Den amerikanske vagthund er bekymret for, at cyberforsikring ikke vil dække 'katastrofale cyberangreb'

Cyberforsikringsmarkedet har modnet hurtigt i de seneste år, men det kan komme til kort, når det kommer til visse større angreb, har den amerikanske regerings vagthund advaret.

US Government Accountability Office (GAO) har opfordret til en føderal reaktion på forsikring for "katastrofale" cyberangreb på kritisk infrastruktur. Et fungerende forsikringsmarked er afgørende for virksomheder, forbrugere og, som GAO ​​fremhæver, for kritiske infrastrukturoperatører. 

GAO, som reviderer billioner af dollars den amerikanske regering bruger hvert år, advarer om, at private forsikringsselskaber og den amerikanske regerings officielle terrorrisikoforsikring - Terrorism Risk Insurance Program (TRIP) - muligvis ikke er i stand til at dække katastrofale økonomiske tab som følge af cyberangreb.

"Cyberangreb opfylder muligvis ikke programmets kriterier for at blive certificeret som terrorisme, selvom de resulterede i katastrofale tab. For eksempel skal angreb være voldelige eller tvangsmæssige for at blive certificeret,” sagde GAO.

Ransomware og forsikring er et vanskeligt problem på grund af de luner, der er involveret i tilskrivning. Mens ransomware for det meste er drevet af cyberkriminelle, er nogle hændelser, der kostede ofre millioner af dollars, officielt blevet tilskrevet af vestlige regeringer til regeringerne i Rusland, Nordkorea og Kina.  

Nogle forsikringsselskaber har brugt disse officielle tilskrivninger for at undgå udbetalinger til ofre, fordi disse hændelser i retten kan opfattes som en krigshandling, som cyberforsikringer ikke dækker. Forsikringer dækker terrorhandlinger, men disse har også klausuler, der begrænser dækningen til certificerede voldshandlinger.  

"Regeringens forsikring kan kun dække cyberangreb, hvis de kan betragtes som "terrorisme" under de definerede kriterier," sagde GAO i en erklæring.

Spørgsmålet om forsikring er nu en større bekymring for den amerikanske regering efter Ruslands igangværende invasion af Ukraine, som den frygter kan anspore til cyberangreb fra Kreml-støttede hackere på amerikanske organisationer som svar på amerikanske sanktioner mod Rusland og russiske virksomheder. 

Så hvad skal USA og GAO gøre på nationalt plan, når markedet for cyberforsikring til virksomheder ikke kunne støtte virksomheder?

"Ethvert føderalt forsikringssvar bør omfatte klare kriterier for dækning, specifikke cybersikkerhedskrav og en dedikeret finansieringsmekanisme med indrømmelser fra alle markedsdeltagere," sagde GAO.

Som GAO ​​bemærker, afgrænser nogle forsikringsselskaber deres politikker for at beskytte sig selv mod hændelser, der forårsager systemiske problemer. Forsikringsselskaber dækker ikke angreb, der teknisk set kan falde ind under kategorien krigsførelse, for eksempel. 

GAO siger, at TRIP er "regeringens bagstopper for tab fra terrorisme". Kombineret med cyberforsikring giver de en vis beskyttelse, men "begge begrænset i deres evne til at dække potentielt katastrofale tab fra systemiske cyberangreb". 

"Cyberforsikring kan opveje omkostninger fra nogle af de mest almindelige cyberrisici, såsom databrud og ransomware," siger GAO. 

"Private forsikringsselskaber har dog taget skridt til at begrænse deres potentielle tab fra systemiske cyberhændelser. For eksempel udelukker forsikringsselskaber dækning for tab fra cyberkrigsførelse og infrastrukturafbrydelser. TRIP dækker blandt andet tab fra cyberangreb, hvis de betragtes som terrorisme. Dog opfylder cyberangreb muligvis ikke programmets kriterier for at blive certificeret som terrorisme, selvom de resulterede i katastrofale tab. For eksempel skal angreb være voldelige eller tvangsmæssige for at blive certificeret.”

GAO anbefaler Cybersecurity and Infrastructure Security Agency (CISA), cybersikkerhedsmyndigheden for føderale agenturer, bør arbejde sammen med direktøren for Federal Insurance Office for at "producere en fælles vurdering til Kongressen om, i hvilket omfang risiciene for nationens kritiske infrastruktur fra katastrofale cyberangreb og de potentielle finansielle eksponeringer som følge af disse risici, berettiger et føderalt forsikringssvar."