要約
- CNA Financial は、2021年3月のランサムウェアインシデントが単なるエンタープライズセキュリティイベントではなく、通常の業務である引受、請求処理、ブローカーサービス、リスクアドバイス、保険契約者サポート、機密の業務記録および個人記録の保管に影響を及ぼしたため、リスクと説明責任のファイルに含まれます。
- 実務上の説明責任の問いは、ネットワークの封じ込め、保険契約者および従業員データの範囲特定、請求およびブローカーサービスの継続性、規制当局への通知、復旧の証拠、そして保険会社が隠れたコストを顧客や取引先に転嫁せずに回復できることの証明について、誰が実務上の管理権を持っていたかです。
- CNA 自身の2021年5月のアップデート(https://www.cna.com/sites/default/files/assets/96a7c7dd-96d1-41cc-8a0c-25604bfc2898/Security-Incident-Update-5-12-21.pdf?fid=)および7月のアップデート(https://www.cna.com/sites/default/files/assets/1077e9ef-e397-47f1-ad3c-27470e1b3fbc/July%2B9_Security%2BIncident%2BUpdate.pdf?fid=)は、インシデント、復旧の叙述、およびその後のデータ通知範囲に関する主要な公開企業記録です。
- CNA の SEC 提出書類(2021年第1四半期報告書:https://www.sec.gov/Archives/edgar/data/21175/000002117521000069/cna-20210331.htm、2021年第2四半期報告書:https://www.sec.gov/Archives/edgar/data/21175/000002117521000089/cna-20210630.htm、2021年次報告書:https://www.sec.gov/Archives/edgar/data/21175/000002117522000016/cna-20211231.htm、2024年次報告書:https://www.sec.gov/Archives/edgar/data/21175/000002117525000008/cna-20241231.htm、2025年次報告書:https://www.sec.gov/Archives/edgar/data/21175/000002117526000011/cna-20251231.htm)は、事業継続性、請求業務、データシステム、ベンダーシステム、情報セキュリティ、および投資家向けサイバーガバナンスが説明責任の記録の一部である理由を示しています。
- この記事は、CNA および SEC の記録を主要な公開証拠として扱い、ランサムウェアおよび保険管理のコンテキストとして CISA、OFAC、SEC、NAIC、FBI、FTC、NYDFS の資料を使用し、公開された年表および報告された支払いコンテキストとして Reuters、Bloomberg、Insurance Journal、および公開セキュリティ報道のみを使用します。CNA のフォレンジックイメージ、復旧手順書、身代金交渉記録、規制当局との往復書簡、完全な請求バックログデータ、または完全な顧客通知人口へのアクセスを主張するものではありません。
このケースがリスクと説明責任のファイルに含まれる理由
CNA Financial の2021年のランサムウェアインシデントがリスクと説明責任のファイルに含まれるのは、影響を受けた組織が保険会社だったからです。これにより、このケースは一般的な企業の停止とは異なります。保険会社はリスク移転を販売し、請求を管理し、機密の業務情報および個人情報を受け取り、ブローカーや代理店に依存し、中小企業である可能性のある商業顧客にサービスを提供し、他の人々がすでに損失に対処しているときに利用可能であることが期待されます。このような組織がランサムウェアに襲われた場合、問題はファイルが暗号化されたかどうかやウェブサイトが復旧したかどうかだけではありません。問題は、保険会社が、顧客に販売するリスク管理の約束への信頼を維持しながら、継続性を証明できるかどうかです。
CNA は2021年3月にサイバーセキュリティインシデントを公的に認め、公開セキュリティアップデートを発行しました。5月のアップデート(https://www.cna.com/sites/default/files/assets/96a7c7dd-96d1-41cc-8a0c-25604bfc2898/Security-Incident-Update-5-12-21.pdf?fid=)および7月のアップデート(https://www.cna.com/sites/default/files/assets/1077e9ef-e397-47f1-ad3c-27470e1b3fbc/July%2B9_Security%2BIncident%2BUpdate.pdf?fid=)は、公開記録の中心です。2021年3月31日までの四半期の CNA の SEC 提出書類(https://www.sec.gov/Archives/edgar/data/21175/000002117521000069/cna-20210331.htm)も重要であり、システム可用性、コールセンター、新規および更新ビジネスの処理、請求の支払い、その他の義務に関する投資家向けリスク要因の議論に中断を位置付けています。
その SEC の文言は、セキュリティから説明責任への架け橋です。これは、顧客や取引先が直接経験するビジネス機能の種類を説明しています。保険証券の発行、保険の更新、請求の受付、請求の支払い、ブローカーとのコミュニケーション、顧客サポート、コールセンターの可用性は、抽象的なバックオフィス機能ではありません。これらは、保険会社がその義務を果たす実用的な方法です。ランサムウェアイベントがこれらの機能を中断した場合、継続性の問題は義務の問題になります:保険会社は、請求サービス、保険の証明、ブローカー支援、承認、損失文書化、または支払いの確実性を必要とする顧客をどのように優先したか?
したがって、明確な質問は実務的です。ネットワーク封じ込め、保険契約者および従業員データの範囲特定、請求およびブローカーサービスの継続性、規制当局への通知、復旧の証拠、そして保険会社が隠れたコストを顧客や取引先に転嫁せずに回復できることの証明について、誰が管理権を持っていたか?CNA はその制度的責任を負っていました。外部の攻撃者がインシデントを引き起こした可能性があり、公開記録は CNA の従業員の意図に関する根拠のない主張を正当化するものではありません。しかし、説明責任ファイルは組織が管理できるものに関するものです:準備、検出、封じ込め、復旧、証拠保存、通知、是正、ガバナンス、および耐久性のある修復です。
CNA が公に確認したこと
CNA の公開アップデートは慎重な文書です。これらはサイバーセキュリティインシデントを特定し、ネットワークの中断と復旧プロセスを説明し、後にデータ通知の問題に対処します。公開記録は完全なフォレンジックストーリーを提供していません。しかし、インシデントを保険継続性の説明責任ケースとして評価するのに十分な証拠を提供しています。
同社のアップデート(https://www.cna.com/sites/default/files/assets/96a7c7dd-96d1-41cc-8a0c-25604bfc2898/Security-Incident-Update-5-12-21.pdf?fid=)は、証券アナリストだけでなく顧客とビジネスパートナーに向けられたため重要です。これは、インシデントを封じ込めと復旧を必要とするセキュリティインシデントとして位置付け、CNA が外部の専門家と協力しているという公的な保証を提示しました。ランサムウェアの場合、この種の声明には2つの役割があります。顧客に中断が現実であることを知らせます。また、後の復旧およびデータ範囲の主張が判断される公的なベースラインを作成します。
7月のアップデート(https://www.cna.com/sites/default/files/assets/1077e9ef-e397-47f1-ad3c-27470e1b3fbc/July%2B9_Security%2BIncident%2BUpdate.pdf?fid=)は、インシデントを運用上の中断からデータ露出の説明責任に移行したため重要です。この記事は個人の通知を再現したり、公開記録を超えた分野を推測したりしません。支持される結論は、CNA が別々の質問に答えなければならなかったことです:どのシステムが中断されたか、どのデータが関与したか、どの人物に通知が必要か、どのサービスが復旧されたか、どの顧客インタラクションが影響を受けたままか、そして影響を受けた人口と影響を受けなかった人口の境界をどの証拠が支持するか。
SEC 提出書類は第二の公開層を作成します。CNA の2021年3月の四半期報告書(https://www.sec.gov/Archives/edgar/data/21175/000002117521000069/cna-20210331.htm)は、同社が受けたサイバーセキュリティ攻撃に起因する2021年3月のシステム可用性の中断を説明しました。2021年6月の四半期報告書(https://www.sec.gov/Archives/edgar/data/21175/000002117521000089/cna-20210630.htm)は、システム可用性とサードパーティシステムの継続性の関連性を繰り返しました。2021年次報告書(https://www.sec.gov/Archives/edgar/data/21175/000002117522000016/cna-20211231.htm)は、イベントを運用、技術、データ、格付け、および事業継続リスクを含むより広範な保険会社のリスクフレームワーク内に位置付けました。
これらの SEC 提出書類はインシデント報告書ではありません。それらは投資家向け開示です。その制限は重要です。これらはフォレンジックシーケンス、初期アクセスベクトル、暗号化範囲、身代金交渉記録、請求バックログ、復旧チェックリスト、または顧客通知マップを提供しません。しかし、これらは重要なガバナンスの関連性を確認しています:システム可用性、請求の処理と支払い、更新と新規ビジネス、コールセンター、サードパーティシステム、および情報セキュリティは投資家向けリスクトピックでした。公開保険会社にとって、それは説明責任の一部です。
この記事は、インシデントを評価するための公開記録の十分性と限界を読者が理解できるように、残りのセクションでこれらのポイントを拡張します。

