em dezembro passado a empresa anunciou que tinha ajudado os seus clientes se recuperar de um total combinado de 1.000 violações de segurança ao longo dos anos. A maioria dos serviços de Beazley concentrar em resposta a incidentes.
Separadamente, a Allianz Global Corporate & Specialty revelou recentemente um conjunto de produtos para proteger as empresas contra problemas que podem surgir a partir de um ataque cibernético grave ou violação de dados.
Plantas controle industriais em concessionárias de energia e outras empresas do setor de energia, como em outros lugares, contam com a tecnologia SCADA (Aquisição de Dados e Controle Supervisório). Estes sistemas legados são cada vez mais conectado à internet, essencialmente, para torná-los mais fáceis de gerenciar remotamente. Ao mesmo tempo, mais e mais problemas de segurança estão sendo descobertos por pesquisadores de segurança que investigam a segurança da planta industrial, na esteira do worm Stuxnet infame, que fez pesquisas sobre o tema anteriormente negligenciados "sexy".
Mais e mais problemas estão sendo descobertos em sistemas cruciais que raramente são corrigidas e isso cria uma receita para o desastre.
Jonathan Roach, principal consultor de segurança em Contexto de Segurança da Informação, disse El Reg: "Os sistemas SCADA não foram corrigidos em anos, por várias razões: isolamento de redes SCADA tornando o processo de patching estranho, falta de motivação para realizar o que às vezes é visto como um processo arriscado para um componente crítico da planta; termos de contratos de suporte de software ".
Com tudo isso em mente, não é nenhuma grande surpresa para encontrar empresas de energia recusar contratos de seguro do setor energético.
Chris McIntosh, exec chefe da ViaSat Reino Unido, que fornece comunicações de segurança e seguros para os clientes, incluindo empresas de energia dos Estados Unidos, disse que problemas na obtenção de seguros são um sintoma de um mal-estar em geral.
"As empresas de energia em busca de seguro contra ciberataques mostra a vulnerabilidade da nossa infra-estrutura crítica está finalmente bater em casa", disse McIntosh. "De acordo com um recente estudo Zpryme Research, metade dos fornecedores de infra-estrutura em os EUA acreditavam redes elétricas foram inseguro. Enquanto anteriormente, atacando a infra-estrutura de energia ou recurso nacional teria envolvido comprometer redes de comunicação dedicados, a modernização destas redes os fez parte da internet e assim mais vulnerável do que nunca.
"No entanto, o seguro é apenas um emplastro sobre estas fraquezas subjacentes. Organizações precisam agir agora para proteger suas redes e abordar a natureza única de sistemas de controle em tempo real interligados. Criptografia de dados em trânsito e protocolos de autenticação rigorosos, por exemplo, deve tornar-se de rigueur ", disse McIntosh.
"A menos que as empresas de energia demonstram que eles estão tomando as precauções necessárias, as seguradoras vão mantê-los no comprimento do braço, a confiança pública cairá, ea resiliência da infra-estrutura nacional crítica do país, inevitavelmente, sofrer como resultado", acrescentou.
Thales Reino Unido mantém os sistemas de controle para plantas de energia britânico no Reino Unido e também estão envolvidos na construção da central nuclear de Hinkley Point B.
Tony Burton, líder de negócios críticos nacional de protecção de infra-estruturas no Reino Unido, disse Thales sistemas legados envelhecimento em usinas precisam ser protegidos de uma forma de outra. Ele sugeriu a posição das empresas de seguros "tem o potencial de servir como uma chamada wake-up muito necessária.
"Os sistemas legados, muitas vezes, construídas antes da existência da Internet, simplesmente não foram projetados com os níveis de interconexão e de ameaça de segurança que vemos hoje", disse Burton. "Mesmo os sistemas que se mantiveram isolados da internet e sistemas de TI empresariais são vulneráveis a ameaças que podem" saltar o air-gap 'via processo, as pessoas e física (por exemplo, stick USB) vetores.
"As empresas de energia e outras áreas da infra-estrutura nacional crítica estão começando a enfrentar este desafio e estão cada vez mais reconhecendo que uma boa segurança é um bom negócio."
"A questão do seguro e de contingência participações são excelentes exemplos de como uma boa segurança pode ter um efeito positivo sobre os resultados finais dessas empresas", continuou Burton. "No entanto, a segurança dessas operações não é um desafio simples e é isso que as seguradoras estão começando a reconhecer". ®
Nenhum comentário:
Postar um comentário