O órgão de vigilância dos EUA está preocupado que o seguro cibernético não cubra 'ataques cibernéticos catastróficos'

O mercado de seguros cibernéticos amadureceu rapidamente nos últimos anos, mas pode ficar aquém quando se trata de certos grandes ataques, alertou o órgão de fiscalização de gastos do governo dos EUA.

O Escritório de Responsabilidade do Governo dos EUA (GAO) pediu uma resposta federal ao seguro para ataques cibernéticos “catastróficos” em infraestrutura crítica. Um mercado de seguros em funcionamento é essencial para empresas, consumidores e, como destaca o GAO, para operadores de infraestrutura crítica. 

O GAO, que audita o trilhões de dólares que o governo dos EUA gasta a cada ano, adverte que as seguradoras privadas e o seguro de risco de terrorismo oficial do governo dos EUA – o Programa de Seguro de Risco de Terrorismo (TRIP) – podem não ser capazes de cobrir perdas financeiras catastróficas decorrentes de ataques cibernéticos.

“Os ataques cibernéticos podem não atender aos critérios do programa para serem certificados como terrorismo, mesmo que tenham resultado em perdas catastróficas. Por exemplo, os ataques devem ser violentos ou coercitivos por natureza para serem certificados”, disse o GAO.

Ransomware e seguro são uma questão complicada devido aos caprichos envolvidos na atribuição. Embora o ransomware seja principalmente impulsionado por cibercriminosos, alguns incidentes que custaram milhões de dólares às vítimas foram oficialmente atribuídos pelos governos ocidentais aos governos da Rússia, Coreia do Norte e China.  

Algumas seguradoras usaram essas atribuições oficiais para evitar pagamentos às vítimas porque esses incidentes podem ser interpretados no tribunal como um ato de guerra, que as apólices de seguro cibernético não cobrem. As apólices de seguro cobrem atos de terrorismo, mas também têm cláusulas que limitam a cobertura a atos de violência comprovada.  

“O seguro do governo só pode cobrir ataques cibernéticos se eles puderem ser considerados “terrorismo” sob seus critérios definidos”, o GAO disse em um comunicado.

A questão do seguro agora é uma preocupação maior para o governo dos EUA após a invasão da Ucrânia pela Rússia, que teme que possa estimular ataques cibernéticos de hackers apoiados pelo Kremlin a organizações americanas em resposta às sanções dos EUA à Rússia e empresas russas. 

Então, o que os EUA e o GAO devem fazer, em nível nacional, quando o mercado de seguro cibernético para empresas pode deixar de apoiar as empresas?

“Qualquer resposta de seguro federal deve incluir critérios claros de cobertura, requisitos específicos de segurança cibernética e um mecanismo de financiamento dedicado com concessões de todos os participantes do mercado”, disse o GAO.

Como observa o GAO, algumas seguradoras estão cercando suas apólices para se proteger de incidentes que causam problemas sistêmicos. As seguradoras não cobrem ataques que tecnicamente poderiam se enquadrar na categoria de guerra, por exemplo. 

O GAO diz que o TRIP é o “backstop do governo para as perdas do terrorismo”. Combinados com o seguro cibernético, eles fornecem alguma proteção, mas “ambos limitados em sua capacidade de cobrir perdas potencialmente catastróficas de ataques cibernéticos sistêmicos”. 

“O seguro cibernético pode compensar os custos de alguns dos riscos cibernéticos mais comuns, como violações de dados e ransomware”, diz GAO. 

“No entanto, as seguradoras privadas estão tomando medidas para limitar suas perdas potenciais de eventos cibernéticos sistêmicos. Por exemplo, as seguradoras estão excluindo a cobertura para perdas de guerra cibernética e interrupções de infraestrutura. O TRIP cobre perdas de ataques cibernéticos se forem considerados terrorismo, entre outros requisitos. No entanto, os ataques cibernéticos podem não atender aos critérios do programa para serem certificados como terrorismo, mesmo que tenham resultado em perdas catastróficas. Por exemplo, os ataques devem ser violentos ou coercitivos por natureza para serem certificados.”

O GAO recomenda que a Agência de Segurança Cibernética e Infraestrutura (CISA), a autoridade de segurança cibernética para agências federais, trabalhe com o Diretor do Escritório Federal de Seguros para “produzir uma avaliação conjunta para o Congresso sobre até que ponto os riscos para a infraestrutura crítica do país de ataques cibernéticos catastróficos e as possíveis exposições financeiras resultantes desses riscos garantem uma resposta de seguro federal”.