El organismo de control de EE. UU. Teme que el seguro cibernético no cubra los "ataques cibernéticos catastróficos"

El mercado de seguros cibernéticos ha madurado rápidamente en los últimos años, pero puede quedarse corto cuando se trata de ciertos ataques importantes, advirtió el organismo de control de gastos del gobierno de EE. UU.

La Oficina de Responsabilidad del Gobierno de EE. UU. (GAO, por sus siglas en inglés) ha pedido una respuesta federal al seguro para ataques cibernéticos "catastróficos" en infraestructura crítica. Un mercado de seguros que funcione es esencial para las empresas, los consumidores y, como destaca la GAO, para los operadores de infraestructura crítica. 

La GAO, que audita la trillones de dólares gasta cada año el gobierno de EE. UU., advierte que las aseguradoras privadas y el seguro de riesgo de terrorismo oficial del gobierno de EE. UU., el Programa de Seguro de Riesgo de Terrorismo (TRIP), pueden no ser capaces de cubrir pérdidas financieras catastróficas derivadas de ataques cibernéticos.

“Los ataques cibernéticos pueden no cumplir con los criterios del programa para ser certificados como terrorismo, incluso si resultaron en pérdidas catastróficas. Por ejemplo, los ataques deben ser de naturaleza violenta o coercitiva para ser certificados”, dijo la GAO.

El ransomware y los seguros son un tema complicado debido a los caprichos involucrados en la atribución. Si bien el ransomware es impulsado principalmente por ciberdelincuentes, algunos incidentes que costaron millones de dólares a las víctimas han sido oficialmente atribuidos por los gobiernos occidentales a los gobiernos de Rusia, Corea del Norte y China.  

Algunas aseguradoras han utilizado estas atribuciones oficiales para evitar pagos a las víctimas porque esos incidentes pueden interpretarse en los tribunales como un acto de guerra, que las pólizas de seguro cibernético no cubren. Las pólizas de seguro cubren actos de terrorismo, pero también tienen cláusulas que limitan la cobertura a actos de violencia certificada.  

“El seguro del gobierno solo puede cubrir los ataques cibernéticos si pueden considerarse “terrorismo” según sus criterios definidos”, dijo la GAO en un comunicado.

La cuestión de los seguros ahora es una preocupación mayor para el gobierno de EE. UU. después de la invasión en curso de Rusia a Ucrania, que teme que pueda provocar ataques cibernéticos de piratas informáticos respaldados por el Kremlin contra organizaciones estadounidenses en respuesta a las sanciones de EE. UU. a Rusia y empresas rusas. 

Entonces, ¿qué deberían hacer los EE. UU. y la GAO, a nivel nacional, cuando el mercado de seguros cibernéticos para empresas podría no respaldar a las empresas?

“Cualquier respuesta de seguro federal debe incluir criterios claros para la cobertura, requisitos específicos de ciberseguridad y un mecanismo de financiación dedicado con concesiones de todos los participantes del mercado”, dijo la GAO.

Como señala la GAO, algunas compañías de seguros están delimitando sus pólizas para protegerse de incidentes que causan problemas sistémicos. Las aseguradoras no cubren ataques que técnicamente podrían entrar en la categoría de guerra, por ejemplo. 

La GAO dice que TRIP es el "respaldo del gobierno para las pérdidas causadas por el terrorismo". Combinados con el seguro cibernético, brindan cierta protección, pero "ambos tienen una capacidad limitada para cubrir pérdidas potencialmente catastróficas de ataques cibernéticos sistémicos". 

“El seguro cibernético puede compensar los costos de algunos de los riesgos cibernéticos más comunes, como las filtraciones de datos y el ransomware”, dice la GAO. 

“Sin embargo, las aseguradoras privadas han estado tomando medidas para limitar sus pérdidas potenciales por eventos cibernéticos sistémicos. Por ejemplo, las aseguradoras están excluyendo la cobertura de pérdidas por guerra cibernética y cortes de infraestructura. TRIP cubre pérdidas por ciberataques si se consideran terrorismo, entre otros requisitos. Sin embargo, es posible que los ataques cibernéticos no cumplan con los criterios del programa para ser certificados como terrorismo, incluso si resultaron en pérdidas catastróficas. Por ejemplo, los ataques deben ser de naturaleza violenta o coercitiva para ser certificados”.

La GAO recomienda que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la autoridad de seguridad cibernética para las agencias federales, trabaje con el Director de la Oficina Federal de Seguros para “producir una evaluación conjunta para el Congreso sobre la medida en que los riesgos para la infraestructura crítica de la nación los ciberataques catastróficos y las posibles exposiciones financieras resultantes de estos riesgos justifican una respuesta del seguro federal”.