A Mondelez International, fabricante dos biscoitos Oreos e Ritz, resolveu uma ação judicial contra sua seguradora cibernética depois que o provedor se recusou a cobrir uma conta multimilionária de limpeza decorrente do amplo ataque de ransomware NotPetya em 2017.
O gigante dos lanches originalmente trouxe o terno contra a Zurich American Insurance em 2018, depois de a NotPetya ter concluído o seu ataque cibernético global a grandes empresas multinacionais, e o caso desde então tem sido amarrado em tribunal. Os termos do acordo não foram divulgados, mas um “acordo” indicaria uma resolução de compromisso – ilustrando o quão espinhosa pode ser uma questão que as cláusulas de exclusão do seguro cibernético podem ser.
NotPetya: Ato de Guerra?
O processo dependia dos termos contratuais da apólice de seguro cibernético – especificamente, uma exclusão de danos causados por atos de guerra.
NotPetyaO ataque cibernético, que o governo dos EUA em 2018 apelidou de “o ataque cibernético mais destrutivo e mais caro da história”, começou por comprometer alvos ucranianos antes de se espalhar globalmente, impactando, em última análise, empresas em 65 países e custando milhares de milhões em danos. Ele se espalhou rapidamente graças ao uso do Exploração do worm EternalBlue na cadeia de ataque, que é uma arma vazada da NSA que permite que o malware se autopropague de sistema para sistema usando compartilhamentos de arquivos SMB da Microsoft. Vítimas notáveis do ataque incluíram a FedEx, a gigante marítima Maersk e a gigante farmacêutica Merck, entre muitas outras.
No caso da Mondelez, o malware bloqueou 1,700 dos seus servidores e uns impressionantes 24,000 computadores portáteis, deixando a empresa incapacitada e sofrendo mais de 100 milhões de dólares em danos, tempo de inatividade, lucros cessantes e custos de reparação.
Como se isso não fosse difícil de engolir, o kahuna alimentar logo se viu engasgado com a resposta da Zurich American quando apresentou uma reclamação de seguro cibernético: O subscritor não tinha intenção de cobrir os custos, citando a cláusula de exclusão mencionada acima que incluía o linguagem “ação hostil ou bélica em tempos de paz ou guerra” por parte de um “governo ou poder soberano”.
Graças à atribuição do NotPetya ao Estado russo pelos governos mundiais, e à missão original do ataque de atingir um adversário cinético conhecido de Moscovo, a Zurich American tinha um caso - apesar do facto de o ataque da Mondelez ter sido certamente um dano colateral não intencional.
No entanto, Mondelez argumentou que o contrato da Zurich American deixou algumas migalhas controversas na mesa, por assim dizer, dada a falta de clareza sobre o que poderia ou não ser coberto em um ataque. Especificamente, a apólice de seguro afirmava claramente que cobriria “todos os riscos de perdas ou danos físicos” – ênfase em “todos” – “a dados eletrônicos, programas ou software, incluindo perdas ou danos causados pela introdução maliciosa de um código de máquina ou instrução.” É uma situação que NotPetya incorpora perfeitamente.
Caroline Thompson, chefe de subscrição da Cowbell Cyber, uma provedora de seguros cibernéticos para pequenas e médias empresas (SMBs), observa que a falta de uma redação clara da apólice de seguro cibernético deixou a porta aberta para o apelo da Mondelez – e deve servir como uma mensagem de advertência para outros negociando cobertura.
“O âmbito da cobertura e a aplicação de exclusões de guerra continuam a ser uma das áreas mais desafiantes para as seguradoras, à medida que as ameaças cibernéticas continuam a evoluir, as empresas aumentam a sua dependência das operações digitais e as tensões geopolíticas continuam a ter um impacto generalizado”, disse ela à Dark. Leitura. “É fundamental que as seguradoras estejam familiarizadas com os termos da sua apólice e procurem esclarecimentos quando necessário, mas também optem por políticas cibernéticas modernas que possam evoluir e adaptar-se ao ritmo dos seus riscos e exposições.”
Exclusões de guerra
Há um problema evidente em impor exclusões de guerra ao seguro cibernético: a dificuldade em provar que os ataques são de facto “atos de guerra” – um fardo que geralmente exige determinar em nome de quem são realizados.
No melhor dos casos, a atribuição é mais uma arte do que uma ciência, com um conjunto mutável de critérios subjacentes a qualquer acusação confiante. As justificativas para a atribuição de ameaças persistentes avançadas (APT) geralmente dependem de muito mais do que artefatos tecnológicos quantificáveis ou sobreposições de infraestrutura e ferramentas com ameaças conhecidas.
Critérios mais flexíveis podem incluir aspectos como vitimologia (ou seja, as metas são consistentes com os interesses e objetivos políticos do Estado?; o objeto do iscas de engenharia social; linguagem de codificação; nível de sofisticação (o invasor precisa ter bons recursos? Ele usou um dia zero caro?); e motivo (o ataque é dirigido a espionagem, destruição, ou ganho financeiro?). Há também a questão de operações de bandeira falsa, onde um adversário manipula essas alavancas para enquadrar um rival ou adversário.
“O que me choca é a ideia de verificar se estes ataques podem ser razoavelmente atribuídos a um Estado – como?” diz Philippe Humeau, CEO e cofundador da CrowdSec. “É bem sabido que dificilmente é possível rastrear a base de operações de um cibercriminoso decentemente qualificado, uma vez que isolar suas operações é a primeira linha de seu manual. Segundo, os governos não estão dispostos a admitir que fornecem cobertura aos cibercriminosos nos seus países. Terceiro, os cibercriminosos em muitas partes do mundo são geralmente uma mistura de corsários e mercenários, fiéis a qualquer entidade/estado-nação que os financie, mas totalmente expansíveis e negáveis se houver dúvidas sobre a sua afiliação.”
É por isso que, na ausência de um governo que assuma a responsabilidade por um ataque à la grupos terroristas, a maioria das empresas de inteligência contra ameaças irá ressalvar a atribuição patrocinada pelo Estado com frases como “determinamos com baixa/moderada/alta confiança que XYZ está por trás do ataque” e Além disso, diferentes empresas podem determinar diferentes fontes para qualquer ataque. Se é tão difícil para os caçadores profissionais de ameaças cibernéticas identificar os culpados, imagine como é difícil para os avaliadores de seguros cibernéticos operarem com uma fração das habilidades.
Se o padrão para a prova de um acto de guerra for o amplo consenso governamental, isto também levanta problemas, diz Humeau.
“Atribuir com precisão os ataques aos Estados-nação exigiria cooperação jurídica entre países, que tem historicamente provado ser difícil e lenta”, afirma Humeau. “Portanto, a ideia de atribuir estes ataques a Estados-nação que nunca ‘confessarão isso’ deixa muito espaço para dúvidas, do ponto de vista jurídico.”
Uma ameaça existencial ao seguro cibernético?
Na opinião de Thompson, uma das realidades no ambiente atual é o grande volume de atividades cibernéticas patrocinadas pelo Estado em circulação. Bryan Cunningham, advogado e membro do conselho consultivo da empresa de segurança de dados Theon Technology, observa que se cada vez mais seguradoras simplesmente negarem todas as reclamações decorrentes de tal atividade, poderá haver muito poucos pagamentos. E, em última análise, as empresas podem já não considerar que os prémios de seguro cibernético valem a pena.
“Se um número significativo de juízes realmente começar a permitir que as operadoras excluam a cobertura para ataques cibernéticos apenas após a alegação de que um Estado-nação estava envolvido, isso será tão devastador para o ecossistema de seguros cibernéticos quanto o 9 de setembro foi (temporariamente) para o setor imobiliário comercial. ," ele diz. “Como resultado, não creio que muitos juízes acreditarão nisso, e a prova, em qualquer caso, será quase sempre difícil.”
Numa linha diferente, Ilia Kolochenko, arquitecto-chefe e CEO da ImmuniWeb, observa que os cibercriminosos encontrarão uma forma de utilizar as exclusões em seu benefício – minando ainda mais o valor de ter uma política.
“O problema decorre de uma possível personificação de atores conhecidos de ameaças cibernéticas”, diz ele. “Por exemplo, se os cibercriminosos – não relacionados com qualquer Estado – desejarem amplificar os danos causados às suas vítimas, excluindo a eventual cobertura de seguro, podem simplesmente tentar fazer-se passar por um famoso grupo de hackers apoiado pelo Estado durante a sua intrusão. Isto irá minar a confiança no mercado de seguros cibernéticos, uma vez que qualquer seguro pode tornar-se inútil nos casos mais graves que realmente exigem a cobertura e justificam os prémios pagos.”
A questão das exclusões permanece sem solução
Embora o acordo americano Mondelez-Zurique pareça indicar que a seguradora conseguiu, pelo menos parcialmente, defender o seu ponto de vista (ou talvez nenhum dos lados tivesse estômago para incorrer em mais custos legais), há precedentes legais conflitantes.
Outro caso NotPetya entre Merck e ACE American Insurance sobre a mesma questão foi posta de lado em Janeiro, quando o Tribunal Superior de Nova Jersey decidiu que as exclusões de actos de guerra só se estendiam à guerra física no mundo real, resultando no pagamento pelo subscritor de uma quantia avultada de 1.4 mil milhões de dólares em liquidação de sinistros.
Apesar da natureza instável da área, algumas seguradoras cibernéticas estão daqui para frente com exclusões de guerra, principalmente Lloyd's de Londres. Em Agosto, a forte autoridade do mercado disse aos seus sindicatos que estes serão obrigados a excluir a cobertura para ataques cibernéticos apoiados pelo Estado a partir de Abril de 2023. A ideia, observa o memorando, é proteger as companhias de seguros e os seus subscritores de perdas catastróficas.
Mesmo assim, o sucesso de tais políticas continua por ver.
“O Lloyd’s e outras transportadoras estão a trabalhar para tornar essas exclusões mais fortes e absolutas, mas penso que isto também acabará por falhar porque a indústria de seguros cibernéticos provavelmente não conseguirá sobreviver a tais mudanças por muito tempo”, afirma Cunningham, de Theon.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
