Zurich se niega a cubrir los ataques cibernéticos en sus pólizas

En Ucrania, un ataque cibernético puede significar una noche helada sin energía. Pero en los Estados Unidos, a menudo parece solo una molestia más inevitable de la vida moderna. La gente cambia algunas contraseñas, tal vez se registre para monitorear su crédito y luego continúe con su vida. Pero para las organizaciones en el lado receptor: Target, Equifax, la Oficina de Administración de Personal del gobierno federal, por nombrar algunas, un ataque cibernético puede significar luchar para que los sistemas vuelvan a estar en línea, configurar salas de guerra de respuesta y, por supuesto, pagando enormes facturas por pedidos perdidos o nuevos equipos.

Y es posible que las empresas estadounidenses ya no puedan confiar en el seguro para cubrir sus pérdidas. En una era de ataques cibernéticos incesantes, incluidos los casos de piratería patrocinada por el estado, las compañías de seguros están empezando a reinterpretar una antigua línea en sus contratos conocida como la “exclusión de guerra”. Eliminando la connotación metafórica del término “guerra cibernética” Las aseguradoras como Zurich Insurance han decidido que los ataques patrocinados por el estado son básicamente una simple guerra. Este cambio se produce a medida que el gobierno de los EE. UU. atribuye cada vez más los ataques cibernéticos patrocinados por el estado a sus presuntos autores, un desarrollo que, según algunos, es un medio para responsabilizar a los malos actores.

Pero la política ciertamente no parece estar haciendo ningún favor al sector privado.

El New York Times completó la nueva estrategia legal de las compañías de seguros en un artículo reciente sobre los problemas de Modelez International, el fabricante de galletas Oreo y otros pilares de la industria de los snacks. Con sede en los suburbios de Chicago, Mondelez estuvo entre las cientos de compañías afectadas en el llamado ataque “NotPetya” de 2017. The Times informó que Mondelez esperaba que sus más de $ 100 millones en pérdidas estuvieran cubiertas por su póliza de seguro de Zurich. Pero Zurich rechazó la afirmación de Mondelez, citando una exclusión por “acción hostil o bélica en tiempo de paz o guerra … por cualquier gobierno o poder soberano”, según la denuncia presentada por Mondelez en la corte el pasado otoño, que obtuvo el Negocio de Chicago de Crain.

En febrero de 2018, la Casa Blanca atribuyó el ataque de NotPetya a los militares rusos, calificándolo de “el ciberataque más destructivo y costoso de la historia”. Al culpar a los rusos, el gobierno le dio a Zurich una apertura, pero no necesariamente un argumento hermético: ” La invocación de una exclusión de ‘acción hostil o de guerra’ para negar la cobertura de incidentes maliciosos ‘cibernéticos’ fue … sin precedentes “, afirmó la queja de Mondelez. “La supuesta aplicación de este tipo de exclusión a cualquier otra cosa que no sea el conflicto armado convencional o las hostilidades no tiene precedentes”.

“Todavía no tenemos una idea clara de cómo se ve la guerra cibernética”, dijo el asesor de riesgo cibernético Jake Olcott al Times. “Esa es una de las luchas en este caso. Nadie ha dicho que esta fue una guerra cibernética de Rusia “.

Atribuir un ataque cibernético a un país sospechoso puede llevar semanas o meses de análisis minucioso. Pero los ataques cibernéticos son una forma de bajo costo para que países como Rusia, China, Corea del Norte e Irán logren sus objetivos, argumentó el director de inteligencia nacional en un documento de 2018. Y continuarán participando en ataques cibernéticos “a menos que enfrenten repercusiones claras por tales acciones”. (Se sabe que Estados Unidos también libra una guerra cibernética). En el caso de NotPetya, el objetivo de los supuestamente rusos del ciberataque era a una empresa ucraniana de software. El malware luego se extendió a redes de todo el mundo, incluso a Mondelez.

La pregunta para Zurich es si la cadena de eventos que llevó a NotPetya a derribar la red de Mondelez califica como guerra. Un fallo judicial a su favor podría hacer que la guerra cibernética sea mucho más real y costosa.
Fuente:Bulletin of the Atomic Scientists. The New York Times