Контролирующая организация США обеспокоена тем, что киберстрахование не покроет «катастрофические кибератаки»

Рынок киберстрахования в последние годы быстро развивался, но он может оказаться неэффективным, когда дело доходит до некоторых крупных атак, предупредил орган по надзору за расходами правительства США.

Счетная палата правительства США (GAO) призвала федеральное правительство отреагировать на страхование от «катастрофических» кибератак на критически важную инфраструктуру. Функционирующие рынки страхования необходимы для бизнеса, потребителей и, как подчеркивает GAO, для операторов критически важной инфраструктуры. 

GAO, которое проверяет триллионы долларов Правительство США тратит каждый год, предупреждает, что частные страховщики и официальная программа страхования от террористических рисков правительства США — Программа страхования террористических рисков (TRIP) — могут оказаться не в состоянии покрыть катастрофические финансовые потери, возникающие в результате кибератак.

«Кибератаки могут не соответствовать критериям программы для признания их терроризмом, даже если они привели к катастрофическим потерям. Например, чтобы быть сертифицированными, атаки должны носить насильственный или принудительный характер», — заявили в GAO.

Программы-вымогатели и страхование — сложная проблема из-за особенностей атрибуции. Хотя программы-вымогатели в основном используются киберпреступниками, некоторые инциденты, которые обошлись жертвам в миллионы долларов, западные правительства официально приписывают правительствам России, Северной Кореи и Китая.  

Некоторые страховщики использовали эти официальные обвинения, чтобы избежать выплат жертвам, поскольку эти инциденты могут быть истолкованы в суде как военные действия, на которые не распространяются полисы киберстрахования. Страховые полисы действительно покрывают террористические акты, но в них также есть положения, ограничивающие покрытие актами сертифицированного насилия.  

«Государственная страховка может покрывать кибератаки только в том случае, если их можно считать «терроризмом» по определенным критериям», Об этом говорится в заявлении ГАО.

Вопрос страхования теперь вызывает большую озабоченность у правительства США после продолжающегося вторжения России в Украину, которое, как оно опасается, может спровоцировать кибератаки поддерживаемых Кремлем хакеров на американские организации в ответ на санкции США в отношении России и российского бизнеса. 

Так что же следует делать США и GAO на национальном уровне, когда рынок киберстрахования для предприятий может не поддерживать бизнес?

«Любая мера федерального страхования должна включать четкие критерии покрытия, конкретные требования к кибербезопасности и специальный механизм финансирования с уступками всех участников рынка», — заявили в GAO.

Как отмечает GAO, некоторые страховые компании ограничивают свои полисы, чтобы защитить себя от инцидентов, которые вызывают системные проблемы. Например, страховщики не покрывают атаки, которые технически могут попасть в категорию военных действий. 

В GAO заявляют, что TRIP является «правительственной поддержкой для возмещения убытков от терроризма». В сочетании с киберстрахованием они обеспечивают некоторую защиту, но «оба ограничены в своей способности покрыть потенциально катастрофические убытки от системных кибератак». 

«Киберстрахование может компенсировать расходы от некоторых наиболее распространенных киберрисков, таких как утечка данных и программы-вымогатели», — говорит GAO. 

«Однако частные страховщики предпринимают шаги, чтобы ограничить свои потенциальные потери от системных кибер-событий. Например, страховщики исключают покрытие убытков от кибервойн и сбоев в инфраструктуре. TRIP покрывает убытки от кибератак, если они, помимо прочего, считаются терроризмом. Однако кибератаки могут не соответствовать критериям программы для признания их терроризмом, даже если они привели к катастрофическим потерям. Например, чтобы быть сертифицированными, нападения должны носить насильственный или принудительный характер».

GAO рекомендует Агентству по кибербезопасности и безопасности инфраструктуры (CISA), органу по кибербезопасности федеральных агентств, работать с директором Федерального управления страхования, чтобы «подготовить для Конгресса совместную оценку того, в какой степени риски для критической инфраструктуры страны со стороны катастрофические кибератаки и потенциальные финансовые риски, возникающие в результате этих рисков, требуют реакции федерального страхования».