Pengawas pengeluaran pemerintah AS telah memperingatkan bahwa pasar asuransi cyber telah berkembang pesat dalam beberapa tahun terakhir, tetapi mungkin gagal dalam beberapa serangan besar.
Kantor Akuntabilitas Pemerintah AS (GAO) telah meminta pemerintah federal untuk menanggapi pertanggungan asuransi untuk serangan siber “bencana” pada infrastruktur penting. Pasar asuransi yang berfungsi dengan baik sangat penting bagi bisnis, konsumen dan, seperti yang disoroti GAO, operator infrastruktur penting.
GAO bertanggung jawab untuk mengaudit triliunan dolar Pemerintah A.S. menghabiskan setiap tahun memperingatkan bahwa perusahaan asuransi swasta dan asuransi risiko terorisme resmi pemerintah A.S. – Program Asuransi Risiko Terorisme (TRIP) – mungkin tidak menanggung kerugian finansial yang besar dari serangan siber.
“Serangan siber mungkin tidak memenuhi kriteria sertifikasi program terorisme, bahkan jika itu mengakibatkan kerugian besar. Misalnya, serangan harus bersifat kekerasan atau paksaan untuk disertifikasi,” kata GAO.
Karena atribusi melibatkan keanehan, ransomware dan asuransi adalah hal yang rumit. Sementara ransomware terutama didorong oleh penjahat dunia maya, pemerintah Barat secara resmi menyalahkan pemerintah Rusia, Korea Utara, dan China atas beberapa insiden yang menelan korban jutaan dolar.
Beberapa perusahaan asuransi menggunakan atribut resmi ini untuk menghindari membayar korban karena peristiwa ini dapat ditafsirkan sebagai tindakan perang di pengadilan, dan polis asuransi dunia maya tidak menanggungnya. Polis asuransi memang mencakup tindakan terorisme, tetapi ada juga klausul yang membatasi cakupan untuk tindakan kekerasan yang disertifikasi.
“Asuransi pemerintah hanya dapat mencakup serangan siber yang dianggap ‘terorisme’ sesuai dengan kriteria yang ditetapkannya,” GAO mengatakan dalam sebuah pernyataan.
Masalah asuransi sekarang menjadi perhatian yang lebih besar bagi pemerintah AS setelah serangan berkelanjutan Rusia ke Ukraina, yang dikhawatirkan dapat memicu serangan siber terhadap organisasi AS oleh peretas yang didukung Kremlin sebagai tanggapan atas sanksi AS terhadap Rusia dan perusahaan Rusia.
Jadi apa yang harus dilakukan AS dan GAO di tingkat nasional ketika pasar asuransi siber korporat gagal mendukung korporasi?
“Setiap respons asuransi federal harus mencakup standar cakupan yang jelas, persyaratan keamanan siber khusus, dan mekanisme pembiayaan khusus dengan konsesi dari semua pelaku pasar,” kata GAO.
Seperti yang ditunjukkan GAO, beberapa perusahaan asuransi mengisolasi kebijakan mereka untuk melindungi diri dari peristiwa yang menyebabkan masalah sistemik. Misalnya, perusahaan asuransi tidak menanggung serangan yang secara teknis mungkin termasuk dalam kategori perang.
GAO mengatakan TRIP adalah “dukungan pemerintah untuk hilangnya terorisme.” Dikombinasikan dengan asuransi siber, mereka memang memberikan beberapa perlindungan, tetapi “keduanya membatasi kemampuan mereka untuk menutupi kerugian yang berpotensi bencana dari serangan siber sistemik”.
“Asuransi siber dapat mengimbangi biaya dari beberapa risiko siber yang paling umum, seperti pembobolan data dan ransomware,” kata GAO.
“Namun, perusahaan asuransi swasta telah mengambil langkah-langkah untuk membatasi potensi kerugian dari insiden siber sistemik. Misalnya, perusahaan asuransi mengecualikan kerugian dari perang siber dan gangguan infrastruktur. Jika serangan siber dianggap terorisme, TRIP mencakup Kerugian dari serangan siber, di antara persyaratan lainnya. Namun, , serangan siber mungkin tidak memenuhi kriteria sertifikasi terorisme program, bahkan jika mengakibatkan kerusakan besar. Misalnya, serangan tersebut harus berupa kekerasan atau paksaan untuk disertifikasi.
GAO merekomendasikan bahwa Cybersecurity and Infrastructure Security Agency (CISA), badan cybersecurity badan federal, harus bekerja dengan Direktur Kantor Asuransi Federal untuk “memberikan penilaian bersama kepada Kongres tentang sejauh mana infrastruktur kritis negara berada dalam risiko. dari serangan siber yang dahsyat, dan Risiko-risiko ini menciptakan potensi risiko keuangan yang memerlukan asuransi federal.”