Uma seguradora é forçada a pagar 1400 milhões de dólares para cobrir os danos de um ciberataque

Olá, pessoal!

Já faz um tempo desde a minha última edição do iNews, também conhecida como notícias de cibersegurança ou histórias do lado oculto dos ciberataques, então sou encorajado a reviver esta série para voltar aos trilhos e compartilhar com vocês alguns momentos cibernéticos incríveis que podem não ter sido mencionados em suas fontes de notícias habituais…

Nesta edição, eu só compartilho uma notícia, mas é mais do que suficiente: qualquer elemento adicional poderia ter minimizado (dificilmente apropriado quando há um “ponto de virada” no título :)…

Mas primeiro, aqui está um pequeno resumo: após longos processos legais nos EUA,  um tribunal decidiu a favor da grande empresa farmacêutica Merck contra sua seguradora por um pagamento de 1400 milhões de dólares americanos (!!) cobrindo os danos que a empresa teria sofrido por causa do NotPetya (também conhecido como ExPetr ou simplesmente Petya ), em 2017.

Vamos voltar para 2017…

Em junho do mesmo ano, NotPetya apareceu, um worm criptografado tecnologicamente avançado e terrivelmente desagradável, que se espalhou como fogo. Inicialmente se concentrou na Ucrânia, onde atacou vítimas por meio de softwares de contabilidade popular, afetando bancos, sites do governo, aeroporto de Kharkov, os sistemas de monitoramento da usina nuclear de Chernobyl (!!!) e assim por diante. A epidemia então se espalhou para a Rússia e depois para o mundo inteiro. Muitas fontes oficiais consideram o NotPetya o ataque cibernético mais destrutivo da história. O que parece certo ao contar o número de empresas atacadas (dezenas das quais perderam centenas de milhões de dólares), enquanto os danos globais à economia mundial foram estimados em um mínimo de US$ 10 bilhões.

Uma das vítimas mais notáveis deste ataque cibernético internacional foi a gigante farmacêutica americana Merck. De acordo com as informações, 15.000 de seus computadores receberam o ataque 90 segundos (!) após o início da infecção, enquanto o backup de seu data center, que estava conectado à rede principal, também foi perdido quase instantaneamente. No final do ataque, a Merck havia perdido cerca de 30.000 estações de trabalho e 7500 servidores. Levou meses até que eles pudessem se recuperar, custando cerca de US$ 1400 milhões, segundo relatado. A Merck ainda teve que pedir emprestadas 250 milhões de dólares em vacinas de fontes externas por causa de interrupções em suas operações de fabricação.

Bem, e agora que temos o contexto, vamos para o mais suculento …

O contrato de apólice entre a Merck e sua seguradora Ace American cobria todos os riscos, incluindo a perda de dados relacionados ao uso do software. Esses riscos foram segurados por cerca de US$ 1750 milhões. No entanto, a Ace American se recusou a reconhecer o ataque do ransomware NotPetya como uma perda assegurada e, portanto, não pagou, considerando que o ataque foi uma força maior. Para apoiar sua posição, eles alegaram que a Rússia era a culpada pela criação da NotPetya e que a havia usado como arma cibernética na guerra contra a Ucrânia, de modo que a seguradora não era obrigada a indenizar o segurado pelos danos causados pelas ações militares. Por sua vez, para apoiar sua reivindicação, ele citou anúncios feitos pelos  governos do Reino Unido e dos EUA. , que já havia culpado oficialmente a Rússia por este ataque cibernético.

Em 2019, a Merck levou sua seguradora ao tribunal, afirmando que o ataque não foi uma ação oficial de um país e, como tal, não poderia ser considerado ação militar ou conflito armado. Os advogados da Merck também observaram que os ataques cibernéticos não foram especificados na seção de exceções de cobertura da apólice de seguro. No final, o tribunal decidiu a favor da Merck, observando que a Ace American sabia que os ataques cibernéticos podem ser ações militares reconhecidas, mas optou por não os especificar na apólice de seguro.

Penso que muitas companhias de seguros acompanharam este caso de perto e agora revisarão cuidadosamente a redação de suas apólices padrão. Enquanto isso, do outro lado, tenho certeza de que muitas vítimas de inúmeros incidentes cibernéticos irão igualmente rever os termos de seus contratos de seguro para analisar se as seguradoras também devem um pagamento com base neste precedente da Merck. Mas deve ficar claro para ambos as partes que elas devem levar em conta o efeito de longo prazo: se as “regras do jogo” forem significativamente alteradas, o aumento dos prêmios de seguros parece algo inevitável.

Por meio da premonição, eu diria que o seguro de risco cibernético se tornará um grande negócio, de uma forma quase inacreditável: um mapeamento direto da prática tradicional de seguros no ciberespaço sem garantias (em níveis de proteção contra riscos cibernéticos) de provedores de cibersegurança poderia significativamente, se não irreparavelmente, prejudicar, para todo o setor de seguros. No entanto, a maioria das empresas de cibersegurança hoje garante proteção contra, digamos, apenas 50% do ransomware, como o NotPetya.

Apenas 50%? Mas, isso é como se em vez de segurança adequada para um prédio (câmeras, seguranças etc.), você simplesmente colocasse uma placa na porta da frente com a mensagem: “Inimigos não são permitidos entrar! “. Você precisa de  100% de proteção ou nada.  Bem, e contra ransomware, apenas uma empresa oferece 100% de proteção. Você imagina qual?

Portanto, estamos enfrentando uma situação em que há risco de ataques cibernéticos, e massivos, o que implica que as empresas querem assegurar esses riscos junto com todos os outros.  Por sua vez, qualquer seguradora, vendo essa conta de 1400 milhões de dólares, fará todo o possível para garantir que esses tipos de riscos não sejam especificados em suas apólices de   seguro. O que nos coloca em uma situação de impasse: as seguradoras não querem garantir riscos cibernéticos, mesmo que seus clientes queiram esse tipo de cobertura.

Então, o que pode ser feito?  Obviamente, é necessário reduzir os riscos de ataques à infraestrutura digital. Ou seja, ele irá construí-lo de tal forma que os segmentos mais críticos e vulneráveis sejam tão imunes  quanto possível a ataques externos (e internos), enquanto o resto é protegido por múltiplas camadas de segurança de resiliência garantida.

Ficção científica? Não na minha opinião, mas é outra história.