Auto-assurance, planification des subventions dans les cyberagendas des États [Government Technology] – AssuranceNewsNet

26 août – Les États se tournent de plus en plus vers l’auto-assurance alors que les cyber-polices augmentent les primes et réduisent la couverture, a déclaré le CISO du Colorado Ray Yepes lors d’un panel FedInsider hier.

« Presque tous les États sont auto-assurés, et sinon, ils s’efforcent de devenir auto-assurés », a déclaré Yepes.

Colorado elle-même a vu ses frais d’assurance quadrupler 500 000 $ l’année dernière à 2 millions de dollars cette année et la police la plus chère était également moins précieuse, avec des franchises plus élevées ainsi qu’une couverture et des avantages réduits.

Les États sont confrontés à des risques à la fois que les prix continueront de monter et que les cyber-assureurs se raréfieront. Colorado a dû changer d’assureur principal cette année pour trouver une entreprise prête à le couvrir, a déclaré Yepes, et il a déclaré que d’autres RSSI avaient rencontré des problèmes d’assureurs supprimant les ransomwares de leurs polices informatiques.

« Pour moi, si vous allez souscrire une cyber-assurance, c’est la principale raison pour laquelle vous voulez l’obtenir – c’est le ransomware », a déclaré Yepes.

Ces types de tendances ne se limitent pas aux NOUS Marché mondial de l’assurance Lloyd’s de Londres aurait récemment émis un mandat qui ordonne aux compagnies d’assurance qui vendent sur sa plate-forme d’exclure la couverture des cyberattaques soutenues par l’État, ou du moins celles qui causent un certain niveau d’impact. Les règles entrent en vigueur dans Mars 2023.

Le secteur public est particulièrement bien placé pour passer à l’auto-assurance à la place, a déclaré Yepes, en raison de la quantité importante de soutiens de secours en cas d’épuisement de ses réserves.

« Si vous êtes dans le secteur gouvernemental, je considérerais fortement que vous obtenez une auto-assurance pour votre état, pour votre agence, pour votre ville », a déclaré Yepes.

À la place de Colorado payant des millions de primes chaque année, Yepes aimerait que l’État mette cet argent de côté dans un fonds d’auto-assurance auquel il contribuerait chaque année. Si un cyberincident s’avérait plus coûteux que ce que ces fonds peuvent couvrir, l’État pourrait puiser dans son système de financement d’urgence. Les États disposent généralement de fonds importants en cas de catastrophe ou d’urgence, à hauteur de 50 millions de dollars ou alors, dit-il.

Et ces ressources ne sont pas le dernier recours. Les gouverneurs pourraient déclarer l’état d’urgence pour aider à gérer un incident qui nécessite plus de ressources, se tourner vers les forces de l’ordre fédérales comme le Service secret et FBI pour les aides à la réponse et activer le garde national et ses cyberspécialistes, a déclaré Yepes.

Un autre argument en faveur de l’auto-assurance ? Les États n’ont pas à utiliser les fournisseurs sélectionnés par leurs assureurs, ce qui les libère pour utiliser des entreprises avec lesquelles ils ont des relations préexistantes, a déclaré Yepes. Cela signifie que les fournisseurs amenés en cas d’urgence sont ceux qui connaissent déjà les systèmes du gouvernement.

Yepes a déclaré qu’il avait l’intention de présenter du Colorado gouverneur avec une législation prévoyant un programme d’auto-assurance.

SÉCURITÉ DE CENTRAGE

Yepes est venu Colorado en avril, avec un curriculum vitae qui comprend cinq années en tant que CISO de la Département des services familiaux et de protection du Texas. Cette transition lui a montré la différence entre travailler sous Texas’ infrastructure informatique décentralisée et du Colorado modèle centralisé.

Les configurations décentralisées voient généralement chaque agence individuelle équipée de son propre personnel informatique, de ses propres systèmes et stratégies, et tout service informatique au niveau de l’État se concentre sur la fourniture d’une politique et d’une direction plus larges. Les approches informatiques centralisées de l’État, quant à elles, voient le département informatique de l’État unique servir de principale source de stratégie informatique, de gestion, de services et de personnel pour les autres agences.

Ce choix peut avoir un impact important sur la cybersécurité, a déclaré Yepes.

« L’un des plus grands avantages [of centralized infrastructure] c’est la sécurité », a-t-il déclaré.

Le service informatique centralisé a un meilleur contrôle, ce qui permet d’appliquer rapidement ses politiques.

« Un des [the impacts] les gens ne réalisent pas est la vitesse de prise de décision. L’entité centralisée est beaucoup plus rapide », a déclaré Yepes. « Les politiques seront appliquées dans les deux heures aux différents groupes ou agences ou entités avec lesquels vous travaillez. »

EN ATTENTE DE CYBER SUBVENTIONS

Alors que les États et les localités planifient leurs améliorations en matière de cybersécurité, beaucoup anticipent des subventions fédérales pour la cybersécurité promises depuis longtemps, qui doivent être versées cette année dans le cadre du Investissement dans les infrastructures et la loi sur l’emploi (IIJA).

Virginie Secrétaire adjoint à la cybersécurité Aliscia Andrews a déclaré qu’elle était consciente que les faiblesses de la cybersécurité parmi les localités mettaient également le Commonwealth en danger, et travaille maintenant pour découvrir les défis et les besoins uniques de chaque juridiction en matière de cybersécurité. Andrews s’efforce de visiter les 133 localités au cours de 60 jours, pour parler avec leurs CISO et CIO locaux de leurs configurations, préoccupations et désirs concernant les subventions à venir.

Secrétaire adjoint à la cybersécurité de Virginie Aliscia Andrews prend la parole lors du panel virtuel.

« Nous demandons aux localités ce dont elles ont réellement besoin », a déclaré Andrews. « Ma visite du Commonwealth… [aims] Découvrez quels sont leurs besoins, quelles sont les lacunes que nous avons et comment utiliser l’argent du gouvernement fédéral pour qu’il leur soit bénéfique. »

Un autre élément consiste à mettre en place des processus destinés à faciliter les demandes de subventions pour les localités au fur et à mesure qu’elles deviennent disponibles, notamment en créant une équipe de subventions et en compilant des informations utiles, a déclaré Hernandez.

Le RSSI de l’Alaska, Chris Letterman, a déclaré que son État s’efforçait de mieux comprendre ses localités et espère que les subventions fédérales renforceront ces efforts.

« L’une des choses que la subvention SLTT nous fournit est cette rampe d’accès pour établir une vision de la cybersécurité à l’échelle de l’État », a-t-il déclaré.

Alaska vise à se concentrer d’abord sur la création d’un conseil consultatif pour l’informer des besoins des localités et l’aider à orienter son plan de cybersécurité. Letterman a déclaré qu’il sera important pour le conseil d’inclure des voix des types de juridictions où une personne jongle entre les responsabilités informatiques et plusieurs autres rôles.

Ses objectifs à court terme pour Alaska comprennent l’amélioration des capacités de protection de l’identité des employés de l’État et des résidents, l’utilisation d’une approche de confiance zéro pour protéger la main-d’œuvre distante et l’augmentation des formations, des exercices sur table et d’autres efforts pour sensibiliser l’ensemble de la main-d’œuvre gouvernementale à la sécurité.

Letterman a ajouté que l’incertitude quant à la date d’arrivée des subventions a créé des obstacles, mais a déclaré que le financement avait un « potentiel énorme ».

« Nous sommes toujours en quelque sorte dans ce sentiment de démarrage et d’arrêt avec le gouvernement fédéral en ce qui concerne le moment où l’avis d’opportunités de financement va réellement arriver dans la rue », a déclaré Letterman. « Et cela va vraiment dicter une grande partie de la façon dont nous pouvons répondre à certains de ces besoins et répondre à certaines des choses que la subvention SLTT a. »

___

(c) 2022 Technologie gouvernementale

Visitez Government Technology sur www.govtech.com

Distribué par Tribune Content Agency, LLC.