الوكالة الأمريكية للرقابة قلقة من أن التأمين السيبراني لن يغطي 'الهجمات الإلكترونية الكارثية'

حذرت هيئة مراقبة الإنفاق الحكومية الأمريكية من نضوج سوق التأمين الإلكتروني بسرعة في السنوات الأخيرة ، لكنه قد يفشل عندما يتعلق الأمر بهجمات كبرى معينة.

دعا مكتب محاسبة الحكومة الأمريكية (GAO) إلى استجابة فيدرالية للتأمين ضد الهجمات الإلكترونية "الكارثية" على البنية التحتية الحيوية. تعتبر أسواق التأمين العاملة ضرورية للشركات والمستهلكين ، وكما يبرز مكتب المحاسبة الحكومي ، لمشغلي البنية التحتية الحيوية. 

مكتب المساءلة الحكومي الذي يقوم بتدقيق ملفات تريليونات الدولارات تنفق حكومة الولايات المتحدة كل عام ، تحذر من أن شركات التأمين الخاصة والتأمين الرسمي ضد مخاطر الإرهاب التابع للحكومة الأمريكية - برنامج التأمين ضد مخاطر الإرهاب (TRIP) - قد لا يكونان قادرين على تغطية الخسائر المالية الكارثية الناشئة عن الهجمات الإلكترونية.

"قد لا تفي الهجمات الإلكترونية بمعايير البرنامج ليتم التصديق عليها كإرهاب ، حتى لو أسفرت عن خسائر فادحة. على سبيل المثال ، يجب أن تكون الهجمات عنيفة أو قسرية بطبيعتها حتى يتم توثيقها ".

تعتبر برامج الفدية والتأمين مشكلة صعبة بسبب التقلبات التي ينطوي عليها الإسناد. في حين أن مجرمي الإنترنت هم من يقود برامج الفدية في الغالب ، فإن بعض الحوادث التي كلفت ضحايا بملايين الدولارات قد نسبتها الحكومات الغربية رسميًا إلى حكومات روسيا وكوريا الشمالية والصين.  

استخدمت بعض شركات التأمين هذه الإحالات الرسمية لتجنب دفع تعويضات للضحايا لأن هذه الحوادث يمكن تفسيرها في المحكمة على أنها عمل حرب ، والتي لا تغطيها سياسات التأمين الإلكتروني. تغطي سياسات التأمين بالفعل أعمال الإرهاب ، ولكن تحتوي أيضًا على بنود تقصر التغطية على أعمال العنف المعتمد.  

"قد يغطي التأمين الحكومي الهجمات الإلكترونية فقط إذا كان من الممكن اعتبارها" إرهابية "وفقًا لمعاييرها المحددة ،" وقال مكتب المساءلة الحكومية في بيان.

أصبحت مسألة التأمين الآن مصدر قلق أكبر للحكومة الأمريكية بعد الغزو الروسي المستمر لأوكرانيا ، والتي تخشى أن تؤدي إلى هجمات إلكترونية من قراصنة مدعومين من الكرملين على المنظمات الأمريكية ردًا على العقوبات الأمريكية على روسيا والشركات الروسية. 

إذن ، ما الذي يجب أن تفعله الولايات المتحدة ومكتب المحاسبة الحكومي ، على المستوى الوطني ، عندما يفشل سوق التأمين الإلكتروني للمؤسسات في دعم الشركات؟

وقال مكتب المساءلة الحكومية: "يجب أن تتضمن أي استجابة تأمينية فيدرالية معايير واضحة للتغطية ، ومتطلبات محددة للأمن السيبراني ، وآلية تمويل مخصصة مع تنازلات من جميع المشاركين في السوق".

كما يلاحظ مكتب المساءلة الحكومية ، فإن بعض شركات التأمين تعمل على تسييج سياساتها لحماية نفسها من الحوادث التي تسبب مشاكل نظامية. لا تغطي شركات التأمين الهجمات التي يمكن أن تندرج تقنيًا في فئة الحرب ، على سبيل المثال. 

يقول مكتب المساءلة الحكومية إن اتفاق تريب هو "دعامة الحكومة للخسائر الناجمة عن الإرهاب". إلى جانب التأمين الإلكتروني ، فإنها توفر بعض الحماية ولكنها "محدودة في قدرتها على تغطية الخسائر الكارثية المحتملة من الهجمات الإلكترونية النظامية". 

يقول GAO: "يمكن للتأمين الإلكتروني أن يعوض التكاليف عن بعض المخاطر الإلكترونية الأكثر شيوعًا ، مثل انتهاكات البيانات وبرامج الفدية". 

ومع ذلك ، اتخذت شركات التأمين الخاصة خطوات للحد من خسائرها المحتملة من الأحداث السيبرانية المنهجية. على سبيل المثال ، تستبعد شركات التأمين تغطية الخسائر الناجمة عن الحرب الإلكترونية وانقطاع البنية التحتية. يغطي TRIP الخسائر الناجمة عن الهجمات الإلكترونية إذا تم اعتبارها إرهابية ، من بين متطلبات أخرى. ومع ذلك ، قد لا تفي الهجمات الإلكترونية بمعايير البرنامج ليتم التصديق عليها كإرهاب ، حتى لو أدت إلى خسائر فادحة. على سبيل المثال ، يجب أن تكون الهجمات عنيفة أو قسرية بطبيعتها حتى يتم اعتمادها ".

يوصي مكتب المساءلة الحكومية وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، وهي هيئة الأمن السيبراني للوكالات الفيدرالية ، بالعمل مع مدير مكتب التأمين الفيدرالي "لإنتاج تقييم مشترك للكونغرس حول مدى المخاطر التي تتعرض لها البنية التحتية الحيوية للدولة من الهجمات الإلكترونية الكارثية ، والتعرضات المالية المحتملة الناتجة عن هذه المخاطر ، تستدعي استجابة تأمينية فيدرالية ".