Mayor daño cibernético – CrowdStrike

Es probable que los daños asegurados por la falla de CrowdStrike sean los mayores provocados por un solo evento cibernético desde NotPetya en 2017, con estimaciones iniciales en el rango de mil millones de dólares, de un dígito medio a alto, según algunos corredores y algunas agencias de calificación. 

De acuerdo con Aon, es probable que este sea el evento de daños de acumulación cibernética más importante desde NotPetya en 2017. Sin embargo, el quantum de daño  global es actualmente incierto.

Fitch dijo que «las estimaciones preliminares del mercado de daños asegurados globales, que oscilan entre los mil millones de dólares, de un dígito medio y alto, no se traducirán en un impacto material para las (re)aseguradoras, si bien se encuentran sujetas a las reclamaciones y a los litigios en curso».

Aon señaló que la cantidad de daños dependerá de la prevalencia de la cobertura por fallos del sistema, muy variada en el mercado cibernético, y del tiempo que hayan demorado las empresas en la resolución del problema, en comparación con los periodos de carencia de sus pólizas cibernéticas.

En su opinión, la interrupción del servicio causada por la actualización de CrowdStrike es un evento no doloso, por lo que la cobertura por fallo del sistema de las pólizas cibernéticas será el desencadenante del daño pertinente.

Se espera que la interrupción del negocio -pérdida de ingresos y gastos adicionales incurridos- debida al fallo del sistema, sea la parte más directamente afectada, sujeta a los periodos de carencia aplicables.

Los costos dependientes de la interrupción del negocio, de la restauración de datos, de la respuesta a incidentes y del cierre voluntario pueden, asimismo, ser aplicables y contributivos a los daños asegurados.

evento pone de manifiesto la necesidad de una mayor transparencia en las concesiones de cobertura por fallo del sistema, en los periodos de espera y, en general, en un enfoque más granular para el seguimiento de los elementos de cobertura más importantes para la supervisión de las agregaciones a nivel de cartera», dijo Aon.

Aon ha analizado varias de las principales formulaciones de ciberseguros y ha descubierto una serie de enfoques para la cobertura desencadenada por fallos del sistema o por eventos no maliciosos, tal el caso de la interrupción de CrowdStrike. Algunas de las principales aseguradoras lo ofrecen como parte de su formulario estándar, mientras que otras no.

«Entendemos que la desviación de los formularios estándar es común, por ejemplo, para añadir regularmente la cobertura desencadenada por fallos del sistema como un endoso, o por el contrario, para restringir la cobertura de los riesgos y de las industrias de especial riesgo, por ejemplo, las compañías aéreas, que en este caso y en anteriores eventos de fallo del sistema, incurren en costes masivos inmediatamente al contar con sus sistemas fuera de servicio», dijo Aon.

Explicó que, en lo que respecta a los periodos de carencia por interrupción de la actividad, en las pólizas cibernéticas suele aplicarse una franquicia temporal. Las franquicias estándar oscilan entre 8 y 12 horas, pero pueden ser de 6 o de 24 horas, ya que se negocian caso por caso, según Aon.

Añadió que la cobertura de BI suele cubrir la pérdida de ingresos y los gastos extraordinarios sufridos durante el periodo de interrupción hasta el restablecimiento, tras cualquier periodo de espera aplicable. De esta manera, mientras que algunas empresas e industrias incurren inmediatamente en gastos,como en el caso de las aerolíneas,otras, como los minoristas de comercio online, pierdn  inmediatamente sus ingresos frente a sus competidores. Existen también empresas que no enfrentarán tales pérdidas inmediatas de ingresos, debido a la naturaleza de sus flujos de ingresos, dado que pueden ser aplicables soluciones manuales. 

Adicionalmente al impacto «primario» esperado en la cobertura de interrupción del negocio, los asegurados dependientes de otros negocios que han experimentado este tipo de interrupción, han sufrido un impacto secundario o contingente en su capacidad de generación de ingresos o de gastos adicionales. A modo de ejemplo, los clientes de cualquier proveedor de servicios de software gestionado (MSSP) afectado», dijo Aon.

Según Fitch, los ramos de seguros más afectados serán los de interrupción de la actividad empresarial, de interrupción contingente de la actividad empresarial y de la cibernética. También se verán afectadas varias líneas más pequeñas, como los seguros de viaje, de cancelación de eventos y de errores y omisiones tecnológicos. No obstante,  Fitch subraya la variación considerable de las condiciones de las pólizas entre regiones, sectores y ramos.

Añadió que sectores como el de los hospitales y el de las aerolíneas se verán más afectados, dado su requerimiento de disponibilidad de TI 24 horas al día, 7 días a la semana, careciendo, muy a menudo, de redundancias sólidas. Agregó que las regiones APAC y EMEA han visto más afectada su jornada laboral por el apagón, a diferencia de América, que tuvo una solución aunque requiriera del acceso físico a las máquinas y, en algunos casos, del acceso a una clave de recuperación.

Acrisure London Wholesale afirma que la mayor parte de las pólizas cibernéticas incluyen disparadores para eventos maliciosos y no maliciosos, y que la cobertura de interrupción del negocio y del negocio dependiente suele ser extensible  a incidentes de proveedores de TI. Algunas pólizas cibernéticas también contemplan la cobertura de interrupción del negocio dependiente para proveedores no informáticos, dijo el corredor.

Es altamente probable que el evento se haya sentido con menor intensidad en el ámbito de las grandes y medianas empresas. Es por esto que las aseguradoras deberán idear un plan para la gestión y para el abordaje de estas exposiciones, sin el retiro de coberturas que son claramente cruciales para los compradores.

FUENTE: www.commercialriskonline.com