Ameriški nadzornik je zaskrbljen, da kibernetsko zavarovanje ne bo pokrilo "katastrofalnih kibernetskih napadov"

Trg kibernetskega zavarovanja je v zadnjih letih hitro dozorel, vendar lahko pri nekaterih večjih napadih ne uspe, je opozoril nadzornik porabe vlade ZDA.

Ameriški vladni urad za odgovornost (GAO) je pozval k zveznemu odgovoru na zavarovanje za "katastrofalne" kibernetske napade na kritično infrastrukturo. Delujoči zavarovalniški trgi so bistveni za podjetja, potrošnike in, kot poudarja GAO, za operaterje kritične infrastrukture. 

GAO, ki revidira milijarde dolarjev ameriška vlada porabi vsako leto, opozarja, da zasebne zavarovalnice in uradno zavarovanje pred terorističnimi tveganji ameriške vlade – Program zavarovanja pred terorističnimi tveganji (TRIP) – morda ne bodo mogli pokriti katastrofalne finančne izgube, ki bi nastala zaradi kibernetskih napadov.

»Kibernetski napadi morda ne bodo izpolnjevali meril programa za certifikacijo terorizma, tudi če so povzročili katastrofalne izgube. Napadi morajo biti na primer nasilni ali prisilni, da so certificirani,« je dejal GAO.

Izsiljevalska programska oprema in zavarovanje sta zapletena težava zaradi nenavadnosti, povezanih z dodeljevanjem. Medtem ko izsiljevalsko programsko opremo večinoma poganjajo kibernetski kriminalci, so nekatere incidente, ki so žrtve stali na milijone dolarjev, zahodne vlade uradno pripisale vladam Rusije, Severne Koreje in Kitajske.  

Nekatere zavarovalnice so uporabile te uradne pripise, da bi se izognile izplačilom žrtvam, ker se lahko ti incidenti na sodišču razlagajo kot vojno dejanje, ki ga police kibernetskega zavarovanja ne krijejo. Zavarovalne police sicer krijejo teroristična dejanja, vendar imajo tudi klavzule, ki omejujejo kritje na dejanja potrjenega nasilja.  

"Vladno zavarovanje lahko krije le kibernetske napade, če jih je mogoče obravnavati kot "terorizem" po njenih opredeljenih merilih," GAO je dejal v izjavi.

Vprašanje zavarovanja je zdaj večja skrb ameriške vlade po sedanji ruski invaziji na Ukrajino, za katero se boji, da bi lahko spodbudila kibernetske napade hekerjev, ki jih podpira Kremelj, na ameriške organizacije kot odgovor na sankcije ZDA proti Rusiji in ruskim podjetjem. 

Kaj naj torej storijo ZDA in GAO na nacionalni ravni, ko trg za kibernetska zavarovanja za podjetja morda ne bo podpiral podjetij?

"Vsak odgovor zveznega zavarovanja bi moral vključevati jasna merila za pokritost, posebne zahteve glede kibernetske varnosti in namenski mehanizem financiranja s koncesijami vseh udeležencev na trgu," je dejal GAO.

Kot ugotavlja GAO, nekatere zavarovalnice zavarujejo svoje politike, da bi se zaščitile pred incidenti, ki povzročajo sistemske težave. Zavarovalnice ne krijejo napadov, ki bi tehnično lahko spadali na primer v kategorijo vojskovanja. 

GAO pravi, da je TRIP "vladni varovalni mehanizem za izgube zaradi terorizma". V kombinaciji s kibernetskim zavarovanjem sicer zagotavljata določeno zaščito, vendar sta "oba omejena v svoji zmožnosti pokrivanja potencialno katastrofalnih izgub zaradi sistemskih kibernetskih napadov". 

»Kibernetsko zavarovanje lahko izravna stroške nekaterih najpogostejših kibernetskih tveganj, kot so kršitve podatkov in izsiljevalska programska oprema,« pravi GAO. 

»Vendar pa zasebne zavarovalnice sprejemajo ukrepe za omejitev svojih potencialnih izgub zaradi sistemskih kibernetskih dogodkov. Zavarovalnice na primer izključujejo kritje izgub zaradi kibernetskega vojskovanja in izpadov infrastrukture. TRIP med drugim krije izgube zaradi kibernetskih napadov, če se štejejo za teroristične. Vendar pa kibernetski napadi morda ne bodo izpolnjevali meril programa za certifikacijo terorizma, tudi če so povzročili katastrofalne izgube. Napadi morajo biti na primer nasilni ali prisilni, da se potrdijo.«

GAO priporoča Agenciji za kibernetsko varnost in varnost infrastrukture (CISA), organu za kibernetsko varnost zveznih agencij, da sodeluje z direktorjem zveznega zavarovalniškega urada, da bi "izdelali skupno oceno za kongres o obsegu, v katerem so tveganja za kritično nacionalno infrastrukturo iz katastrofalne kibernetske napade in morebitne finančne izpostavljenosti, ki izhajajo iz teh tveganj, upravičujejo odziv zveznega zavarovanja.«