Implicaciones de la sentencia de Merck para los ciberseguros y los tomadores
En junio de 2017, una pequeña vulnerabilidad en un software de contabilidad ucraniano dio lugar a uno de los ciberataques posiblemente más destructivos y dañinos de todos los tiempos: el NotPetya. Una de sus víctimas más reconocidas fue el gigante farmacéutico estadounidense Merck, que sufrió casi 870 millones de dólares en daños y 400 millones en pérdidas de ventas como consecuencia directa del ataque.
Tras el ataque, Merck presentó una reclamación. Para sorpresa de la empresa, su aseguradora, Ace Insurance (Ace), no hizo efectiva la póliza a pesar de que debía cubrir «todos los riesgos». Ace alegó que, al tratarse de un «acto de guerra» (por parte de Rusia), una aseguradora estadounidense se encuentra exenta de cubrir los daños relacionados. Sin embargo, en una reciente sentencia histórica, un tribunal de apelación estadounidense rechazó los argumentos de Ace y concedió a Merck una indemnización de 1.400 millones de dólares.
¿Cómo afecta esta sentencia a las aseguradoras?
El mensaje subyacente para todas las aseguradoras es que deben ser sumamente claras sobre las exclusiones y las condiciones de las pólizas.Si los gobiernos son incapaces de atribuir oficialmente los ciberataques a naciones deshonestas, es muy poco probable que las entidades aseguradoras puedan demostrarlo en los tribunales sin la mención explícita de las exclusiones de ciberseguridad.
Varios proveedores de seguros, como Lloyd’s of London, ya han empezado a endurecer sus condiciones y a revisar el lenguaje de los contratos.
El ciberseguro se ha convertido en un negocio de alta gravedad con alta frecuencia, pero esta sentencia ha dejado meridianamente la preparación para niveles de riesgo aún mayores por parte de las aseguradoras.Muy probablemente, en los próximos meses, el sector de seguros sea testigo de controles aún más estrictos, primas más elevadas y límites de cobertura más bajos. Es más, la cobertura adecuada puede llegar a ser denegada a aquellas empresas con infraestructuras críticas que puedan sufrir impactos de alta magnitud, repercutiendo en una economía o en una región concreta.
Puntos clave para los asegurados
La sentencia de Merck significa una importante victoria para los asegurados, ya que la mayoría de las pólizas contienen términos confusos como, por ejemplo, la exclusión por «acto de guerra». La sentencia garantiza una mayor transparencia en las exenciones de las aseguradoras, evitando la restricción de cobertura más allá de lo acordado entre las partes.
Algunas conclusiones:
En primer lugar, contar con la protección adecuada. El seguro es sólo una estrategia alternativa. La ciberseguridad es un problema demasiado grande para que los gobiernos y los reguladores lo resuelvan solos. Afortunadamente, gracias a la aparición de la tecnología nube, la seguridad se ha vuelto más accesible para las empresas. Las organizaciones ya no deben tener tanto compromiso con el mantenimiento del hardware y del software de seguridad, aprovechando modelos de mitigación del ransomware cómo SASE (secure access service edge), que ofrece seguridad como servicio en la nube, sin un gasto de capital inicial significativo.
En segundo lugar, se encuentra presente el argumento sobre el aumento de la probabilidad de pago a los extorsionadores ante un ataque de ransomware, si se cuenta con con un ciberseguro, ya que, en última instancia, las pérdidas estarán cubiertas. Las pruebas sugieren que los atacantes podrían seleccionar a las víctimas en función de su nivel de cobertura de seguro. Una póliza de seguro obligará a los asegurados a instalar controles específicos para la reducción de la superficie de ataque.
FUENTE: www.propertycasualty360.com