美监管机构：私人保险公司越来越不愿意给重大网络攻击承保

该报告利用国家安全局 (NSA)、国家情报局局长办公室 (ODNI)、网络安全和基础设施安全局 (CISA) 和司法部的威胁评估来量化网络攻击对关键基础设施的风险，确定可能受到攻击的易受攻击的技术以及能够利用它们的一系列威胁行为者。

该报告引用了 ODNI 发布的年度威胁评估，发现与俄罗斯、伊朗和朝鲜有关的黑客组织对美国的基础设施构成最大的威胁——以及某些非国家行为者，如有组织的网络犯罪团伙。鉴于愿意以美国实体为目标的行为者范围广泛且技能不断提高，网络事件的数量正以惊人的速度上升。

报告中写道：““尽管联邦机构没有全面的网络安全事件清单。几个关键的联邦和行业消息来源显示美国大多数类型的网络攻击都在增加——包括影响关键基础设施的攻击，以及网络攻击规模扩大且不断增加的成本”。

2016 年，美国企业和公共机构在四大类（勒索软件、数据泄露、企业电子邮件泄露和拒绝服务攻击）中总共遭受了 19,060 起事件，总成本为 4.7 亿美元，根据 GAO 分析联邦调查局报告。 2021 年发生了 26,074 起事件，总损失接近 26 亿美元。

由于不得不承担如此巨大的损失的可能性，私人保险公司正在退出市场，将一些最高级别的网络攻击排除在保险单的覆盖范围之外。虽然通常仍涵盖数据泄露和勒索软件攻击，但报告发现“私人保险公司一直在采取措施限制系统性网络事件造成的潜在损失”，拒绝承担网络战行为或蓄意的基础设施攻击所造成的损失。

根据美国财政部的说法，一些保险公司也一直在通过降低保单在网络攻击情况下支付的最高金额和/或增加保费来减轻风险，以保护自己免受损失。 GAO 发现，有进一步的证据表明，一些保险公司正在完全退出基础设施领域的保险，并认为受到攻击的风险太高。