Yhdysvaltain vahtikoira on huolissaan siitä, että kybervakuutus ei kata "katastrofaalisia kyberhyökkäyksiä"

Kybervakuutusmarkkinat ovat kypsyneet nopeasti viime vuosina, mutta se voi jäädä alle tiettyjen suurten hyökkäysten osalta, Yhdysvaltain hallituksen menovahti on varoittanut.

Yhdysvaltain hallituksen tilivelvollisuusvirasto (GAO) on vaatinut liittovaltiolta vastausta kriittiseen infrastruktuuriin kohdistuvien "katastrofaalisten" kyberhyökkäysten varalta. Toimivat vakuutusmarkkinat ovat välttämättömiä yrityksille, kuluttajille ja, kuten GAO korostaa, kriittisen infrastruktuurin operaattoreille. 

GAO, joka tarkastaa biljoonaa dollaria Yhdysvaltain hallitus kuluttaa vuosittain, varoittaa, että yksityiset vakuutusyhtiöt ja Yhdysvaltain hallituksen virallinen terrorismiriskivakuutus – Terrorism Risk Insurance Program (TRIP) – eivät välttämättä pysty kattamaan kyberhyökkäyksistä aiheutuvia katastrofaalisia taloudellisia menetyksiä.

”Kyberhyökkäykset eivät välttämättä täytä ohjelman kriteerejä terrorismiksi sertifioimiseksi, vaikka ne olisivat johtaneet katastrofaalisiin tappioihin. Esimerkiksi hyökkäysten on oltava väkivaltaisia ​​tai pakottavia, jotta ne voidaan hyväksyä", GAO sanoi.

Kiristyshaittaohjelmat ja vakuutukset ovat hankala ongelma, koska tekijän määrittelyyn liittyy oikeita asioita. Vaikka kiristysohjelmia ajavat enimmäkseen kyberrikolliset, länsimaiden hallitukset ovat virallisesti katsoneet Venäjän, Pohjois-Korean ja Kiinan hallitusten syyksi jotkin uhreille miljoonia dollareita maksaneet tapaukset.  

Jotkut vakuutusyhtiöt ovat käyttäneet näitä virallisia merkintöjä välttääkseen maksuja uhreille, koska kyseiset tapaukset voidaan tulkita tuomioistuimessa sotatoimeksi, jota verkkovakuutukset eivät kata. Vakuutukset kattavat terroriteot, mutta niissä on myös lausekkeita, jotka rajoittavat vakuutusturvan todistettuihin väkivaltaisiin tekoihin.  

"Hallituksen vakuutus voi kattaa kyberhyökkäykset vain, jos niitä voidaan pitää "terrorismina" sen määrittelemien kriteerien mukaan. GAO sanoi lausunnossaan.

Vakuutuskysymys on nyt suurempi huolenaihe Yhdysvaltain hallitukselle Venäjän jatkuvan Ukrainan hyökkäyksen jälkeen, jonka se pelkää saavan Kremlin tukemien hakkerien kyberhyökkäyksiä Yhdysvaltain organisaatioita vastaan ​​vastauksena Yhdysvaltain Venäjää ja venäläisiä yrityksiä vastaan ​​asettamiin pakotteisiin. 

Mitä Yhdysvaltojen ja GAO:n pitäisi tehdä kansallisella tasolla, kun yritysten kybervakuutusmarkkinat eivät ehkä pysty tukemaan yrityksiä?

"Kaikkien liittovaltion vakuutusten tulisi sisältää selkeät kriteerit kattavuudelle, erityiset kyberturvallisuusvaatimukset ja erityinen rahoitusmekanismi, johon kaikki markkinaosapuolet myöntävät myönnytyksiä", GAO sanoi.

Kuten GAO huomauttaa, jotkin vakuutusyritykset eristävät politiikkaansa suojautuakseen systeemisiä ongelmia aiheuttavilta tapauksilta. Vakuutuksenantajat eivät korvaa hyökkäyksiä, jotka voivat teknisesti kuulua esimerkiksi sodankäynnin kategoriaan. 

GAO sanoo, että TRIP on "hallituksen tuki terrorismin aiheuttamille tappioille". Yhdessä kybervakuutuksen kanssa ne tarjoavat jonkin verran suojaa, mutta "molempien kyky kattaa mahdolliset katastrofaaliset tappiot järjestelmällisistä kyberhyökkäyksistä on rajoitettu". 

"Kybervakuutukset voivat kompensoida kustannuksia joistakin yleisimmistä kyberriskeistä, kuten tietomurroista ja kiristysohjelmista", GAO sanoo. 

"Yksityiset vakuutusyhtiöt ovat kuitenkin ryhtyneet toimiin rajoittaakseen mahdollisia tappioitaan järjestelmällisistä kybertapahtumista. Vakuutuksenantajat esimerkiksi sulkevat pois kybersodankäynnin ja infrastruktuurin katkosten aiheuttamat tappiot. TRIP kattaa muun muassa kyberhyökkäyksistä aiheutuvat tappiot, jos ne katsotaan terrorismiksi. Kyberhyökkäykset eivät kuitenkaan välttämättä täytä ohjelman kriteerejä terrorismiksi sertifioimiseksi, vaikka ne olisivat johtaneet katastrofaalisiin tappioihin. Esimerkiksi hyökkäysten on oltava väkivaltaisia ​​tai pakottavia, jotta ne voidaan hyväksyä."

GAO suosittelee, että Cybersecurity and Infrastructure Security Agency (CISA), liittovaltion virastojen kyberturvallisuusviranomainen, työskentelee liittovaltion vakuutusviraston johtajan kanssa "tuottaakseen kongressille yhteisen arvion siitä, missä määrin maan kriittiseen infrastruktuuriin kohdistuvat riskit katastrofaaliset kyberhyökkäykset ja näistä riskeistä johtuvat mahdolliset taloudelliset altistukset edellyttävät liittovaltion vakuutustoimia."