Американският пазач се притеснява, че киберзастраховката няма да покрие „катастрофални кибератаки“

Пазарът на киберзастраховане се разви бързо през последните години, но може да не успее, когато става въпрос за някои големи атаки, предупреди правителственият надзорен орган на САЩ.

Службата за отчетност на правителството на САЩ (GAO) призова за федерален отговор на застраховането за „катастрофални“ кибератаки срещу критична инфраструктура. Функциониращите застрахователни пазари са от съществено значение за бизнеса, потребителите и, както подчертава GAO, за операторите на критична инфраструктура. 

GAO, който одитира трилиони долари правителството на САЩ харчи всяка година, предупреждава, че частните застрахователи и официалната застраховка за риск от тероризъм на правителството на САЩ – Програмата за застраховане на риска от тероризъм (TRIP) – може да не са в състояние да покрият катастрофални финансови загуби, произтичащи от кибератаки.

„Кибератаките може да не отговарят на критериите на програмата, за да бъдат сертифицирани като тероризъм, дори ако са довели до катастрофални загуби. Например атаките трябва да са насилствени или принудителни по природа, за да бъдат сертифицирани“, каза GAO.

Рансъмуерът и застраховката са труден въпрос поради капризите, свързани с приписването. Въпреки че рансъмуерът се управлява предимно от киберпрестъпници, някои инциденти, които са стрували на жертвите милиони долари, са официално приписани от западните правителства на правителствата на Русия, Северна Корея и Китай.  

Някои застрахователи са използвали тези официални приписвания, за да избегнат изплащания на жертвите, тъй като тези инциденти могат да бъдат изтълкувани в съда като военен акт, който киберзастрахователните полици не покриват. Застрахователните полици покриват актове на тероризъм, но те също имат клаузи, които ограничават покритието до актове на сертифицирано насилие.  

„Правителствената застраховка може да покрива само кибератаки, ако те могат да се считат за „тероризъм“ според определени критерии,“ се казва в изявление на GAO.

Въпросът за застраховането сега е по-сериозен проблем за правителството на САЩ след продължаващата инвазия на Русия в Украйна, за която се опасява, че може да стимулира кибератаки от подкрепяни от Кремъл хакери срещу американски организации в отговор на американските санкции срещу Русия и руския бизнес. 

И така, какво трябва да направят САЩ и GAO на национално ниво, когато пазарът на киберзастраховки за предприятия може да не успее да подкрепи бизнеса?

„Всеки федерален застрахователен отговор трябва да включва ясни критерии за покритие, специфични изисквания за киберсигурност и специален механизъм за финансиране с отстъпки от всички участници на пазара“, каза GAO.

Както GAO отбелязва, някои застрахователни фирми ограничават полиците си, за да се защитят от инциденти, които причиняват системни проблеми. Застрахователите не покриват атаки, които технически могат да попаднат в категорията на война, например. 

GAO казва, че TRIP е „правителственият предпазен механизъм за загуби от тероризъм“. В комбинация с киберзастраховка, те наистина осигуряват известна защита, но „и двете са ограничени в способността си да покриват потенциално катастрофални загуби от системни кибератаки“. 

„Киберзастраховането може да компенсира разходите от някои от най-често срещаните киберрискове, като пробиви на данни и рансъмуер“, казва GAO. 

„Частните застрахователи обаче предприемат стъпки за ограничаване на потенциалните си загуби от системни кибер събития. Например застрахователите изключват покритие за загуби от кибервойна и прекъсвания на инфраструктурата. TRIP покрива загуби от кибератаки, ако се считат за тероризъм, наред с други изисквания. Кибератаките обаче може да не отговарят на критериите на програмата, за да бъдат сертифицирани като тероризъм, дори ако са довели до катастрофални загуби. Например, атаките трябва да са с насилие или принуда, за да бъдат сертифицирани.

GAO препоръчва Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), органът за киберсигурност за федералните агенции, да работи с директора на Федералната застрахователна служба, за да „изготви съвместна оценка за Конгреса за степента, до която рисковете за критичната инфраструктура на нацията от катастрофалните кибератаки и потенциалните финансови експозиции, произтичащи от тези рискове, изискват федерална застрахователна реакция.