Wyobraźmy sobie sytuację, w której w ciągu jednej doby hakerzy paraliżują 5000 zakładów wodociągowych w całych Stanach Zjednoczonych. To nie jest fragment filmu katastroficznego, lecz scenariusz zamkniętej symulacji wojennej, w której wzięli udział przedstawiciele branży ubezpieczeniowej. Celem ćwiczenia, zorganizowanego przez organizację CyberAcuView, było sprawdzenie, jak sektor prywatny poradziłby sobie z masową awarią infrastruktury krytycznej, za którą mogłyby stać grupy powiązane z chińskim wojskiem.
Joshua Corman, były strateg w Cybersecurity and Infrastructure Security Agency (CISA), prowadzący symulację, szybko uświadomił uczestnikom, że skutki ataku wykraczają daleko poza brak wody w kranach. W miarę upływu czasu wirtualnego kryzysu, awarie zaczęły dotykać kolejne sektory gospodarki:
Volt Typhoon: Cyfrowe zagrożenie w cieniu geopolityki
Obawy o bezpieczeństwo amerykańskiej infrastruktury nie są bezpodstawne. Od 2023 roku agencje wywiadowcze, w tym NSA i CISA, ostrzegają przed grupą hakerską Volt Typhoon. W przeciwieństwie do typowych grup szpiegowskich, ich działania przypominają przygotowania do sabotażu na dużą skalę. Hakerzy infiltrują sieci energetyczne, porty oraz systemy wodociągowe, stosując technikę „living off the land” – wykorzystują legalne narzędzia systemowe, co czyni ich obecność niezwykle trudną do wykrycia.
Eksperci, tacy jak Joe Slowik z firmy Dataminr, podkreślają, że celem tych działań jest wywołanie chaosu społecznego w momencie kryzysu geopolitycznego, na przykład w przypadku eskalacji konfliktu wokół Tajwanu. Choć do tej pory nie doszło do potwierdzonego, masowego ataku, przygotowania chińskich hakerów są oceniane jako bardzo zaawansowane.
Dylematy ubezpieczycieli: Zysk czy bezpieczeństwo narodowe?
W symulacji ubezpieczyciele stanęli przed niemożliwym wyborem: jak rozdzielić ograniczone zasoby specjalistów od cyberbezpieczeństwa między tysiące poszkodowanych klientów? Uczestnicy musieli zdecydować, czy priorytetem powinny być największe firmy, czy może obiekty o kluczowym znaczeniu dla bezpieczeństwa państwa.
Jeśli Departament Skarbu pyta o liczby, a my odpowiadamy, że skupiamy się na ludzkim życiu, nie wiem, czy to jest właściwa ścieżka komunikacji.
Pojawił się również problem prawny: czy ubezpieczyciele powinni wypłacić odszkodowania, czy powołać się na klauzulę „aktu wojny”, która zwalnia ich z odpowiedzialności w przypadku konfliktu zbrojnego? Takie rozwiązanie mogłoby uchronić firmy przed bankructwem, ale jednocześnie podważyłoby zaufanie społeczne do całego systemu ubezpieczeń.
Wnioski z symulacji: Prewencja zamiast reakcji
Wyniki symulacji są alarmujące. Mark Camillo, prezes CyberAcuView, zauważa, że katastrofalny atak cybernetyczny może okazać się „nieubezpieczalny” w obecnych warunkach. Koszty naprawy szkód mogłyby doprowadzić do upadku wielu ubezpieczycieli, chyba że państwo stworzyłoby specjalny fundusz gwarancyjny, podobny do tego, który istnieje dla ataków terrorystycznych.
Zdaniem Joshuy Cormana, najważniejszą lekcją płynącą z tego ćwiczenia jest konieczność zmiany podejścia do prewencji. Ubezpieczyciele mają unikalną siłę nacisku: mogą wymagać od swoich klientów wyższego poziomu zabezpieczeń, takich jak regularne łatanie luk w urządzeniach sieciowych czy udział w grupach wymiany informacji o zagrożeniach. Obecnie tylko ułamek amerykańskich zakładów wodociągowych uczestniczy w takich inicjatywach.
Ostateczny wniosek z symulacji jest jasny: w obliczu tak rozległego zagrożenia, jedyną skuteczną strategią nie jest lepsze reagowanie na kryzys, lecz uniemożliwienie przeciwnikowi osiągnięcia przewagi, zanim jeszcze zdecyduje się on na atak.

