Nag-aalala ang US watchdog na hindi sasaklawin ng cyber insurance ang 'catastrophic cyberattacks'

Ang merkado ng cyber insurance ay mabilis na nag-mature sa mga nakalipas na taon ngunit ito ay maaaring mabigo pagdating sa ilang mga pangunahing pag-atake, ang US government spending watchdog ay nagbabala.

Ang US Government Accountability Office (GAO) ay nanawagan para sa isang pederal na tugon sa insurance para sa "catastrophic" cyberattacks sa kritikal na imprastraktura. Ang gumaganang mga merkado ng seguro ay mahalaga para sa mga negosyo, mga mamimili at, bilang itinatampok ng GAO, para sa mga kritikal na operator ng imprastraktura. 

Ang GAO, na nag-audit sa trillions of dollars ang gobyerno ng US ay gumugugol bawat taon, nagbabala na ang mga pribadong insurer at ang opisyal na seguro sa panganib sa terorismo ng gobyerno ng US — ang Terrorism Risk Insurance Program (TRIP) — ay maaaring hindi masakop ang malaking pagkalugi sa pananalapi na nagmumula sa cyberattacks.

“Maaaring hindi matugunan ng mga cyberattack ang pamantayan ng programa upang ma-certify bilang terorismo, kahit na nagresulta ito sa mga sakuna na pagkalugi. Halimbawa, ang mga pag-atake ay dapat na marahas o mapilit sa kalikasan upang ma-certify," sabi ng GAO.

Ang ransomware at insurance ay isang nakakalito na isyu dahil sa mga kababalaghang kasangkot sa pagpapatungkol. Bagama't ang ransomware ay kadalasang hinihimok ng mga cybercriminal, ang ilang insidente na gumastos ng milyun-milyong dolyar sa mga biktima ay opisyal na iniuugnay ng mga pamahalaan ng Kanluran sa mga pamahalaan ng Russia, North Korea at China.  

Ginamit ng ilang insurer ang mga opisyal na pagpapatungkol na ito upang maiwasan ang mga pagbabayad sa mga biktima dahil ang mga insidenteng iyon ay maaaring ituring sa korte bilang isang pagkilos ng digmaan, na hindi saklaw ng mga patakaran sa cyber insurance. Sinasaklaw ng mga patakaran sa seguro ang mga pagkilos ng terorismo, ngunit mayroon din itong mga sugnay na naglilimita sa saklaw sa mga gawa ng sertipikadong karahasan.  

"Maaaring saklawin lamang ng insurance ng gobyerno ang mga cyberattack kung maituturing silang "terorismo" sa ilalim ng tinukoy na pamantayan nito," sinabi ng GAO sa isang pahayag.

Ang tanong ng insurance ay mas malaking alalahanin na ngayon para sa gobyerno ng US pagkatapos ng patuloy na pagsalakay ng Russia sa Ukraine, na pinangangambahan nitong mag-udyok ng cyberattacks mula sa mga hacker na sinusuportahan ng Kremlin sa mga organisasyon ng US bilang tugon sa mga parusa ng US sa Russia at mga negosyong Ruso. 

Kaya ano ang dapat gawin ng US at GAO, sa isang pambansang antas, kapag ang merkado para sa cyber insurance para sa mga negosyo ay maaaring mabigo sa pagsuporta sa mga negosyo?

"Anumang tugon ng pederal na seguro ay dapat magsama ng malinaw na pamantayan para sa coverage, partikular na mga kinakailangan sa cybersecurity, at isang dedikadong mekanismo ng pagpopondo na may mga konsesyon mula sa lahat ng mga kalahok sa merkado," sabi ng GAO.

Tulad ng tala ng GAO, ang ilang mga kompanya ng seguro ay nagpapatibay sa kanilang mga patakaran upang protektahan ang kanilang sarili mula sa mga insidente na nagdudulot ng mga sistematikong problema. Ang mga tagaseguro ay hindi sumasakop sa mga pag-atake na teknikal na maaaring mahulog sa kategorya ng pakikidigma, halimbawa. 

Sinasabi ng GAO na ang TRIP ay ang "backstop ng gobyerno para sa mga pagkalugi mula sa terorismo". Kasama ng cyber insurance, nagbibigay sila ng ilang proteksyon ngunit "parehong limitado sa kanilang kakayahang masakop ang mga potensyal na sakuna na pagkalugi mula sa systemic cyberattacks." 

"Maaaring i-offset ng cyber insurance ang mga gastos mula sa ilan sa mga pinakakaraniwang panganib sa cyber, tulad ng mga paglabag sa data at ransomware," sabi ng GAO. 

"Gayunpaman, ang mga pribadong tagaseguro ay nagsasagawa ng mga hakbang upang limitahan ang kanilang mga potensyal na pagkalugi mula sa mga systemic cyber event. Halimbawa, ibinubukod ng mga insurer ang coverage para sa mga pagkalugi mula sa cyber warfare at mga kawalan ng imprastraktura. Sinasaklaw ng TRIP ang mga pagkalugi mula sa cyberattacks kung ituturing silang terorismo, bukod sa iba pang mga kinakailangan. Gayunpaman, maaaring hindi matugunan ng mga cyberattack ang pamantayan ng programa upang ma-certify bilang terorismo, kahit na nagresulta ito sa mga sakuna na pagkalugi. Halimbawa, ang mga pag-atake ay dapat na marahas o mapilit sa kalikasan upang ma-certify."

Inirerekomenda ng GAO ang Cybersecurity and Infrastructure Security Agency (CISA), ang awtoridad sa cybersecurity para sa mga pederal na ahensya, na dapat makipagtulungan sa Direktor ng Federal Insurance Office upang “gumawa ng magkasanib na pagtatasa para sa Kongreso kung hanggang saan ang mga panganib sa kritikal na imprastraktura ng bansa mula sa Ang mga sakuna na cyberattack, at ang mga potensyal na pagkakalantad sa pananalapi na nagreresulta mula sa mga panganib na ito, ay ginagarantiyahan ang isang tugon ng pederal na insurance."