Texto Traduzido do site csoonline.com – Os especialistas aconselham as seguradoras “apavoradas” a ter um melhor engajamento com as empresas para garantir a viabilidade a longo prazo de seus negócios e aconselham as empresas seguradas a acompanhar de perto suas apólices.

Enfrentando pagamentos crescentes e uma provável tempestade de litígios em torno dos recentes comprometimentos dos servidores SolarWinds e Microsoft Exchange, as seguradoras cibernéticas estão enfrentando uma “batalha existencial” pelo seu futuro, alertou um importante pesquisador de segurança cibernética e consultor de privacidade. Da mesma forma, as empresas estão lutando para saber se obterão seguro cibernético, por causa de dúvidas sobre os pagamentos se forem atacados pelo setor de seguro cibernético em conflito.

Um crescente corpo de evidências confirmou que as seguradoras cibernéticas enfrentaram grandes pagamentos na sequência de ataques massivos, como o NotPetya de 2017, que causou danos no valor de bilhões de dólares e colocou muitos negócios globais de joelhos.

Esse ataque, que ocorreu apenas 20 anos após a primeira apólice de seguro cibernético do mundo ter sido escrita, provou ser um marco importante na evolução de uma indústria que, acredita um pesquisador, ainda está “em seus primeiros dias” quando se trata de compreender o escopo completo da exposição ao risco cibernético.

Pedras no caminho e incerteza contínua nos seguros cibernéticos

John Selby, chefe de pesquisa e treinamento na consultoria de gestão de risco de privacidade Privcore e pesquisador da Escola de Economia Empresarial da Macquarie University, disse recentemente: “Os ataques que fizeram as seguradoras adormecerem já existem há anos. Foram muitos.” Apresentação na recente conferência AISA CyberCon.

As apólices de seguro cibernético “tendem a ser muito mais restritivas em seu escopo” do que outros tipos de seguro, disse Selby, embora isso tenha se mostrado um desafio para os subscritores que “têm um conjunto muito menor de dados históricos para modelar o risco de cibernético, então [precificar] sua apólice é um grande desafio para eles. … Eles hesitam em oferecer cobertura contra eventos em que a probabilidade de uma ocorrência é incerta e ambígua. ”

Ataques generalizados como NotPetya introduziram complicações adicionais por meio do risco de agregação – “a possibilidade de muitos segurados sofrerem simultaneamente inúmeras perdas de uma única causa ou evento”, disse Selby – “e isso gera um calafrio na espinha dos corretores de seguros e subscritores porque o risco agregado pode levar à falência da seguradora se eles tiverem reservas financeiras inadequadas. ”

Muitas seguradoras tinham responsabilidade limitada por perdas de cibersegurança, um décimo das apólices de propriedade e responsabilidade pública de mais de US $ 1 bilhão que o seguro comercial convencional oferece, deixando algumas empresas afetadas pagando do próprio bolso ou tentando encontrar maneiras de aplicar outras políticas de negócios – depois que NotPetya acumulou um tributo devastador.

Uma das empresas mais severamente atingidas, a gigante de alimentos Mondelēz, acabou entrando com uma ação legal contra sua seguradora, a Zurich Insurance, por US $ 100 milhões depois que a empresa se recusou a cobrir suas perdas com a NotPetya porque a apólice da empresa não cobriria ações hostis ou bélicas iniciadas por governos ou poderes soberanos. A alegação de Zurique de que NotPetya foi um ato de guerra “é fácil de reivindicar, [mas] mais difícil de provar em tribunal”, disse Selby.

Essa ação ainda está tropeçando no sistema judiciário dos EUA, mas com as seguradoras cada vez mais propensas a recorrer a tais exclusões para evitar pagamentos de ataques cibercriminosos – e a invasão cada vez mais comum por agentes ligados a países e estruturas estatais, torna mais importante do que nunca para as empresas atribuir corretamente as violações à sua fonte —Expectativas claras em relação ao seguro cibernético nunca foram tão importantes.

Definir expectativas tem sido particularmente desafiador para as pequenas empresas – que, alerta Susie Jones, CEO da Cynch Security, ainda estão se marginalizando devido a “um equívoco por aí de que o seguro cibernético não compensa. … Tenho ouvido regularmente pessoas de toda a indústria de tecnologia dizerem que não adianta comprar seguro cibernético porque eles não pagam ”, disse Jones em um fórum recente da indústria AustCyber,“ mas de tudo o que tenho visto, os dados não têm absolutamente nada que comprovam essa percepção.”

Como uma consultoria de segurança, Cynch recomenda seguro cibernético para “a grande maioria” de seus clientes “não simplesmente por causa dos dólares anexados e ser capaz de reembolsar os custos, mas por causa do acesso a especialistas – especialistas e advogados e especialistas forenses digitais todos de que você precisa para ajudá-lo a responder adequadamente a um incidente cibernético. ”

No entanto, chegar a esse ponto ainda exigia esforço de ambos os lados da mesa, disse ela, observando que muitos corretores de seguros cibernéticos ainda eram pouco instruídos sobre as proteções de segurança cibernética adequadas e muitos proprietários de pequenas empresas ainda lutavam para transmitir seu status de segurança de informações.

“Se o proprietário da pequena empresa não entende o que está sendo pedido a ele, e o corretor também não, isso significa que a conversa não progride”, disse Jones. “Portanto, realmente precisamos que a indústria de tecnologia e a indústria de seguros comecem a conversar entre si, para reconhecer os benefícios um do outro e para realmente começar a jogar.”

Quando a responsabilidade depende da semântica

No entanto, o protecionismo continua a dominar uma indústria que luta pela viabilidade.

Mesmo enquanto o setor de segurança cibernética trabalha para construir um setor – e distribuir seus riscos -, seu envolvimento com pequenas empresas, violações de alto perfil e seus litígios associados muitas vezes permanecem atolados em semântica.

Quando a Sony foi atacada em 2014, as autoridades evitaram chamá-lo de um ato de ciberterrorismo, disse Selby, “porque reconheceram que isso teria um efeito sobre as questões de cobertura de seguro; eles o chamaram de ‘cibervandalismo’ em vez disso. ”

A semântica se tornou igualmente controversa em litígios levantados pela vítima de NotPetya Merck, que processou suas seguradoras depois de ser comprometida, mas tentou reivindicar tanto sob sua apólice de seguro cibernético de $ 275 milhões quanto sob quase duas dúzias de outras apólices de interrupção de negócios que acreditava deveriam ajudar a cobrir perdas estimadas em US $ 1,3 bilhão.

Para evitar possíveis reclamações sobre NotPetya ser uma ação de estado-nação, a reclamação da Merck “não menciona a palavra‘ NotPetya ’em tudo”, observou Selby. “Eles se referem a isso como um evento de interrupção de rede devido a uma infecção por malware ou ransomware. … Eles estão tentando tornar isso uma questão genérica para o tribunal e talvez minimizem estrategicamente a capacidade das seguradoras que estão negando cobertura ”sob cláusulas de ato de guerra que, acrescentou ele, notavelmente“ não têm requisitos sob a exclusão de guerra para que seja uma guerra cinética [física]. ”

Casos anteriores – relacionados a danos cibernéticos e incidentes do mundo real – estabeleceram uma série de precedentes com base em questões como se um estado de guerra estava em vigor, se os grupos que causaram os danos eram aliados de um governo soberano e outros fatores .

“Linguagem inconsistente e pequenas diferenças na linguagem nas políticas podem ter um efeito significativo no resultado de uma reclamação para o mesmo evento”, disse Selby, “então leia suas políticas com muito cuidado”.

Em última análise, disse ele, a atribuição de responsabilidade por um ataque cibernético pode ter um grande impacto nos resultados de uma reclamação – e a atribuição bem-sucedida exigirá a identificação do indivíduo e das organizações que perpetraram o ataque e evidências de que esses indivíduos “agiram sob autoridade do estado . ”

Por último, a atribuição ocorre por meio de um de quatro meios, disse Selby: por acusação, por sanções, por alerta técnico e por comunicado de imprensa.

Mesmo com os ataques de cibersegurança continuando em ritmo acelerado e as empresas lutando para se recuperar após danos e interrupção dos negócios, Selby alertou os CISOs para estarem cientes da situação em constante mudança – com muitas seguradoras mudando o texto de suas apólices de seguro de cibersegurança após NotPetya.

“Os riscos agregados em outras apólices de seguro deixaram a indústria de seguros bastante apavorada”, disse ele, “porque eles estão preocupados que isso afete sua solvência ou suas classificações de crédito, e sua capacidade de pagar as apólices em geral porque irão falir . ”

Quatro anos depois de NotPetya, o quadro de processos judiciais “são sintomas de problemas mais amplos” na forma como as apólices de seguro cibernético são escritas e aplicadas, disse Selby. “A modelagem cibernética para perdas catastróficas ainda está em sua infância”, disse ele. “O seguro precisa ser uma barganha sustentável de longo prazo, e ainda não chegamos lá.”

Posts relacionados: Caso Maersk: Saiba como o NotPetya foi responsável por um dos maiores ataques cibernéticos da história / Como proteger a sua organização após a vulnerabilidade do SolarWinds e Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento

Informações obtidas/adaptadas de Four years after NotPetya, cyber insurance is still catching up