Autoritatea americană de pază este îngrijorată că asigurarea cibernetică nu va acoperi „atacuri cibernetice catastrofale”

Piața asigurărilor cibernetice s-a maturizat rapid în ultimii ani, dar s-ar putea să nu fie insuficientă atunci când vine vorba de anumite atacuri majore, a avertizat organul de supraveghere al cheltuielilor guvernului SUA.

Biroul de Responsabilitate Guvernamentală din SUA (GAO) a cerut un răspuns federal la asigurarea pentru atacurile cibernetice „catastrofale” asupra infrastructurii critice. O piețe de asigurări funcționale este esențială pentru întreprinderi, consumatori și, după cum subliniază GAO, pentru operatorii de infrastructură critică. 

GAO, care auditează trilioane de dolari guvernul SUA cheltuiește în fiecare an, avertizează că asigurătorii privați și asigurarea oficială a guvernului SUA împotriva riscurilor de terorism – Programul de asigurare a riscului terorismului (TRIP) – ar putea să nu poată acoperi pierderile financiare catastrofale rezultate din atacurile cibernetice.

„Este posibil ca atacurile cibernetice să nu îndeplinească criteriile programului pentru a fi certificate ca terorism, chiar dacă au dus la pierderi catastrofale. De exemplu, atacurile trebuie să fie de natură violentă sau coercitivă pentru a fi certificate”, a spus GAO.

Ransomware-ul și asigurarea este o problemă dificilă din cauza capricilor implicate în atribuire. În timp ce ransomware-ul este condus în mare parte de criminali cibernetici, unele incidente care au costat victimele milioane de dolari au fost atribuite oficial de guvernele occidentale guvernelor Rusiei, Coreei de Nord și Chinei.  

Unii asigurători au folosit aceste atribuții oficiale pentru a evita plățile către victime, deoarece acele incidente pot fi interpretate în instanță ca un act de război, pe care polițele de asigurare cibernetică nu îl acoperă. Polițele de asigurare acoperă actele de terorism, dar acestea au și clauze care limitează acoperirea la actele de violență certificate.  

„Asigurările guvernamentale pot acoperi atacurile cibernetice numai dacă pot fi considerate „terorism” conform criteriilor definite de acesta.” a declarat GAO într-o declarație.

Problema asigurării este acum o preocupare mai mare pentru guvernul SUA după invazia în curs de desfășurare a Ucrainei de către Rusia, despre care se teme că ar putea provoca atacuri cibernetice din partea hackerilor susținuți de Kremlin asupra organizațiilor americane, ca răspuns la sancțiunile SUA asupra Rusiei și a întreprinderilor rusești. 

Deci, ce ar trebui să facă SUA și GAO, la nivel național, atunci când piața asigurărilor cibernetice pentru întreprinderi ar putea să nu sprijine afacerile?

„Orice răspuns de asigurare federală ar trebui să includă criterii clare de acoperire, cerințe specifice de securitate cibernetică și un mecanism de finanțare dedicat, cu concesii de la toți participanții pe piață”, a spus GAO.

După cum notează GAO, unele firme de asigurări își limitează politicile pentru a se proteja de incidente care cauzează probleme sistemice. Asigurătorii nu acoperă atacurile care din punct de vedere tehnic ar putea intra în categoria războiului, de exemplu. 

GAO spune că TRIP este „ofensiunea guvernamentală pentru pierderile din cauza terorismului”. În combinație cu asigurarea cibernetică, acestea oferă o anumită protecție, dar „ambele sunt limitate în capacitatea lor de a acoperi pierderile potențial catastrofale din atacurile cibernetice sistemice”. 

„Asigurările cibernetice pot compensa costurile unora dintre cele mai comune riscuri cibernetice, cum ar fi încălcarea datelor și ransomware”, spune GAO. 

„Cu toate acestea, asigurătorii privați au luat măsuri pentru a-și limita pierderile potențiale din evenimente cibernetice sistemice. De exemplu, asigurătorii exclud acoperirea pentru pierderile din războiul cibernetic și întreruperile infrastructurii. TRIP acoperă, printre alte cerințe, pierderile din atacurile cibernetice dacă sunt considerate terorism. Cu toate acestea, atacurile cibernetice pot să nu îndeplinească criteriile programului pentru a fi certificate ca terorism, chiar dacă au dus la pierderi catastrofale. De exemplu, atacurile trebuie să fie de natură violentă sau coercitivă pentru a fi certificate.”

GAO recomandă Agenției pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA), autoritatea de securitate cibernetică pentru agențiile federale, să lucreze cu directorul Oficiului Federal de Asigurări pentru a „produce o evaluare comună pentru Congres cu privire la măsura în care riscurile pentru infrastructura critică a națiunii de la Atacurile cibernetice catastrofale și potențialele expuneri financiare rezultate din aceste riscuri, justifică un răspuns federal de asigurare.”