ASV sargsuns ir noraizējies, ka kiberapdrošināšana nesedz "katastrofālus kiberuzbrukumus"

Kiberapdrošināšanas tirgus pēdējos gados ir strauji nobriedis, taču tas var pietrūkt, kad runa ir par dažiem lieliem uzbrukumiem, brīdinājusi ASV valdības izdevumu uzraudzības iestāde.

ASV valdības atbildības birojs (GAO) ir aicinājis federālu reaģēt uz apdrošināšanu "katastrofāliem" kiberuzbrukumiem kritiskajai infrastruktūrai. Darbojoši apdrošināšanas tirgi ir būtiski uzņēmumiem, patērētājiem un, kā uzsver GAO, kritiskās infrastruktūras operatoriem. 

GAO, kas veic revīziju triljoniem dolāru ASV valdība tērē katru gadu, brīdina, ka privātie apdrošinātāji un ASV valdības oficiālā terorisma riska apdrošināšana — Terorisma riska apdrošināšanas programma (TRIP) — var nespēt segt katastrofālos finansiālos zaudējumus, kas radušies kiberuzbrukumu rezultātā.

"Kiberuzbrukumi var neatbilst programmas kritērijiem, lai tos sertificētu kā terorismu, pat ja tie izraisīja katastrofālus zaudējumus. Piemēram, uzbrukumiem ir jābūt vardarbīgiem vai piespiedu rakstura, lai tie tiktu sertificēti, ”sacīja GAO.

Ransomware un apdrošināšana ir sarežģīts jautājums, jo ar attiecināšanu ir saistītas neskaidrības. Lai gan izpirkuma programmatūru galvenokārt virza kibernoziedznieki, dažus incidentus, kas upuriem izmaksāja miljoniem dolāru, Rietumu valdības ir oficiāli attiecinājušas uz Krievijas, Ziemeļkorejas un Ķīnas valdībām.  

Daži apdrošinātāji ir izmantojuši šos oficiālos attiecinājumus, lai izvairītos no izmaksām cietušajiem, jo ​​šos incidentus tiesā var interpretēt kā kara aktu, ko kiberapdrošināšanas polises nesedz. Apdrošināšanas polises sedz terora aktus, taču tajās ir arī klauzulas, kas ierobežo segumu līdz apliecinātas vardarbības aktiem.  

"Valdības apdrošināšana var segt tikai kiberuzbrukumus, ja tos var uzskatīt par "terorismu" saskaņā ar tās noteiktajiem kritērijiem," GAO teikts paziņojumā.

Apdrošināšanas jautājums šobrīd ir lielākas bažas ASV valdībai pēc Krievijas pastāvīgā iebrukuma Ukrainā, kas, pēc tās bažām, varētu veicināt Kremļa atbalstīto hakeru kiberuzbrukumus ASV organizācijām, reaģējot uz ASV sankcijām pret Krieviju un Krievijas uzņēmumiem. 

Tātad, kas ASV un GAO būtu jādara valsts līmenī, ja uzņēmumu kiberapdrošināšanas tirgus varētu nespēt atbalstīt uzņēmumus?

"Jebkurā federālajā apdrošināšanas atbildē jāiekļauj skaidri seguma kritēriji, īpašas kiberdrošības prasības un īpašs finansēšanas mehānisms ar piekāpšanos no visiem tirgus dalībniekiem," sacīja GAO.

Kā atzīmē GAO, dažas apdrošināšanas kompānijas norobežo savas polises, lai pasargātu sevi no incidentiem, kas izraisa sistēmiskas problēmas. Apdrošinātāji nesedz uzbrukumus, kas tehniski varētu ietilpt, piemēram, karadarbības kategorijā. 

GAO saka, ka TRIP ir "valdības aizsardzības līdzeklis pret terorisma radītajiem zaudējumiem". Apvienojumā ar kiberapdrošināšanu tie sniedz zināmu aizsardzību, taču “abu to spēja segt potenciāli katastrofālus zaudējumus no sistēmiskiem kiberuzbrukumiem”. 

"Kiberapdrošināšana var kompensēt izmaksas, ko rada daži no visizplatītākajiem kiberriskiem, piemēram, datu pārkāpumi un izpirkuma programmatūra," saka GAO. 

"Tomēr privātie apdrošinātāji ir veikuši pasākumus, lai ierobežotu savus iespējamos zaudējumus no sistēmiskiem kibernotikumiem. Piemēram, apdrošinātāji izslēdz segumu par zaudējumiem no kiberkara un infrastruktūras pārtraukumiem. TRIP cita starpā sedz zaudējumus no kiberuzbrukumiem, ja tie tiek uzskatīti par terorismu. Tomēr kiberuzbrukumi var neatbilst programmas kritērijiem, lai tie tiktu sertificēti kā terorisms, pat ja tie izraisīja katastrofālus zaudējumus. Piemēram, uzbrukumiem jābūt vardarbīgiem vai piespiedu rakstura, lai tie tiktu sertificēti.

GAO iesaka Kiberdrošības un infrastruktūras drošības aģentūrai (CISA), kas ir federālo aģentūru kiberdrošības iestāde, sadarboties ar Federālā apdrošināšanas biroja direktoru, lai “sagatavotu Kongresam kopīgu novērtējumu par to, cik lielā mērā riski valsts kritiskajai infrastruktūrai no katastrofāli kiberuzbrukumi un no šiem riskiem izrietošais iespējamais finansiālais apdraudējums attaisno federālās apdrošināšanas reakciju.