Le imprese USA affrontano ostacoli nel trovare assicurazioni informatiche adeguate contro le violazioni dei dati, come emerso in un’audizione del Congresso.
In un’epoca in cui gli attacchi cibernetici sono sempre più diffusi, le aziende statunitensi si trovano ad affrontare enormi difficoltà nel reperire assicurazioni informatiche adeguate per mitigare gli effetti delle violazioni. Questo è emerso chiaramente durante un’audizione della sottocommissione del Comitato per la Sicurezza Nazionale della Camera dei Rappresentanti focalizzata sulla cybersecurity.
Alla seduta, Kimberly Denbow, vicepresidente della sicurezza e operazioni presso l’American Gas Association, ha sottolineato che le compagnie disposte a offrire polizze alle aziende del gas naturale sono poche e, quando disponibili, le condizioni sono spesso incomprensibili. Denbow ha dichiarato che le esclusioni nelle polizze variano molto e che per molti operatori, soprattutto quelli più piccoli, è complicato capire cosa sia effettivamente coperto. Ha aggiunto che sarebbe vantaggioso avere definizioni e applicazioni delle polizze di assicurazione informatica più standardizzate e semplificate.
Un altro aspetto critico riguarda il fatto che tali polizze generalmente non coprono atti di guerra. Matthew McCabe, direttore della cyber broking presso l’agenzia assicurativa Guy Carpenter & Company, ha evidenziato che, con l’aumento delle operazioni informatiche statali contro infrastrutture critiche, le aziende si chiedono se le loro polizze coprano i danni legati a conflitti in corso. Questa incertezza sta spingendo alcune imprese a chiedere un “backstop” tramite il quale il governo federale garantirebbe le perdite assicurative su larga scala.
McCabe ha spiegato che il “backstop” è pensato per aiutare quelle aziende che rimarrebbero con il rischio nei propri bilanci. Tuttavia, nonostante l’interesse degli assicuratori nel ricevere protezione finanziaria dal governo, gli esperti avvertono che creare un tale meccanismo presenta molteplici ostacoli. La strategia nazionale di cybersecurity dell’amministrazione Biden prevede l’esplorazione della creazione di un backstop, ma l’implementazione è ancora lontana.
Il deputato Eric Swalwell della California ha evidenziato le carenze nella valutazione accurata dei rischi e nella coerenza delle terminologie e delle coperture, che hanno creato grandi frizioni nel mercato delle assicurazioni informatiche. Queste dinamiche hanno portato a un aumento della domanda di assicurazioni informatiche, a un incremento dei premi e alla riluttanza di alcuni assicuratori a emettere polizze. Swalwell vede una possibilità unica per stabilizzare il mercato in questo contesto di incertezza.
Questa incertezza si verifica mentre le autorità della Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento della Sicurezza Nazionale hanno avvertito che le infrastrutture critiche, per lo più di proprietà privata, non possono aspettarsi di difendersi completamente dagli hacker. Gli operatori devono concentrarsi sul garantire che i sistemi critici siano resilienti agli attacchi per prevenire scenari peggiori, vista l’aggressività crescente degli hacker supportati dalla Cina nelle reti delle infrastrutture critiche.
Brandon Wales, direttore esecutivo del CISA, ha descritto il cambiamento delle operazioni cibernetiche di Pechino come rivoluzionario. Ha notato che è probabile che il primo colpo nella prossima guerra avverrà a livello informatico contro le infrastrutture critiche, come dimostrato dall’attacco informatico russo all’inizio dell’invasione dell’Ucraina. Wales ha concluso affermando che non sarà mai possibile fermare tutti gli attacchi, ma l’obiettivo primario è costruire infrastrutture critiche più resilienti che possano resistere agli attacchi.