Americký hlídací pes se obává, že kybernetické pojištění nepokryje „katastrofické kybernetické útoky“

Trh s kybernetickým pojištěním v posledních letech rychle dozrál, ale pokud jde o některé velké útoky, může selhat, varoval americký vládní úřad pro dohled nad výdaji.

Americký vládní úřad pro odpovědnost (GAO) vyzval k federální reakci na pojištění pro „katastrofické“ kybernetické útoky na kritickou infrastrukturu. Fungující pojistné trhy jsou zásadní pro podniky, spotřebitele a, jak GAO zdůrazňuje, pro provozovatele kritické infrastruktury. 

GAO, která provádí audit miliardy dolarů vláda USA utrácí každý rok, varuje, že soukromé pojišťovny a oficiální pojištění proti riziku terorismu vlády USA – Program pojištění rizika terorismu (TRIP) – nemusí být schopny pokrýt katastrofické finanční ztráty vyplývající z kybernetických útoků.

„Kybernetické útoky nemusí splňovat kritéria programu, aby byly certifikovány jako terorismus, i když vedly ke katastrofickým ztrátám. Například útoky musí být násilné nebo nátlakové povahy, aby byly certifikovány,“ uvedl GAO.

Ransomware a pojištění je ošemetná záležitost kvůli rozmarům spojeným s připisováním. Zatímco ransomware většinou řídí kyberzločinci, některé incidenty, které stály oběti miliony dolarů, byly oficiálně západními vládami připsány vládám Ruska, Severní Koreje a Číny.  

Někteří pojistitelé využili těchto oficiálních atributů, aby se vyhnuli výplatám obětem, protože tyto incidenty lze u soudu vykládat jako válečný akt, na který se kybernetické pojištění nevztahuje. Pojistné smlouvy sice pokrývají teroristické činy, ale obsahují také doložky, které omezují krytí na činy ověřeného násilí.  

„Vládní pojištění může pokrývat kybernetické útoky pouze tehdy, pokud je lze považovat za „terorismus“ podle definovaných kritérií,“ GAO uvedl v prohlášení.

Otázka pojištění nyní více znepokojuje americkou vládu po pokračující ruské invazi na Ukrajinu, která se obává, že by mohla podnítit kybernetické útoky Kremlem podporovaných hackerů na americké organizace v reakci na americké sankce vůči Rusku a ruským podnikům. 

Co by tedy měly USA a GAO dělat na národní úrovni, když by trh s kybernetickým pojištěním pro podniky nemohl podporovat podniky?

"Jakákoli reakce federálního pojištění by měla zahrnovat jasná kritéria pro krytí, specifické požadavky na kybernetickou bezpečnost a vyhrazený mechanismus financování s ústupky od všech účastníků trhu," uvedl GAO.

Jak poznamenává GAO, některé pojišťovací firmy ohraničují své politiky, aby se chránily před incidenty, které způsobují systémové problémy. Pojišťovny nekryjí útoky, které by technicky mohly spadat například do kategorie válčení. 

GAO říká, že TRIP je „vládní pojistka pro ztráty z terorismu“. V kombinaci s kybernetickým pojištěním sice poskytují určitou ochranu, ale „oba mají omezenou schopnost pokrýt potenciálně katastrofické ztráty ze systémových kybernetických útoků“. 

"Kybernetické pojištění může kompenzovat náklady na některá z nejběžnějších kybernetických rizik, jako jsou úniky dat a ransomware," říká GAO. 

„Soukromé pojišťovny však podnikají kroky k omezení svých potenciálních ztrát ze systémových kybernetických událostí. Pojišťovny například vylučují krytí ztrát z kybernetické války a výpadků infrastruktury. TRIP kryje mimo jiné ztráty z kybernetických útoků, pokud jsou považovány za terorismus. Kybernetické útoky však nemusí splňovat kritéria programu, aby byly certifikovány jako terorismus, i když vedly ke katastrofickým ztrátám. Například útoky musí být násilné nebo nátlakové povahy, aby mohly být certifikovány.“

GAO doporučuje, aby Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), úřad pro kybernetickou bezpečnost pro federální úřady, spolupracovala s ředitelem Federálního úřadu pro pojišťovnictví na „vypracování společného posouzení pro Kongres o rozsahu, v jakém rizika pro kritickou infrastrukturu země katastrofické kybernetické útoky a potenciální finanční rizika vyplývající z těchto rizik zaručují reakci federálního pojištění."