Mondelez International, fabricante de Oreos y Ritz Crackers, resolvió una demanda contra su aseguradora cibernética luego de que el proveedor se negara a cubrir una factura de limpieza multimillonaria derivada del extenso ataque de ransomware NotPetya en 2017.
El gigante de los bocadillos originalmente trajo el traje contra Zurich American Insurance en 2018, después de que NotPetya completara su saqueo cibernético global de las principales corporaciones multinacionales, y desde entonces el caso ha sido atado en la corte. Los términos del acuerdo no han sido revelados, pero un "acuerdo" indicaría una resolución de compromiso, lo que ilustra cuán espinoso puede ser un problema con las cláusulas de exclusión de seguros cibernéticos.
NotPetya: ¿Acto de guerra?
La demanda dependía de los términos del contrato en la póliza de seguro cibernético, específicamente, una excepción de exclusión por daños causados por actos de guerra.
NotPetya, que el gobierno de EE. UU. denominó en 2018 como el “ataque cibernético más destructivo y costoso de la historia”, comenzó comprometiendo objetivos ucranianos antes de extenderse a nivel mundial, afectando en última instancia a empresas en 65 países y costando miles de millones en daños. Se propagó rápidamente gracias al uso de la Exploit de gusanos EternalBlue en la cadena de ataque, que es un arma filtrada de la NSA que permite que el malware se autopropague de un sistema a otro utilizando recursos compartidos de archivos SMB de Microsoft. Entre las víctimas notables del ataque se encuentran FedEx, el gigante de los envíos Maersk y el gigante farmacéutico Merck, entre muchos otros.
En el caso de Mondelez, el malware bloqueó 1,700 de sus servidores y la asombrosa cantidad de 24,000 computadoras portátiles, dejando a la corporación incapacitada y tambaleándose por más de $100 millones en daños, tiempo de inactividad, pérdida de ganancias y costos de reparación.
Como si eso no fuera lo suficientemente difícil de tragar, el kahuna de alimentos pronto se atragantó con la respuesta de Zurich American cuando presentó un reclamo de seguro cibernético: el asegurador no tenía intención de cubrir los costos, citando la cláusula de exclusión antes mencionada que incluía el lenguaje “acción hostil o bélica en tiempo de paz o de guerra” por parte de un “gobierno o poder soberano”.
Gracias a la atribución de los gobiernos mundiales de NotPetya al estado ruso, y la misión original del ataque de atacar a un adversario cinético conocido de Moscú, Zurich American tenía un caso, a pesar de que el ataque de Mondelez fue ciertamente un daño colateral no intencionado.
Sin embargo, Mondelez argumentó que el contrato de Zurich American dejó algunas migajas en disputa sobre la mesa, por así decirlo, dada la falta de claridad en lo que podría y no podría cubrirse en un ataque. Específicamente, la póliza de seguro establecía claramente que cubriría “todos los riesgos de pérdida o daño físico” —énfasis en “todos”— “a datos, programas o software electrónicos, incluida la pérdida o daño causado por la introducción malintencionada de un código de máquina o instrucción.” Es una situación que NotPetya encarna a la perfección.
Caroline Thompson, jefa de suscripción de Cowbell Cyber, un proveedor de seguros cibernéticos para pequeñas y medianas empresas (PYMES), señala que la falta de una redacción clara de la póliza de seguros cibernéticos dejó la puerta abierta para el atractivo de Mondelez, y debería actuar como un mensaje de advertencia. a otros que negocian la cobertura.
“El alcance de la cobertura y la aplicación de exclusiones de guerra sigue siendo una de las áreas más desafiantes para las aseguradoras a medida que las amenazas cibernéticas continúan evolucionando, las empresas aumentan su dependencia de las operaciones digitales y las tensiones geopolíticas continúan teniendo un impacto generalizado”, le dice a Dark. Lectura. “Es fundamental que las aseguradoras estén familiarizadas con los términos de su póliza y busquen aclaraciones cuando sea necesario, pero también opten por ciberpólizas modernas que puedan evolucionar y adaptarse al ritmo que lo hacen sus riesgos y exposiciones”.
Exclusiones de guerra
Hay un problema evidente al hacer que las exclusiones de guerra se mantengan para el seguro cibernético: la dificultad para probar que los ataques son realmente "actos de guerra", una carga que generalmente requiere determinar en nombre de quién se llevan a cabo.
En el mejor de los casos, la atribución es más un arte que una ciencia, con un conjunto cambiante de criterios que sustentan cualquier señalamiento seguro. Los fundamentos para la atribución de amenazas persistentes avanzadas (APT) a menudo se basan en mucho más que artefactos tecnológicos cuantificables, o se superponen en infraestructura y herramientas con amenazas conocidas.
Los criterios de Squishier pueden incluir aspectos tales como victimología (es decir, ¿los objetivos son consistentes con los intereses del estado y las metas políticas?; el tema de señuelos de ingeniería social; lenguaje de codificación; nivel de sofisticación (¿el atacante necesita tener buenos recursos? ¿Usó un costoso día cero?); y motivo (es el ataque empeñado en espionaje, destrucción, o ganancia financiera?). También está el tema de operaciones de bandera falsa, donde un adversario manipula estas palancas para incriminar a un rival o adversario.
“Lo que me sorprende es la idea de verificar que estos ataques pueden atribuirse razonablemente a un estado, ¿cómo?”. dice Philippe Humeau, director ejecutivo y cofundador de CrowdSec. “Es bien sabido que difícilmente se puede rastrear la base de operaciones de un ciberdelincuente con habilidades decentes, ya que el bloqueo aéreo de sus operaciones es la primera línea de su libro de jugadas. En segundo lugar, los gobiernos no están dispuestos a admitir que proporcionan cobertura a los ciberdelincuentes en sus países. Tres, los ciberdelincuentes en muchas partes del mundo suelen ser una mezcla de corsarios y mercenarios, fieles a cualquier entidad/estado-nación que los esté financiando, pero totalmente expandibles y negables si alguna vez hay dudas sobre su afiliación”.
Es por eso que, en ausencia de un gobierno que asuma la responsabilidad de un ataque al estilo de los grupos terroristas, la mayoría de las empresas de inteligencia de amenazas advertirán la atribución patrocinada por el estado con frases como "determinamos con confianza baja/moderada/alta que XYZ está detrás del ataque", y Además, diferentes empresas pueden determinar diferentes fuentes para cualquier ataque dado. Si es tan difícil para los cazadores de amenazas cibernéticas profesionales identificar a los culpables, imagine lo difícil que es para los ajustadores de seguros cibernéticos que operan con una fracción de las habilidades.
Si el estándar para la prueba de un acto de guerra es un amplio consenso gubernamental, esto también plantea problemas, dice Humeau.
“Atribuir con precisión los ataques a los estados-nación requeriría la cooperación legal entre países, lo que históricamente ha demostrado ser difícil y lento”, dice Humeau. “Entonces, la idea de atribuir estos ataques a estados-nación que nunca lo confesarán deja demasiado espacio para la duda, legalmente hablando”.
¿Una amenaza existencial para los seguros cibernéticos?
Para el punto de Thompson, una de las realidades en el entorno actual es el gran volumen de actividad cibernética patrocinada por el estado en circulación. Bryan Cunningham, abogado y miembro del consejo asesor de la empresa de seguridad de datos Theon Technology, señala que si cada vez más aseguradoras simplemente niegan todas las reclamaciones derivadas de dicha actividad, podría haber muy pocos pagos. Y, en última instancia, es posible que las empresas ya no consideren que las primas de seguros cibernéticos valgan la pena.
“Si un número significativo de jueces realmente comienza a permitir que las aseguradoras excluyan la cobertura de ataques cibernéticos solo por un reclamo de que un estado-nación estuvo involucrado, esto será tan devastador para el ecosistema de seguros cibernéticos como lo fue el 9 de septiembre (temporalmente) para los bienes raíces comerciales. ," él dice. “Como resultado, no creo que muchos jueces compren esto, y la prueba, en cualquier caso, casi siempre será difícil”.
En una línea diferente, Ilia Kolochenko, arquitecta jefe y directora ejecutiva de ImmuniWeb, señala que los ciberdelincuentes encontrarán una manera de utilizar las exclusiones en su beneficio, socavando aún más el valor de tener una póliza.
“El problema surge de una posible suplantación de actores de ciberamenazas bien conocidos”, dice. “Por ejemplo, si los ciberdelincuentes, que no están relacionados con ningún estado, desean amplificar el daño causado a sus víctimas excluyendo la eventual cobertura de seguro, pueden simplemente intentar hacerse pasar por un famoso grupo de piratas informáticos respaldado por el estado durante su intrusión. Esto socavará la confianza en el mercado de seguros cibernéticos, ya que cualquier seguro puede volverse inútil en los casos más graves que realmente requieren la cobertura y justifican las primas pagadas”.
La cuestión de las exclusiones sigue sin resolverse
Aunque el acuerdo estadounidense Mondelez-Zurich parecería indicar que la aseguradora logró, al menos parcialmente, expresar su punto (o tal vez ninguna de las partes tuvo el estómago para incurrir en más costos legales), existe un precedente legal contradictorio.
Otro caso NotPetya entre Merck y ACE American Insurance sobre el mismo tema se puso fin a la cama en enero, cuando el Tribunal Superior de Nueva Jersey dictaminó que las exclusiones de actos de guerra solo se extienden a la guerra física en el mundo real, lo que resultó en que el asegurador pagara una cantidad acumulada de $ 1.4 mil millones en liquidación de reclamos.
A pesar de la naturaleza inestable del área, algunas aseguradoras cibernéticas están avanzando con exclusiones de guerra, sobre todo Lloyd's of London. En agosto, el incondicional del mercado les dijo a sus sindicatos que se les exigirá que excluyan la cobertura de los ataques cibernéticos respaldados por el estado a partir de abril de 2023. La idea, señaló el memorando, es proteger a las compañías de seguros y sus suscriptores de pérdidas catastróficas.
Aun así, el éxito de tales políticas aún está por verse.
“Lloyd's y otras compañías están trabajando para hacer que tales exclusiones sean más fuertes y absolutas, pero creo que esto también fallará en última instancia porque la industria de seguros cibernéticos probablemente no podría sobrevivir a tales cambios por mucho tiempo”, dice Cunningham de Theon.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
