Inicio » Las compañías grandes pensaron que el seguro cubría un ataque cibernético. Pueden estar equivocados
CIBERSEGURIDAD

Las compañías grandes pensaron que el seguro cubría un ataque cibernético. Pueden estar equivocados

Big Companies

A los pocos días de un ataque cibernético, los almacenes de la empresa de comidas rápidas Mondelez International se llenaron con un registro de galletas Oreo y galletas Ritz.

Mondelez, propietario de docenas de marcas de alimentos conocidas como el chocolate Cadbury y el queso crema de Filadelfia, fue una de las cientos de compañías sorprendidas por el llamado ciberespacio NotPetya en 2017. Las computadoras portátiles se congelaron repentinamente cuando los empleados de Mondelez trabajaron en sus escritorios. El correo electrónico no estaba disponible, al igual que el acceso a los archivos en la red corporativa. El software de logística que organiza las entregas y rastrea las facturas se estrelló.

Incluso con equipos trabajando las 24 horas, pasaron semanas antes de que Mondelez se recuperara. Una vez que las órdenes perdidas fueron contabilizadas y el equipo informático fue reemplazado, su impacto financiero fue de más de $ 100 millones, según documentos judiciales.

Después de la prueba, los ejecutivos de la compañía se tranquilizaron al saber que el seguro ayudaría a cubrir los costos. O eso creían ellos.

La aseguradora de Mondelez, Zurich Insurance, dijo que no enviaría un cheque de reembolso. Citó una cláusula común, pero rara vez utilizada, en los contratos de seguros: la “exclusión de la guerra”, que protege a las aseguradoras contra los costos relacionados con los daños causados ​​por la guerra.

Mondelez fue considerado daño colateral en una guerra cibernética.

El ataque de 2017 fue un momento decisivo para la industria de seguros. Desde entonces, las aseguradoras han estado aplicando la exención de guerra para evitar reclamos relacionados con ataques digitales. Además de Mondelez, el gigante farmacéutico Merck dijo que las aseguradoras habían negado las reclamaciones después del ataque de NotPetya que afectó sus operaciones de investigación de ventas, ventas y fabricación, causando daños por casi $ 700 millones.

Una fábrica de dulces Mondelez Internacional en Ucrania. Un ataque cibernético hace casi dos años paralizó las operaciones de la compañía. CréditoVincent Mundy / Bloomberg

Cuando el gobierno de los Estados Unidos asignó la responsabilidad de NotPetya a Rusia en 2018, las aseguradoras recibieron una justificación para negarse a cubrir el daño. Así como no serían responsables si una bomba hiciera explotar un edificio corporativo durante un conflicto armado, afirman que no son responsables cuando un hack respaldado por el estado golpea una red de computadoras.

Las disputas se desarrollan en la corte. En una batalla legal estrechamente vigilada, Mondelez demandó a Zurich Insurance el año pasado por incumplimiento de contrato en una corte de Illinois, y Merck presentó una demanda similar en Nueva Jersey en agosto. Merck demandó a más de 20 aseguradores que rechazaron reclamos relacionados con el ataque NotPetya, incluidos varios que citaron la exención de guerra. Los dos casos podrían tardar años en resolverse.

Las luchas legales sentarán un precedente sobre quién paga cuando las empresas son atacadas por un ataque cibernético a un gobierno extranjero. Los casos tienen implicaciones más amplias para los funcionarios del gobierno, que han adoptado cada vez más un enfoque más audaz para nombrar y avergonzar a los patrocinadores estatales de ciberataques, pero ahora corren el riesgo de enredarse en disputas corporativas al dar a las compañías de seguros una justificación para rechazar las reclamaciones.

“Usted está corriendo un gran riesgo de que el ciberseguro en el futuro no valdrá de nada”, dijo Ariel Levite, miembro principal de la Fundación Carnegie para la Paz Internacional, quien ha escrito sobre el caso. Pero dijo que la posición de la industria de seguros en NotPetya “no es del todo frívola, porque se cree que los rusos estuvieron detrás del ataque”.

Mondelez dijo en un comunicado que si bien su negocio se había recuperado rápidamente del ataque, Zurich Insurance era responsable de cumplir con una póliza de seguro que cubría explícitamente los eventos cibernéticos. La compañía agregó que no creía que la cláusula de exención de guerra se ajustara a las circunstancias.

Zurich Insurance, con sede en Suiza, y Merck declinaron hacer comentarios debido al litigio activo. Sin embargo, los documentos judiciales, las presentaciones públicas y las entrevistas con personas familiarizadas con los casos proporcionaron detalles sobre las disputas.

Los ataques cibernéticos han creado un desafío único para las aseguradoras. Las prácticas tradicionales, como no cubrir varios edificios en el mismo vecindario para evitar el riesgo de, por ejemplo, un incendio grande no se aplican. El malware se mueve de forma rápida e impredecible, dejando un costoso rastro de daños colaterales.

Una computadora rusa hackeada por malware en el llamado ataque NotPetya, que comenzó en Ucrania y se extendió por todo el mundo. CréditoDonat Sorokin / TASS, a través de Getty Images

“Abarca prácticamente todo tipo de actividad comercial”, dijo Levite. El riesgo, dijo, “ya no puede ser contenido en este mundo interconectado”.

NotPetya, que tomó el nombre extraño porque los investigadores de seguridad inicialmente lo confundieron con una pieza del llamado ransomware llamado Petya, fue un ejemplo vívido. También fue un poderoso asalto a las redes de computadoras que incorporó un arma cibernética robada de la Agencia de Seguridad Nacional.

Funcionarios estadounidenses ataron el ataque a Rusia y su conflicto con Ucrania. El objetivo original era un fabricante ucraniano de software de impuestos y sus clientes ucranianos. En solo 24 horas, NotPetya borró el 10 por ciento de todas las computadoras en Ucrania, paralizó las redes en bancos, gasolineras, hospitales, aeropuertos, compañías eléctricas y casi todas las agencias gubernamentales, y cerró los monitores de radiación en la antigua central nuclear de Chernobyl.

LEA TAMBIEN  Vigilando la ciberseguridad y protección de datos en Bancos

El ataque se abrió paso hacia los clientes globales del fabricante de software, que eventualmente enredaron a Mondelez y Merck, así como al conglomerado danés de envíos Maersk y la subsidiaria europea de FedEx. Golpeó incluso al gigante petrolero estatal de Rusia, Rosneft.

En una declaración en 2018, la Casa Blanca describió a NotPetya como “parte del esfuerzo en curso del Kremlin para desestabilizar a Ucrania” y dijo que había demostrado “cada vez más claramente la participación de Rusia en el conflicto en curso”.

Muchas compañías de seguros venden cobertura cibernética, pero las pólizas a menudo se escriben de manera restringida para cubrir los costos relacionados con la pérdida de datos de los clientes, como ayudar a una compañía a proporcionar verificaciones de crédito o cubrir cuentas legales.

Mondelez, una antigua unidad de Kraft Foods, argumenta que su paquete de seguro de propiedad debería cubrir las pérdidas del ataque NotPetya. En documentos judiciales, Mondelez dijo que su política se había actualizado en 2016 para incluir las pérdidas causadas por “la introducción maliciosa de un código de máquina o instrucción”

Los avisos en la oficina principal de correos en Kiev, Ucrania, en junio de 2017 indicaron a los clientes que estaba cerrada debido al ataque cibernético NotPetya. CréditoBrendan Hoffman para The New York Times

La empresa perdió 1.700 servidores y 24.000 portátiles. Se dejó que los empleados se comunicaran a través de WhatsApp, y los ejecutivos publicaron actualizaciones en Yammer, una red social utilizada por las empresas.

Los daños causados ​​por NotPetya se extendieron hasta Hobart, Tasmania, donde las computadoras en una fábrica de Cadbury mostraban los llamados mensajes de ransomware que exigían $ 300 en Bitcoin.

Los tribunales a menudo se pronuncian contra las aseguradoras que intentan aplicar la exención en tiempo de guerra. Después de que los secuestradores destruyeron un avión de pasajeros de Pan Am en 1970, un tribunal de los Estados Unidos rechazó el intento de Aetna, determinando que la acción era criminal, no un acto de guerra. En 1983, un juez dictaminó que la póliza de seguro de Holiday Inn cubría los daños causados ​​por la guerra civil en el Líbano.

En las demandas de Mondelez y Merck, la cuestión central es si la atribución del gobierno al ataque de NotPetya a Rusia cumple con los requisitos para la exclusión de la guerra.

Los expertos de la industria del riesgo dicen que la guerra cibernética aún no está definida en gran medida. La atribución puede ser difícil cuando los ataques provienen de grupos con vínculos no oficiales a un estado y el gobierno acusado niega su participación.

“Todavía no tenemos una idea clara de cómo se ve la guerra cibernética”, dijo Jake Olcott, vicepresidente de BitSight Technologies, un asesor de riesgos cibernéticos. “Esa es una de las luchas en este caso. Nadie ha dicho que esta fue una guerra cibernética de Rusia “.

En el pasado, los funcionarios estadounidenses se mostraban reacios a calificar los ataques cibernéticos como guerra cibernética, temiendo que el término pudiera provocar una escalada. El presidente Barack Obama, por ejemplo, tuvo cuidado de decir que el agresivo ataque cibernético de Corea del Norte en Sony Entertainment en 2014, que destruyó más del 70 por ciento de los servidores de las computadoras de Sony, fue un acto de “cibervandalismo”.

John Carlin, se fue, en 2015, cuando era asistente del fiscal general. Dijo que la administración de Obama había evitado el término “guerra cibernética”, en parte, debido a las implicaciones del seguro.CréditoMike Windle / Getty Images

Esa etiqueta fue duramente criticada por los senadores John McCain y Lindsey Graham, quienes calificaron al hack como una “nueva forma de guerra” y “terrorismo”.

La descripción del ataque de Sony fue deliberada, dijo John Carlin, el asistente del fiscal general en el Departamento de Justicia en ese momento. En una entrevista, dijo que la administración de Obama se había preocupado, en parte, de que el uso de la “guerra cibernética” hubiera provocado las exclusiones de responsabilidad y la letra pequeña que Mondelez ahora está impugnando en el tribunal.

Scott Kannry, el director ejecutivo de la firma de evaluación de riesgos Axio Global, dijo que la industria de seguros estaba observando de cerca el caso de Mondelez porque se crearon muchas pólizas antes de que los ciberataques fueran un riesgo tan urgente.

“Usted tiene aseguradoras que tienen pólizas de seguro que nunca fueron suscritas o entendidas para cubrir el riesgo cibernético”, dijo Kannry. “Zurich no suscribió la política con la idea de que un evento cibernético causaría el tipo de pérdidas que le sucedieron a Mondelez. “Nadie está en guerra con Mondelez”.

Muchas compañías de seguros están repensando su cobertura. Desde que se presentaron los juicios, Shannan Fort, quien se especializa en ciberseguros para Aon, uno de los corredores de seguros más grandes del mundo, ha estado respondiendo llamadas de compañías que luchan para asegurarse de que estarán a salvo si son atacadas, dijo.

“No quiero asustar a la gente, pero si un país o estado nación ataca un segmento muy específico, como la infraestructura nacional, ¿es eso ciberterrorismo o es un acto de guerra?”, Preguntó Fort. “Todavía hay un poco de área gris”.

Ty Sagalow, ex director de operaciones del gigante de seguros AIG, ayudó a iniciar el mercado de seguros contra riesgos cibernéticos hace casi dos décadas. Dijo que su equipo había contemplado un ataque “Cyber ​​Pearl Harbor” no muy diferente al ataque NotPetya.

“La ciberguerra y el ciberterrorismo siempre han sido un área delicada”, dijo Sagalow. Las aseguradoras corren el riesgo de abusar de la exclusión de la guerra al no pagar las reclamaciones, dijo, especialmente cuando un ataque “puede afectar a compañías que no fueron el objetivo original de la violencia”.

El daño colateral de los ataques que se salen de control se volverá cada vez más común, agregó. “Eso es lo que es hoy el ciberespacio”, dijo Sagalow. “Y si no te gusta, no deberías estar en el negocio”.

Etiquetas
X