Američki čuvar je zabrinut da sajber osiguranje neće pokriti 'katastrofalne sajber napade'

Tržište sajber osiguranja je brzo sazrelo posljednjih godina, ali bi moglo zaostati kada su u pitanju određeni veliki napadi, upozorio je državni nadzor nad potrošnjom.

Ured za odgovornost američke vlade (GAO) pozvao je na federalni odgovor na osiguranje za "katastrofalne" sajber napade na kritičnu infrastrukturu. Funkcionalno tržište osiguranja je od suštinskog značaja za preduzeća, potrošače i, kako GAO naglašava, za operatere kritične infrastrukture. 

GAO, koji vrši reviziju triliona dolara američka vlada troši svake godine, upozorava da privatni osiguravatelji i službeno osiguranje od terorizma američke vlade – Program osiguranja od rizika od terorizma (TRIP) – možda neće moći pokriti katastrofalne finansijske gubitke koji proizlaze iz sajber napada.

„Sajber napadi možda ne ispunjavaju kriterijume programa da bi bili certificirani kao teroristički, čak i ako su rezultirali katastrofalnim gubicima. Na primjer, napadi moraju biti nasilne ili prisilne prirode da bi bili potvrđeni”, rekao je GAO.

Ransomware i osiguranje su škakljivo pitanje zbog hirova uključenih u atribuciju. Dok ransomware uglavnom pokreću sajber kriminalci, neke incidente koji su žrtve koštali milione dolara zapadne vlade su službeno pripisale vladama Rusije, Sjeverne Koreje i Kine.  

Neki osiguravači su koristili ove službene atribucije kako bi izbjegli isplate žrtvama jer se ti incidenti na sudu mogu protumačiti kao ratni čin, koji polise sajber osiguranja ne pokrivaju. Polise osiguranja pokrivaju terorističke akte, ali one također imaju klauzule koje ograničavaju pokriće na djela potvrđenog nasilja.  

“Vladno osiguranje može pokriti samo kibernetičke napade ako se mogu smatrati “terorizmom” prema njenim definiranim kriterijima.” GAO je naveo u saopštenju.

Pitanje osiguranja sada predstavlja veću zabrinutost za američku vladu nakon ruske invazije na Ukrajinu, za koju se boji da bi mogla podstaći sajber napade hakera koje podržava Kremlj na američke organizacije kao odgovor na američke sankcije Rusiji i ruskim preduzećima. 

Dakle, šta bi SAD i GAO trebali učiniti, na nacionalnom nivou, kada tržište sajber osiguranja za preduzeća ne bi moglo podržati preduzeća?

"Svaki odgovor saveznog osiguranja trebao bi uključivati ​​jasne kriterije za pokriće, specifične zahtjeve cyber sigurnosti i namjenski mehanizam finansiranja sa ustupcima svih učesnika na tržištu", rekao je GAO.

Kako GAO napominje, neke osiguravajuće kuće suzbijaju svoje politike kako bi se zaštitile od incidenata koji uzrokuju sistemske probleme. Osiguravači ne pokrivaju napade koji bi tehnički mogli spadati u kategoriju ratovanja, na primjer. 

GAO kaže da je TRIP „državna zaštita za gubitke od terorizma“. U kombinaciji sa sajber osiguranjem, oni pružaju određenu zaštitu, ali "obojica su ograničena u svojoj sposobnosti da pokriju potencijalno katastrofalne gubitke od sistemskih sajber napada". 

„Sajber osiguranje može nadoknaditi troškove nekih od najčešćih sajber rizika, kao što su kršenje podataka i ransomware,“ kaže GAO. 

“Međutim, privatni osiguravači poduzimaju korake da ograniče svoje potencijalne gubitke od sistemskih sajber događaja. Na primjer, osiguravatelji isključuju pokriće za gubitke od sajber ratovanja i prekida infrastrukture. TRIP pokriva gubitke od sajber napada ako se smatraju terorizmom, između ostalog. Međutim, sajber napadi možda ne ispunjavaju kriterije programa da bi bili certificirani kao terorizam, čak i ako su rezultirali katastrofalnim gubicima. Na primjer, napadi moraju biti nasilne ili prisilne prirode da bi bili potvrđeni.”

GAO preporučuje Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA), tijelo za kibernetičku sigurnost saveznih agencija, treba da radi s direktorom Federalnog ureda za osiguranje kako bi „izradili zajedničku procjenu za Kongres o tome u kojoj mjeri su rizici za kritičnu infrastrukturu zemlje od Katastrofalni cyber napadi i potencijalna finansijska izloženost koja proizlazi iz ovih rizika zahtijevaju odgovor saveznog osiguranja.”