Jeśli to pierwszy raz gdy słyszysz o “cyber ubezpieczeniach” (ubezpieczenia “od cyber ataków”), to zaczynamy z grubej rury.
O nie! Ubezpieczenie cyber?
Ubezpieczyciele oferujący “ubezpieczenia od cyber ataków” mają duży problem: nie jest jasne, jak „ocenić”/”wycenić” takie ryzyko. Chodzi przecież o pieniądze. Niektóre zdarzenia mogą być szczególnie trudne do oceny/wyceny. To oznacza potencjalnie znaczne ryzyko finansowe dla ubezpieczycieli. Są oni na przykład zaniepokojone rozprzestrzenianiem się narzędzi i umiejętności “cyberwojny” lub cyberoperacji wywiadowczych. I nie zapominajmy o tym, iż sieci są połączone. Hipotetycznie, gdyby dwa państwa były zaangażowane w wojnę, a conajmniej jedno chciałoby wykorzystać możliwości cyber walki, takie jak samo rozprzestrzeniający się robak/worm (nazwijmy to na przykład hipotetycznym narzędziem o przykładowej nazwie “NotPetya”). Ryzyka rozprzestrzenienia się na systemy znajdujące się w innych krajach nie da się wtedy pominąć. To może też zdarzyć się celowo. Przypadek sporu sądowego Zurich Insurance kontra Mondelez to właśnie bardzo interesujący przypadek sprawy sądowej i jest dobrym przykładem. Zaczęło się to w 2018 r. przez cały czas trwa w 2021 r. Ponadto lokalny sąd w USA miałby decydować, czy jakieś wydarzenie było działalnością wojenną? Dla mnie to fascynujące, ale raczej trudno sobie to wyobrazić.
Aby „uprościć” sprawę ubezpieczyciele udzielający ubezpieczeń cyber mają pomysł: wykluczenie wszelkich działań „wojskowych” (niezależnie od tego „czy wojna zostanie wypowiedziana czy nie”). Przyjrzyjmy się temu.
Wykluczenie wojny, cyber wojny,
Wyjątek LMA5564 definiuje postanowienia dotyczące wykluczeń w odniesieniu do „cyberwojny i cyberoperacji”. Brzmi przerażająco? Nie jest. Oznacza to: „to ubezpieczenie nie obejmuje żadnych strat, szkód, odpowiedzialności, kosztów ani wydatków jakiegokolwiek rodzaju (łącznie „straty”) bezpośrednio lub pośrednio spowodowanych, zaistniałych w wyniku wojny lub cyber operacji”. Uwaga: obejmuje to także cyberoperacje w czasie pokoju. Zarówno: znaczących, jak i wywiadowczych/rozpoznawczych.
Skąd sąd/ubezpieczyciele mogą wiedzieć, iż coś było wojenną lub państwową operacją cyber? Zgodnie z tym wykluczeniem jest to proste: „podstawowym, ale nie wyłącznym czynnikiem przy ustalaniu przypisania cyberoperacji jest to, czy rząd państwa (w tym jego służby wywiadowcze i bezpieczeństwa), w którym jest fizycznie zlokalizowany system komputerowy dotknięty cyberoperacją przypisuje cyberoperację innemu państwu lub osobom działających w jego imieniu”.
Cyberatrybucja?
Oznacza to, iż tendencja niektórych rządów do przypisywania odpowiedzialności za cyberataki innym państwom może niedługo mieć konsekwencje finansowe, lokalnie, w kraju. Wzrośnie stawka decyzji dyplomatycznych lub politycznych. W nieoczywisty sposób. To z pewnością może wpłynąć na chęć lub niechęć państw do korzystania z narzędzi atrybucji, przypisywania innym krajom cyberataków. W końcu ich decyzje mogą teraz mieć namacalne konsekwencje finansowe w ich własnych krajach (i kto wie, jak można to wykorzystać, lub nie, by np. strzelić sobie, lub komuś w stopę, albo i nie?).
Istnieje również rozwiązanie dla krajów, które nie robią atrybucji (np. Francja). W takim przypadku ubezpieczyciele mogą to zrobić sami: „ubezpieczyciel może oprzeć się na obiektywnie uzasadnionym wnioskowaniu co do przypisania cyberoperacji innemu państwu lub działającym w jego imieniu”. Jest więcej: „do ubezpieczyciela należy udowodnienie atrybucji”. Proste, prawda? Niezbyt.
Ale mielibyśmy wówczas instytucje finansowe/ubezpieczeniowe wydające cyberatrybucje w potencjalnie arbitralny sposób.
Niektóre cyber potęgi?
Kolejne wykluczenie zasługuje na szczególną uwagę. Idzie znacznie dalej, by wykluczyć również: „odwetowe cyber operacje między określonymi państwami;”.
Jakie kraje? „Określone państwa oznaczają Chiny, Francję, Niemcy, Japonię, Rosję, Wielką Brytanię lub USA”.
Nie jest jasne, dlaczego wybrano właśnie te państwa. Jedno jest dla mnie jasne: co najmniej cztery kraje na liście mają bardzo duże możliwości w zakresie cyberwojny.
Jest prawdopodobne, iż kraje znalazły się na tej liście z powodu dużych możliwości, ale także, być może, ze względu na charakter firm/korporacji, które, kto wie, może są czołowymi klientami „cyberubezpieczeń”.
Ubezpieczenie cyber to kontrowersyjne narzędzie. Ostatnio ubezpieczyciele chcą jakby unikajać tego aspektu ryzyka, którego nie byli w stanie adekwatnie ocenić. Więc być może wybrano rozwiązanie by ograniczyć zasięg ubezpieczenia do „zrozumiałych” zagrożeń. Przekonamy się o tym wkrótce. Ubezpieczenie cyber jest też obwiniane jako “powód” za pomocą którego taka ubezpieczona firma trafia na celownik cyberprzestępców, do zaatakowania (ponieważ ma duży sens celowanie w firmę, która prawdopodobnie zapłaci okup ze swojego ubezpieczenia cyber?).
Podsumowanie
Ubezpieczenia cyber mogą stanowić uzupełnienie strategii cyberbezpieczeństwa firmy. Ale w żadnym wypadku nie powinny być jedynym używanym narzędziem, z pewnością nie głównym. Jest to interesujące narzędzie/koncepcja polityki finansowej i technologicznej, ale znalezienie osób, które byłyby dobrze przygotowane do wyceny/doradztwa w tej dziedzinie, - jest trudne.
Wymaga to szerokiej wiedzy i orientacji cyberbezpieczeństwa (technologia, prawdopodobnie polityka tech, regulacje itp.) oraz prawa. Trudno znaleźć osoby biegłe w tych tematach jednocześnie, bo nie chodzi tu o interdyscyplinarność zespołu.