Keep Calm and Stay Smart
10:35
Amerikansk vakthund er bekymret for at cyberforsikring ikke vil dekke "katastrofale nettangrep"
Cyberforsikringsmarkedet har modnet raskt de siste årene, men det kan komme til kort når det kommer til visse store angrep, har den amerikanske myndighetenes utgiftsvakt varslet.
US Government Accountability Office (GAO) har bedt om en føderal reaksjon på forsikring for "katastrofale" cyberangrep på kritisk infrastruktur. Et fungerende forsikringsmarked er avgjørende for bedrifter, forbrukere og, som GAO fremhever, for kritiske infrastrukturoperatører.
GAO, som reviderer trillioner av dollar den amerikanske regjeringen bruker hvert år, advarer om at private forsikringsselskaper og den amerikanske regjeringens offisielle terrorrisikoforsikring – Terrorism Risk Insurance Program (TRIP) – kanskje ikke er i stand til å dekke katastrofale økonomiske tap som følge av cyberangrep.
«Cyberangrep oppfyller kanskje ikke programmets kriterier for å bli sertifisert som terrorisme, selv om de resulterte i katastrofale tap. For eksempel må angrep være voldelige eller tvangsmessige for å bli sertifisert," sa GAO.
Ransomware og forsikring er et vanskelig problem på grunn av lunkene involvert i attribusjon. Mens løsepengevare for det meste drives av nettkriminelle, har noen hendelser som kostet ofre millioner av dollar offisielt blitt tilskrevet av vestlige myndigheter til regjeringene i Russland, Nord-Korea og Kina.
Populær nå
Noen forsikringsselskaper har brukt disse offisielle attribusjonene for å unngå utbetalinger til ofre fordi disse hendelsene kan tolkes i retten som en krigshandling, som cyberforsikringer ikke dekker. Forsikringer dekker terrorhandlinger, men disse har også klausuler som begrenser dekningen til sertifisert vold.
"Regjeringens forsikring kan bare dekke nettangrep hvis de kan betraktes som "terrorisme" under de definerte kriteriene, sa GAO i en uttalelse.
Spørsmålet om forsikring er nå en større bekymring for den amerikanske regjeringen etter Russlands pågående invasjon av Ukraina, som den frykter kan anspore til cyberangrep fra Kreml-støttede hackere på amerikanske organisasjoner som svar på amerikanske sanksjoner mot Russland og russiske virksomheter.
Så hva bør USA og GAO gjøre, på nasjonalt nivå, når markedet for cyberforsikring for bedrifter ikke kan støtte bedrifter?
"Enhver føderal forsikringsrespons bør inkludere klare kriterier for dekning, spesifikke krav til cybersikkerhet og en dedikert finansieringsmekanisme med innrømmelser fra alle markedsdeltakere," sa GAO.
Som GAO bemerker, er noen forsikringsselskaper ring-fencing sine politikker for å beskytte seg mot hendelser som forårsaker systemiske problemer. Forsikringsselskaper dekker ikke angrep som teknisk sett kan falle inn i kategorien krigføring, for eksempel.
GAO sier at TRIP er "regjeringens bakstopp for tap fra terrorisme". Kombinert med cyberforsikring gir de en viss beskyttelse, men "begge begrenset i deres evne til å dekke potensielt katastrofale tap fra systemiske cyberangrep".
"Cyberforsikring kan kompensere for kostnader fra noen av de vanligste cyberrisikoene, for eksempel datainnbrudd og løsepengeprogramvare," sier GAO.
Populær nå
"Private forsikringsselskaper har imidlertid tatt skritt for å begrense deres potensielle tap fra systemiske cyberhendelser. For eksempel ekskluderer forsikringsselskaper dekning for tap fra cyberkrigføring og infrastrukturbrudd. TRIP dekker blant annet tap fra nettangrep dersom de anses som terrorisme. Det kan imidlertid hende at nettangrep ikke oppfyller programmets kriterier for å bli sertifisert som terrorisme, selv om de resulterte i katastrofale tap. For eksempel må angrep være voldelige eller tvangsmessige for å bli sertifisert.»
GAO anbefaler Cybersecurity and Infrastructure Security Agency (CISA), cybersikkerhetsmyndigheten for føderale byråer, bør samarbeide med direktøren for Federal Insurance Office for å "produsere en felles vurdering for kongressen om i hvilken grad risikoen for nasjonens kritiske infrastruktur fra katastrofale cyberangrep, og den potensielle økonomiske eksponeringen som følge av disse risikoene, garanterer et føderalt forsikringssvar.»
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba