Amerykański strażnik obawia się, że ubezpieczenie cybernetyczne nie pokryje „katastroficznych cyberataków”

Rynek ubezpieczeń cybernetycznych szybko dojrzał w ostatnich latach, ale może nie sprostać pewnym poważnym atakom – ostrzega organ nadzorujący wydatki rządu USA.

Biuro Odpowiedzialności Rządu Stanów Zjednoczonych (GAO) wezwało władze federalne do zareagowania na ubezpieczenie na wypadek „katastrofalnych” cyberataków na infrastrukturę krytyczną. Funkcjonujące rynki ubezpieczeń są niezbędne dla przedsiębiorstw, konsumentów i, jak podkreśla GAO, dla operatorów infrastruktury krytycznej. 

GAO, które audytuje tryliony dolarów wydatki, jakie rząd USA wydaje każdego roku, ostrzega, że ​​prywatni ubezpieczyciele i oficjalne ubezpieczenie rządu USA od ryzyka terroryzmu — Program Ubezpieczenia Ryzyka Terrorystycznego (TRIP) — mogą nie być w stanie pokryć katastrofalnych strat finansowych wynikających z cyberataków.

„Cyberataki mogą nie spełniać kryteriów programu pozwalających na uznanie ich za terroryzm, nawet jeśli spowodowały katastrofalne straty. Na przykład ataki muszą mieć charakter brutalny lub przymusowy, aby mogły zostać poświadczone” – stwierdziło GAO.

Ransomware i ubezpieczenie to trudna kwestia ze względu na kaprysy związane z atrybucją. Chociaż oprogramowanie ransomware jest głównie tworzone przez cyberprzestępców, rządy zachodnie oficjalnie przypisują niektóre incydenty, które kosztowały ofiary miliony dolarów, rządom Rosji, Korei Północnej i Chin.  

Niektórzy ubezpieczyciele wykorzystali te oficjalne przypisy, aby uniknąć wypłat na rzecz ofiar, ponieważ zdarzenia te można zinterpretować w sądzie jako akt wojny, którego polisy ubezpieczeniowe nie obejmują. Polisy ubezpieczeniowe rzeczywiście obejmują akty terroryzmu, ale zawierają one również klauzule ograniczające ochronę do aktów certyfikowanej przemocy.  

„Ubezpieczenie rządu może obejmować cyberataki tylko wtedy, gdy można je uznać za „terroryzm” zgodnie z określonymi kryteriami” – stwierdziło w oświadczeniu GAO.

Kwestia ubezpieczeń budzi obecnie większe obawy rządu USA po trwającej inwazji Rosji na Ukrainę, która według obaw może wywołać cyberataki ze strony wspieranych przez Kreml hakerów na amerykańskie organizacje w odpowiedzi na amerykańskie sankcje nałożone na Rosję i rosyjskie przedsiębiorstwa. 

Co zatem powinny zrobić USA i GAO na poziomie krajowym, gdy rynek cyberubezpieczeń dla przedsiębiorstw może nie wspierać przedsiębiorstw?

„Każda federalna reakcja ubezpieczyciela powinna obejmować jasne kryteria ubezpieczenia, szczegółowe wymagania w zakresie cyberbezpieczeństwa oraz dedykowany mechanizm finansowania z ustępstwami wszystkich uczestników rynku” – stwierdziło GAO.

Jak zauważa GAO, niektóre firmy ubezpieczeniowe wyodrębniają swoje polisy, aby chronić się przed zdarzeniami powodującymi problemy systemowe. Ubezpieczyciele nie obejmują na przykład ataków, które z technicznego punktu widzenia można zaliczyć do kategorii działań wojennych. 

GAO twierdzi, że TRIP to „rządowa ochrona przed stratami spowodowanymi terroryzmem”. W połączeniu z ubezpieczeniem cybernetycznym zapewniają one pewną ochronę, ale „oba mają ograniczoną zdolność do pokrycia potencjalnie katastrofalnych strat wynikających z systemowych cyberataków”. 

„Ubezpieczenie cybernetyczne może zrekompensować koszty niektórych z najczęstszych zagrożeń cybernetycznych, takich jak naruszenia bezpieczeństwa danych i oprogramowanie ransomware” – mówi GAO. 

„Jednak prywatni ubezpieczyciele podejmują kroki, aby ograniczyć potencjalne straty wynikające z systemowych zdarzeń cybernetycznych. Na przykład ubezpieczyciele wykluczają pokrycie strat spowodowanych wojnami cybernetycznymi i awariami infrastruktury. TRIP obejmuje między innymi straty wynikające z cyberataków, jeśli zostaną one uznane za terroryzm. Jednak cyberataki mogą nie spełniać kryteriów programu pozwalających na uznanie ich za terroryzm, nawet jeśli spowodowały katastrofalne straty. Na przykład ataki muszą mieć charakter brutalny lub przymusowy, aby mogły zostać poświadczone”.

GAO zaleca Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), organu ds. bezpieczeństwa cybernetycznego agencji federalnych, aby współpracowała z dyrektorem Federalnego Biura Ubezpieczeń w celu „sporządzenia dla Kongresu wspólnej oceny dotyczącej zakresu, w jakim zagrożenia dla infrastruktury krytycznej kraju wynikające z katastrofalne cyberataki oraz potencjalne ryzyko finansowe wynikające z tych zagrożeń uzasadniają reakcję ubezpieczyciela federalnego”.