Betelt a pohár a francia AXA biztosítónál. Május elején a párizsi székhelyű társaság bejelentette, hogy felfüggeszti a ransomware-támadásokra köthető biztosításait. Mint az Insurance Journal írta, a döntés Franciaországra vonatkozik. Konkrétan azokról a termékekről van szó, melyek biztosítást nyújtanak arra az esetre is, ha egy vállalat csak váltságdíj fizetése ellenében jutna hozzá az adataihoz egy ransomware-támadás után.

Az AXA-t két ok vezérelte: egyrészt a francia kormány szerint aggályosak az ilyen váltságdíjfizetések, mert azzal a fizető vállalatok a kiberbűnözők üzleti modelljét segítik, ami törvénytelen. Hasonló jogi problémákat fogalmazott meg az amerikai pénzügyminisztérium pénzügyi bűnözés elleni szervezete (FinCEN) is: a fizetéssel könnyen megsérthetik a kormány ellenséges államokkal szemben hozott szankcióit, vagy akár terrorszervezeteket is támogathatnak – mindkét esetnek súlyos jogi következményei lehetnek. A másik ok sokkal prózaibb: nagyon megugrottak a kártérítési összegek.

Az AXA döntése abból a szempontból mindenképpen figyelemre méltó fordulat, hogy az iparági elemzők néhány éve még a kiberbiztosításban látták a jövő nagy üzletét.

Új nap, új technológia, új kockázat

Ugyanakkor a helyzet közel sem egyértelmű, mondta egy a kérdéskörrel foglalkozó kutató a brit The Registernek. Josephine Wolff kiberbiztonsági szakértő, a Tufts Egyetem tanára, szerint tisztázatlan, hogy egy ilyen támadás kezelésében melyik szereplőnek (biztosító, a kiberbűnözők és a megtámadott szervezet között közvetítő cég stb.) mi a szerepe, és meddig mehet el törvényes keretek között.

Ami pedig az anyagiakat illeti: a biztosítótársaságokra szakosodott AM Best hitelminősítő adatai szerint a kiberbiztosítások után kifizetett kártérítések összege mintegy 40 százalékkal emelkedett az elmúlt négy évben, miközben a biztosítások csak 20 százalékkal drágultak. A cég egy képviselője szerint a kibertámadásokra kötött biztosítás egyszerűen túl költséges játék lett a biztosítóknak. Ebben persze jócskán benne van a biztosítók tapasztalatlansága is. A kiberbiztosítások múltja legfeljebb húsz évre tekint vissza, egyszerűen nem alakult ki olyan kifinomult kockázatértékelési módszertan, mint más típusú termékek (pl. vagyon- vagy életbiztosítás) esetében.

De a biztosítók védelmére azt is el kell mondani: a kiberbiztosításoknál a tapasztalat nem sokat segít. Mint a Magyarországon is jelenlévő kanadai Aon kockázatkezelési vállalat szakértője, Katharine Hall magyarázta a The Registernek, olyan gyorsan fejlődik a technológia, hogy mire a biztosítók egy kockázati problémát megoldottak, addigra ezer másikkal kellene foglalkozniuk. Ennél még a hurrikánok kockázata is jobban kalkulálható.

A biztosítók reakciója: emelkednek a biztosítási díjak, és egyes társaságok csak jelentős önrész kikötésével hajlandók szerződni a vállalatokkal. Más biztosítók elmozdultak az arányosabb kockázatviselést jelentő "együttbiztosítás" (coinsurance) irányába. Ez annyiban különbözik az önrésztől, hogy nem fix összegben határozzák meg az ügyfél kockázatvállalási mértékét, hanem a káresemény értékének százalékában. Az AIG, amely első között kínált kiberbiztosítást, januárban vezette be ezt a modellt, és ezzel párhuzamosan kiemelten értékeli a díj megállapításánál a ransomware-támadások megelőzését segítő belső kontrollok meglétét és minőségét.

A biztosítók közös fellépése segítene

Az, hogy az AIG vagy más biztosító új konstrukciókkal vagy áremeléssel reagál a ransomware-támadások szaporodására, érthető, de szakértők szerint kevés eredményre vezet. Ha egy biztosító túl drágán kínálja a termékét, a vállalatok majd átmennek másik biztosítóhoz. Vagy ami még rosszabb, megnézik, hogy mi kifizetődőbb: sok pénzt elkölteni a zsarolóvírusok elleni védekezésre (beruházás + költség), vagy kipengetni a biztosítási díjat (költség) – mondta az Aon szakértője.

A biztosítótársaságoknak közösen kellene fellépniük, akár az áremelés, akár a védekezés terén. Az IST (The Institute for Security and Technology) thinktank a közelmúltban publikált egy keretrendszert a ransomware-ek elleni küzdelemhez. A dokumentum szerint a biztosítóknak azért is össze kellene fogniuk, hogy megoszthassanak egymás között a védekezéshez és felderítéshez szükséges fontos adatokat (zsarolók által használt walletek, tranzakciós hash-ek stb.).

Josephine Wolff ennél sokkal radikálisabb álláspontot képvisel: az segítene, ha minden biztosító az AXA példáját követné, azaz nem térítené, ha ügyfele váltságdíjat fizet. Az valóban egyértelmű üzenet volna a cégeknek, hogy vegyék komolyan a védekezést.