US watchdog is worried cyber insurance won’t cover ‘catastrophic cyberattacks’

De markt voor cyberverzekeringen is de afgelopen jaren snel volwassen geworden, maar kan tekortschieten als het gaat om bepaalde grote aanvallen, waarschuwde de Amerikaanse overheidsuitgavenwaakhond.

Het Amerikaanse Government Accountability Office (GAO) heeft opgeroepen tot een federale reactie op verzekeringen voor "catastrofale" cyberaanvallen op kritieke infrastructuur. Een functionerende verzekeringsmarkt is essentieel voor bedrijven, consumenten en, zoals GAO benadrukt, voor exploitanten van kritieke infrastructuur. 

De GAO, die de biljoenen dollars de Amerikaanse regering elk jaar uitgeeft, waarschuwt dat particuliere verzekeraars en de officiële terrorismerisicoverzekering van de Amerikaanse regering - het Terrorism Risk Insurance Program (TRIP) - mogelijk niet in staat zijn om catastrofale financiële verliezen als gevolg van cyberaanvallen te dekken.

“Cyberaanvallen voldoen mogelijk niet aan de criteria van het programma om als terrorisme te worden gecertificeerd, zelfs als ze tot catastrofale verliezen hebben geleid. Aanvallen moeten bijvoorbeeld gewelddadig of dwingend van aard zijn om te worden gecertificeerd”, aldus de GAO.

Ransomware en verzekeringen zijn een lastige kwestie vanwege de grillen die betrokken zijn bij toeschrijving. Terwijl ransomware meestal wordt aangedreven door cybercriminelen, zijn sommige incidenten die slachtoffers miljoenen dollars hebben gekost officieel door westerse regeringen toegeschreven aan de regeringen van Rusland, Noord-Korea en China.  

Sommige verzekeraars hebben deze officiële toeschrijvingen gebruikt om uitbetalingen aan slachtoffers te voorkomen, omdat dergelijke incidenten voor de rechtbank kunnen worden opgevat als een oorlogsdaad, die cyberverzekeringspolissen niet dekken. Verzekeringspolissen dekken terroristische daden, maar deze hebben ook clausules die de dekking beperken tot daden van gecertificeerd geweld.  

"De verzekering van de overheid dekt mogelijk alleen cyberaanvallen als ze volgens de gedefinieerde criteria als 'terrorisme' kunnen worden beschouwd," zei de GAO in een verklaring.

De kwestie van verzekeringen is nu een grotere zorg voor de Amerikaanse regering na de voortdurende invasie van Rusland in Oekraïne, waarvan zij vreest dat ze cyberaanvallen van door het Kremlin gesteunde hackers op Amerikaanse organisaties kunnen aanzetten als reactie op Amerikaanse sancties tegen Rusland en Russische bedrijven. 

Dus wat moeten de VS en GAO op nationaal niveau doen als de markt voor cyberverzekeringen voor bedrijven bedrijven mogelijk niet ondersteunt?

"Elke federale verzekeringsreactie moet duidelijke criteria voor dekking, specifieke cyberbeveiligingsvereisten en een speciaal financieringsmechanisme bevatten met concessies van alle marktdeelnemers", aldus de GAO.

Zoals GAO opmerkt, schermen sommige verzekeringsmaatschappijen hun beleid af om zichzelf te beschermen tegen incidenten die systemische problemen veroorzaken. Verzekeraars dekken bijvoorbeeld geen aanvallen die technisch gezien in de categorie oorlogsvoering zouden kunnen vallen. 

De GAO zegt dat TRIP de "backstop van de overheid is voor verliezen door terrorisme". In combinatie met een cyberverzekering bieden ze wel enige bescherming, maar "beide zijn beperkt in hun vermogen om mogelijk catastrofale verliezen door systemische cyberaanvallen te dekken". 

"Cyberverzekeringen kunnen de kosten van enkele van de meest voorkomende cyberrisico's, zoals datalekken en ransomware, compenseren", zegt GAO. 

“Private verzekeraars hebben echter stappen ondernomen om hun potentiële verliezen als gevolg van systemische cybergebeurtenissen te beperken. Verzekeraars sluiten bijvoorbeeld dekking uit voor verliezen als gevolg van cyberoorlogvoering en uitval van infrastructuur. TRIP dekt onder meer verliezen als gevolg van cyberaanvallen als deze als terrorisme worden beschouwd. Het is echter mogelijk dat cyberaanvallen niet voldoen aan de criteria van het programma om als terrorisme te worden gecertificeerd, zelfs als ze tot catastrofale verliezen hebben geleid. Aanvallen moeten bijvoorbeeld gewelddadig of dwingend van aard zijn om te worden gecertificeerd.”

De GAO beveelt de Cybersecurity and Infrastructure Security Agency (CISA), de cyberbeveiligingsautoriteit voor federale agentschappen, aan om samen te werken met de directeur van het Federal Insurance Office om “een gezamenlijke beoordeling voor het Congres op te stellen over de mate waarin de risico’s voor de kritieke infrastructuur van het land van catastrofale cyberaanvallen en de potentiële financiële risico's die uit deze risico's voortvloeien, rechtvaardigen een federale verzekeringsreactie.