สุนัขเฝ้าบ้านของสหรัฐกังวลว่าประกันในโลกไซเบอร์จะไม่ครอบคลุม 'การโจมตีทางอินเทอร์เน็ตที่ร้ายแรง'

ตลาดประกันภัยในโลกไซเบอร์เติบโตอย่างรวดเร็วในช่วงไม่กี่ปีที่ผ่านมา แต่อาจล้มเหลวเมื่อมีการโจมตีครั้งใหญ่ หน่วยงานเฝ้าระวังการใช้จ่ายของรัฐบาลสหรัฐฯ เตือน

สำนักงานความรับผิดชอบของรัฐบาลสหรัฐฯ (GAO) ได้เรียกร้องให้รัฐบาลกลางตอบสนองต่อการประกันสำหรับการโจมตีทางอินเทอร์เน็ตที่ "หายนะ" บนโครงสร้างพื้นฐานที่สำคัญ ตลาดประกันภัยที่ใช้งานได้เป็นสิ่งจำเป็นสำหรับธุรกิจ ผู้บริโภค และตามที่ GAO เน้นย้ำ สำหรับผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญ 

GAO ซึ่งตรวจสอบ ล้านล้านดอลลาร์ รัฐบาลสหรัฐฯ ใช้จ่ายในแต่ละปี โดยเตือนว่าบริษัทประกันเอกชนและการประกันความเสี่ยงจากการก่อการร้ายอย่างเป็นทางการของรัฐบาลสหรัฐฯ หรือโครงการประกันความเสี่ยงจากการก่อการร้าย (TRIP) อาจไม่สามารถครอบคลุมความสูญเสียทางการเงินอันร้ายแรงที่เกิดจากการโจมตีทางอินเทอร์เน็ตได้

“การโจมตีทางไซเบอร์อาจไม่ตรงตามเกณฑ์ของโปรแกรมที่จะได้รับการรับรองว่าเป็นการก่อการร้าย แม้ว่าจะส่งผลให้เกิดความสูญเสียอย่างร้ายแรงก็ตาม ตัวอย่างเช่น การโจมตีจะต้องรุนแรงหรือบังคับในลักษณะที่จะได้รับการรับรอง” GAO กล่าว

แรนซัมแวร์และการประกันภัยเป็นปัญหาที่ยุ่งยากเนื่องจากความแปรปรวนที่เกี่ยวข้องกับการระบุแหล่งที่มา แม้ว่าแรนซัมแวร์ส่วนใหญ่จะขับเคลื่อนโดยอาชญากรไซเบอร์ แต่เหตุการณ์บางอย่างที่ทำให้เหยื่อมีมูลค่าหลายล้านดอลลาร์นั้นมาจากรัฐบาลตะวันตกอย่างเป็นทางการว่ามาจากรัฐบาลของรัสเซีย เกาหลีเหนือ และจีน  

บริษัทประกันบางรายใช้การแสดงที่มาที่เป็นทางการเหล่านี้เพื่อหลีกเลี่ยงการจ่ายเงินให้กับเหยื่อ เนื่องจากเหตุการณ์เหล่านั้นสามารถตีความได้ในศาลว่าเป็นการทำสงคราม ซึ่งกรมธรรม์ประกันภัยในโลกไซเบอร์ไม่ครอบคลุม กรมธรรม์ประกันภัยครอบคลุมถึงการก่อการร้าย แต่ก็มีข้อกำหนดที่จำกัดความครอบคลุมเฉพาะการกระทำที่ใช้ความรุนแรงที่ได้รับการรับรอง  

“ประกันของรัฐบาลอาจครอบคลุมการโจมตีทางไซเบอร์ก็ต่อเมื่อสามารถพิจารณาได้ว่าเป็น “การก่อการร้าย” ภายใต้เกณฑ์ที่กำหนดไว้” GAO กล่าวในแถลงการณ์.

คำถามเกี่ยวกับการประกันภัยเป็นปัญหาใหญ่สำหรับรัฐบาลสหรัฐฯ หลังจากการรุกรานยูเครนของรัสเซียอย่างต่อเนื่อง ซึ่งเกรงว่าอาจกระตุ้นการโจมตีทางอินเทอร์เน็ตจากแฮกเกอร์ที่ได้รับการสนับสนุนจากเครมลินในองค์กรของสหรัฐฯ เพื่อตอบโต้การคว่ำบาตรของสหรัฐฯ ต่อรัสเซียและธุรกิจของรัสเซีย 

แล้วสหรัฐฯ และ GAO ควรทำอย่างไรในระดับชาติ เมื่อตลาดประกันภัยทางไซเบอร์สำหรับองค์กรธุรกิจไม่สามารถสนับสนุนธุรกิจได้

“การตอบสนองต่อประกันของรัฐบาลกลางควรรวมถึงเกณฑ์ที่ชัดเจนสำหรับการครอบคลุม ข้อกำหนดด้านความปลอดภัยทางไซเบอร์เฉพาะ และกลไกการระดมทุนโดยเฉพาะพร้อมสัมปทานจากผู้เข้าร่วมตลาดทั้งหมด” GAO กล่าว

ตามที่ GAO ได้บันทึกไว้ บริษัทประกันภัยบางแห่งกำลังใช้นโยบายป้องกันตนเองจากเหตุการณ์ที่ก่อให้เกิดปัญหาทางระบบ บริษัทประกันไม่ครอบคลุมการโจมตีที่ในทางเทคนิคอาจจัดอยู่ในประเภทของสงครามได้ ตัวอย่างเช่น 

GAO กล่าวว่า TRIP เป็น "การสนับสนุนของรัฐบาลสำหรับความสูญเสียจากการก่อการร้าย" เมื่อรวมกับการประกันภัยทางไซเบอร์แล้ว พวกเขาให้ความคุ้มครองบางอย่าง แต่ “ทั้งคู่มีข้อจำกัดในความสามารถของพวกเขาที่จะครอบคลุมความสูญเสียที่อาจเกิดภัยพิบัติจากการโจมตีทางไซเบอร์อย่างเป็นระบบ” 

“การประกันภัยทางไซเบอร์สามารถชดเชยค่าใช้จ่ายจากความเสี่ยงทางไซเบอร์ที่พบบ่อยที่สุดบางอย่าง เช่น การละเมิดข้อมูลและแรนซัมแวร์” GAO กล่าว 

“อย่างไรก็ตาม บริษัทประกันเอกชนได้ดำเนินการเพื่อจำกัดความสูญเสียที่อาจเกิดขึ้นจากเหตุการณ์ทางไซเบอร์อย่างเป็นระบบ ตัวอย่างเช่น บริษัทประกันจะไม่รวมความคุ้มครองสำหรับการสูญเสียจากสงครามไซเบอร์และความล้มเหลวของโครงสร้างพื้นฐาน TRIP ครอบคลุมความสูญเสียจากการโจมตีทางไซเบอร์หากถือว่าเป็นการก่อการร้าย รวมถึงข้อกำหนดอื่นๆ อย่างไรก็ตาม การโจมตีทางไซเบอร์อาจไม่ตรงตามเกณฑ์ของโปรแกรมที่จะได้รับการรับรองว่าเป็นการก่อการร้าย แม้ว่าจะส่งผลให้เกิดความสูญเสียอย่างร้ายแรงก็ตาม ตัวอย่างเช่น การโจมตีจะต้องรุนแรงหรือบังคับในลักษณะที่จะได้รับการรับรอง”

GAO แนะนำให้ Cybersecurity and Infrastructure Security Agency (CISA) ซึ่งเป็นหน่วยงานด้านความปลอดภัยทางไซเบอร์สำหรับหน่วยงานของรัฐบาลกลาง ควรทำงานร่วมกับผู้อำนวยการสำนักงานการประกันภัยแห่งสหพันธรัฐเพื่อ "จัดทำการประเมินร่วมกันสำหรับสภาคองเกรสในขอบเขตที่ความเสี่ยงต่อโครงสร้างพื้นฐานที่สำคัญของประเทศ ภัยพิบัติทางไซเบอร์และความเสี่ยงทางการเงินที่อาจเกิดขึ้นจากความเสี่ยงเหล่านี้รับประกันการตอบสนองการประกันของรัฐบาลกลาง”