“L’assurance nous oblige à identifier les risques… nos polices, elles ont toutes été construites au siècle dernier, et nous sommes à près de 25 ans dans le nouveau siècle et devons encore nous adapter aux nouvelles obligations numériques.
“Nous pouvons le faire, nous mettons des actifs à risque pour le profit, nous pouvons ajuster les définitions de ce qui est un risque spécifique et ce que nous couvrirons et, surtout, ce que nous exclurons – et nous n’en sommes pas encore là , nous sommes juste là.”
Kennedy a déclaré que si Greco avait ouvert une conversation importante, la question de l’insécurité nécessitait “des recherches supplémentaires”.
Pour Julia O’Toole, PDG de MyCena, Internet est “imbriqué dans chaque partie de l’entreprise”, et qualifier les cyber-risques de non assurables pourrait avoir des conséquences.
“Lorsque vous dites qu’Internet est assurable, que spécifiez-vous en fait ?” Dit-elle. Parce qu’aujourd’hui, les informations d’identification peuvent être divulguées [result in an infiltration] Et en quelques heures, tout votre réseau pourrait être pris en charge et vous pourriez avoir des rançongiciels ou des logiciels espions mondiaux pendant les deux prochaines années sur chaque [piece of] Informations confidentielles partagées avec votre entreprise.
“Alors, où commence-t-il? Où s’arrête-t-il? Où est le périmètre? Dire que ce n’est pas assurable signifierait presque que rien n’est assurable.”
Kennedy et O’Toole ont parlé lors d’un entretien avec la compagnie d’assurance.
Les assureurs à la loupe sur l’hygiène électronique
Les commentaires de Greco en décembre au Financial Times selon lesquels les cyberattaques pourraient devenir “non assurables”, et ses appels aux gouvernements pour qu’ils envisagent des partenariats public-privé, ont été suivis par la même compagnie d’assurance qui a fait face à une violation de données en Asie.
En janvier, Zurich a confirmé aux médias que des pirates avaient accédé aux adresses e-mail, aux noms de véhicules et aux identifiants de clients de 757 463 clients japonais. L’assureur n’est pas seul – les grands assureurs qui ont été touchés par des cyberattaques depuis 2020 incluent Chubb, Tokio Marine et AXA.
Kennedy a déclaré à l’Office fédéral des assurances des États-Unis que, selon lui et pour le moment, “le risque est trop grand pour un soutien fédéral, et la loi sur l’assurance contre le risque de terrorisme (TRIA) (qui a établi un soutien financé par le gouvernement pour les allégations de terrorisme à la suite du 11 septembre ) ne devrait pas adopter une approche – Au moins jusqu’à ce que les compagnies d’assurance aient leurs propres maisons en ordre et que les législateurs soient prêts à adopter une vision globale de la menace.
“Cela doit presque être fait à une échelle sans précédent pour un événement mondial, cela doit être fait à très grande échelle, parce que notre entreprise et Internet n’ont pas de frontières – vous avez affaire à des exceptions à la souveraineté, des exceptions à la guerre et toutes ces autres choses », a déclaré Kennedy.
“L’industrie de l’assurance devra certainement réagir, mais ce qu’elle doit faire, c’est commencer par le fait qu’elle doit renforcer son hygiène personnelle.
“Il y avait de grandes compagnies d’assurance qui ont piraté les informations des gens sur Internet, qu’allez-vous faire ? Le contribuable supportera les pertes dont les compagnies d’assurance peuvent être complices ?”
Pour Kennedy, la réponse à ces questions est un “non” catégorique.
Selon O’Toole, “l’omniprésence” des cyber-risques et le fait que les cyber-attaques resteront un problème omniprésent jettent également un doute sur le modèle de support.
Disons que vous posez un stent aujourd’hui et que le gouvernement fédéral paie, qu’en est-il de demain? Et le lendemain ? ” Dit-elle.
“Tout ce que vous faites, c’est continuer à alimenter la cybercriminalité ; c’est un modèle insoutenable, donc à moins que vous ne résolviez vraiment la racine du problème et nettoyiez le gâchis, pas seulement le réparer avec une donnée, vous n’allez rien faire .”
Les crédits d’impôt liés à la cyber-propreté sont-ils une meilleure solution que la réglementation fédérale en matière de cyberprotection ?
Alors que les experts étaient frustrés par l’option d’assistance électronique fédérale, Kennedy a proposé une alternative sous la forme de crédits d’impôt pour les entreprises qui font du bon travail en matière d’e-santé.
Donnant un exemple de la façon dont cela fonctionnait dans le système américain, Kennedy a déclaré : « Ne serait-il pas plus intelligent d’avoir un gouvernement fédéral… aller au Congrès et dire : “Pourquoi n’accordons-nous pas des crédits d’impôt aux gens pour obtenir accès à [a better level of] Sécurité – adopter une stratégie pré-loi plutôt qu’une stratégie post-loi ?
“[They could say] Nous voulons vous motiver à le faire [have] meilleur nettoyeur en ligne ; Prouvez-le-moi et vous bénéficierez d’une déduction fiscale.”
“Vous ne pouvez pas emprunter la voie TRIA où nous allons simplement y jeter de l’argent et ne pas résoudre le problème”, a déclaré Kennedy.
L’industrie de l’assurance l’a déjà fait, et cela s’appelle payer la rançon. Avons-nous attrapé quelqu’un ? Non, nous avons juste financé les pertes.”
Avez-vous quelque chose à dire sur cette histoire ? Faites-le nous savoir dans les commentaires ci-dessous.