美國政府監管機構警告說,私人保險公司越來越不願意給重大網絡攻擊承保。除非能找到另一種保險模式,否則美國企業將面臨“災難性的財務損失”。政府問責辦公室(GAO)的一份新報告概述瞭網絡風險存在日益嚴峻的挑戰,該報告要求政府評估是否需要聯邦網絡保險選項。
該報告利用國傢安全局 (NSA)、國傢情報局局長辦公室 (ODNI)、網絡安全和基礎設施安全局 (CISA) 和司法部的威脅評估來量化網絡攻擊對關鍵基礎設施的風險,確定可能受到攻擊的易受攻擊的技術以及能夠利用它們的一系列威脅行為者。
該報告引用瞭 ODNI 發佈的年度威脅評估,發現與俄羅斯、伊朗和朝鮮有關的黑客組織對美國的基礎設施構成最大的威脅——以及某些非國傢行為者,如有組織的網絡犯罪團夥。鑒於願意以美國實體為目標的行為者范圍廣泛且技能不斷提高,網絡事件的數量正以驚人的速度上升。
報告中寫道:““盡管聯邦機構沒有全面的網絡安全事件清單。幾個關鍵的聯邦和行業消息來源顯示美國大多數類型的網絡攻擊都在增加——包括影響關鍵基礎設施的攻擊,以及網絡攻擊規模擴大且不斷增加的成本”。
2016 年,美國企業和公共機構在四大類(勒索軟件、數據泄露、企業電子郵件泄露和拒絕服務攻擊)中總共遭受瞭 19,060 起事件,總成本為 4.7 億美元,根據 GAO 分析聯邦調查局報告。 2021 年發生瞭 26,074 起事件,總損失接近 26 億美元。
由於不得不承擔如此巨大的損失的可能性,私人保險公司正在退出市場,將一些最高級別的網絡攻擊排除在保險單的覆蓋范圍之外。雖然通常仍涵蓋數據泄露和勒索軟件攻擊,但報告發現“私人保險公司一直在采取措施限制系統性網絡事件造成的潛在損失”,拒絕承擔網絡戰行為或蓄意的基礎設施攻擊所造成的損失。
根據美國財政部的說法,一些保險公司也一直在通過降低保單在網絡攻擊情況下支付的最高金額和/或增加保費來減輕風險,以保護自己免受損失。 GAO 發現,有進一步的證據表明,一些保險公司正在完全退出基礎設施領域的保險,並認為受到攻擊的風險太高。