Pengawas AS khawatir asuransi siber tidak akan menanggung 'serangan siber katastropik'

Pasar asuransi siber telah matang dengan cepat dalam beberapa tahun terakhir tetapi mungkin gagal ketika datang ke serangan besar tertentu, pengawas pengeluaran pemerintah AS telah memperingatkan.

Kantor Akuntabilitas Pemerintah AS (GAO) telah menyerukan tanggapan federal terhadap asuransi untuk serangan siber "bencana" pada infrastruktur penting. Pasar asuransi yang berfungsi sangat penting untuk bisnis, konsumen dan, seperti yang disoroti GAO, untuk operator infrastruktur penting. 

GAO, yang mengaudit triliunan dolar yang dikeluarkan pemerintah AS setiap tahun, memperingatkan bahwa perusahaan asuransi swasta dan asuransi risiko terorisme resmi pemerintah AS — Program Asuransi Risiko Terorisme (TRIP) — mungkin tidak dapat menutupi kerugian finansial yang diakibatkan oleh serangan siber.

“Serangan siber mungkin tidak memenuhi kriteria program untuk disertifikasi sebagai terorisme, bahkan jika itu mengakibatkan kerugian besar. Misalnya, serangan harus bersifat kekerasan atau pemaksaan untuk disertifikasi, ”kata GAO.

Ransomware dan asuransi adalah masalah rumit karena keanehan yang terlibat dalam atribusi. Sementara ransomware sebagian besar didorong oleh penjahat dunia maya, beberapa insiden yang menelan korban jutaan dolar telah secara resmi dikaitkan oleh pemerintah Barat dengan pemerintah Rusia, Korea Utara, dan China.  

Beberapa perusahaan asuransi telah menggunakan atribusi resmi ini untuk menghindari pembayaran kepada korban karena insiden tersebut dapat ditafsirkan di pengadilan sebagai tindakan perang, yang tidak tercakup dalam polis asuransi cyber. Polis asuransi memang mencakup tindakan terorisme, tetapi ini juga memiliki klausul yang membatasi pertanggungan untuk tindakan kekerasan bersertifikat.  

“Asuransi pemerintah hanya dapat mencakup serangan siber jika mereka dapat dianggap sebagai “terorisme” di bawah kriteria yang ditentukan,” GAO mengatakan dalam sebuah pernyataan.

Masalah asuransi sekarang menjadi perhatian yang lebih besar bagi pemerintah AS setelah invasi berkelanjutan Rusia ke Ukraina, yang dikhawatirkan dapat memicu serangan siber dari peretas yang didukung Kremlin terhadap organisasi AS sebagai tanggapan atas sanksi AS terhadap Rusia dan bisnis Rusia. 

Jadi apa yang harus dilakukan AS dan GAO, di tingkat nasional, ketika pasar asuransi siber untuk perusahaan dapat gagal mendukung bisnis?

“Setiap respons asuransi federal harus mencakup kriteria yang jelas untuk cakupan, persyaratan keamanan siber tertentu, dan mekanisme pendanaan khusus dengan konsesi dari semua pelaku pasar,” kata GAO.

Sebagai catatan GAO, beberapa perusahaan asuransi memagari kebijakan mereka untuk melindungi diri dari insiden yang menyebabkan masalah sistemik. Perusahaan asuransi tidak menanggung serangan yang secara teknis bisa masuk dalam kategori peperangan, misalnya. 

GAO mengatakan TRIP adalah "penopang pemerintah untuk kerugian dari terorisme". Dikombinasikan dengan asuransi siber, mereka memang memberikan beberapa perlindungan tetapi “keduanya terbatas dalam kemampuan mereka untuk menutupi kerugian yang berpotensi bencana dari serangan siber sistemik”. 

“Asuransi siber dapat mengimbangi biaya dari beberapa risiko siber yang paling umum, seperti pelanggaran data dan ransomware,” kata GAO. 

“Namun, perusahaan asuransi swasta telah mengambil langkah-langkah untuk membatasi potensi kerugian mereka dari peristiwa siber sistemik. Misalnya, perusahaan asuransi tidak termasuk pertanggungan kerugian dari perang dunia maya dan pemadaman infrastruktur. TRIP mencakup kerugian dari serangan siber jika dianggap terorisme, di antara persyaratan lainnya. Namun, serangan siber mungkin tidak memenuhi kriteria program untuk disertifikasi sebagai terorisme, bahkan jika itu mengakibatkan kerugian besar. Misalnya, serangan harus bersifat kekerasan atau pemaksaan untuk disertifikasi.”

GAO merekomendasikan Cybersecurity and Infrastructure Security Agency (CISA), otoritas cybersecurity untuk agen federal, harus bekerja dengan Direktur Kantor Asuransi Federal untuk “menghasilkan penilaian bersama untuk Kongres sejauh mana risiko terhadap infrastruktur kritis negara dari serangan siber bencana, dan potensi eksposur keuangan yang dihasilkan dari risiko ini, memerlukan tanggapan asuransi federal.”