Siniestros de ciberseguridad – Lecciones aprendidas en 2021
En un mercado de seguros especializados en cyber que está cambiando rápidamente, volviéndose más estricto, caro y selectivo, las revelaciones clave de los casos de 2021 son de particular relevancia para los asegurados. Los aumentos de las primas han sido astronómicos, y conseguir la misma calidad de protección se está tornando cada vez más difícil, incluso para aquellas organizaciones que cuentan con fuertes salvaguardas.
Las decisiones relativas a los siniestros cibernéticos, en el marco de productos de seguros no específicos, han sido en gran medida favorables a los asegurados a lo largo del año, recordando a todos que la cobertura puede encontrarse en todas las líneas de productos a raíz de un siniestro cibernético multifacético. A continuación, se presentan algunos puntos clave de las sentencias de cobertura más importantes del año.
La primera lección es la narrativa «cibernética silenciosa». Una serie de pólizas de seguros comerciales (ya sea D&O, E&O, responsabilidad civil general/CGL, seguro contra robo, property, etc.) pueden proporcionar una cobertura significativa para las pérdidas o siniestros de los asegurados, al menos en una parte sustancial.
La segunda lección es la necesidad de contar con pruebas para respaldar un siniestro. De hecho, un tribunal puede devolver el caso al tribunal de primera instancia para que determine los hechos en cuanto a si el asegurado fue engañado para permitir que el ransomware entrara en su entorno informático. La devolución subraya la importancia de que los asegurados obtengan suficientes detalles en torno al incidente cibernético y el consiguiente daño sufrido.
Como conclusión, luego de haber sufrido un ciberincidente y por una serie de razones, es aconsejable mantener a salvo y conservar información detallada sobre el ataque, incluyendo la forma de entrada, los sistemas y los datos dirigidos, el daño resultante y su duración, y cualquier daño persistente. Los informes informáticos forenses también son útiles para responder las preguntas de los reguladores y las fuerzas del orden tras los incidentes de ciberseguridad.
La tercera lección deriva del rechazo de los tribunales a la frecuente afirmación de las compañías de seguros de que los ciberataques a los sistemas informáticos no implican «pérdidas o daños físicos» a los «bienes cubiertos». El tribunal rechazó, entre otros argumentos, la afirmación de que los bienes cubiertos sólo incluyen los «bienes tangibles», señalando que a los efectos de la cobertura de bienes que tenía ante sí, el supuesto requisito de que los bienes fueran «tangibles» no se encontraba descripto. De hecho, el tribunal rechazó los intentos de calificar los medios de comunicación y otros artículos electrónicos como bienes no cubiertos.
Por lo anteriormente expuesto, los asegurados no deben descartar el hecho de que sus productos de seguro contra delitos, bienes y otros, pueden cubrir los siniestros cibernéticos total o parcialmente. Aunque la cobertura de cyber sigue siendo un producto muy importante para protegerse contra las pérdidas por ataques cibernéticos, no es el único producto de seguro que puede proporcionar cobertura. Por lo tanto, las organizaciones deben asegurarse de considerar la notificación y la presentación de reclamaciones a todas las pólizas de seguros pertinentes en el momento en que se produce un incidente cibernético.
FUENTE: Joshua Gold – Anderson Kill’s New York office, Practicing Law Institute. RIMS WEEKEND READ 12FEB22