0
0
O seguro existe para proteger o segurado contra catástrofes, mas a seguradora precisa de proteção para que suas apólices não sejam abusadas – e é aí que entram as letras miúdas. No entanto, no caso do seguro contra ransomware, as letras miúdas estão se tornando controversas e, sem dúvida, minando a utilidade do seguro contra ransomware.
Neste artigo, descreveremos por que, particularmente, dado o clima atual, as cláusulas de exclusão de guerra estão tornando cada vez mais o seguro de ransomware de valor reduzido – e por que sua organização deve se concentrar em se proteger.
O que é seguro ransomware?
Nos últimos anos, o seguro contra ransomware cresceu como um campo de produtos porque as organizações estão tentando comprar proteção contra os efeitos catastróficos de um ataque de ransomware bem-sucedido. Por que tentar comprar um seguro? Bem, um único ataque bem-sucedido pode praticamente acabar com uma grande organização ou levar a custos incapacitantes – apenas NotPetya levou a um total de US$ 10 bilhões em danos.
Ataques de ransomware são notoriamente difíceis de proteger completamente. Como qualquer outro evento potencialmente catastrófico, as seguradoras intervieram para oferecer um produto de seguro. Em troca de um prêmio, as seguradoras prometem cobrir muitos dos danos resultantes de um ataque de ransomware.
Dependendo da política, uma política de ransomware pode cobrir a perda de renda se o ataque interromper as operações ou a perda de dados valiosos, se os dados forem apagados devido ao evento de ransomware. Uma apólice também pode cobri-lo por extorsão – em outros, reembolsará o resgate exigido pelo criminoso.
O pagamento e os termos exatos serão, é claro, definidos no documento de política, também chamado de “impressão fina”. Criticamente, as letras miúdas também contêm exclusões, em outras palavras, circunstâncias em que a política não será paga. E aí está o problema.
Qual é o problema com letras miúdas?
É compreensível que as seguradoras precisem proteger seus pools de prêmios contra abuso. Afinal, é fácil para um ator se inscrever no seguro não porque esteja buscando proteção, mas porque já tem uma reivindicação em mente.
A impressão digital não é necessariamente uma coisa ruim, é uma maneira de ambas as partes definirem os termos do acordo para que todos saibam o que é esperado e a que têm direito. Dentro do seguro de ransomware, as letras miúdas fariam algumas solicitações razoáveis.
Por exemplo, sua política exigirá que você faça esforços mínimos para proteger sua carga de trabalho contra ransomware. Afinal, é razoável esperar que você tome precauções em torno de um ataque. Da mesma forma, você provavelmente encontrará uma cláusula de notificação em seu contrato que exige que você notifique sua seguradora sobre o ataque dentro de um prazo mínimo.
Outra exclusão comum é relacionada à guerra, onde as seguradoras mantêm o direito de se recusar a pagar uma reivindicação se o dano foi resultado de guerra ou ações semelhantes à guerra. É essa letra fina que está causando preocupação no momento, por três razões.
A complexidade das exclusões de guerra
Quando um estado-nação se volta contra outro, a guerra cibernética pode ser usada para infligir danos fora do reino habitual da guerra. A guerra cibernética pode ser incrivelmente indiscriminada, as partes afetadas não são necessariamente organizações governamentais – pode ser um negócio que está preso no fogo cruzado.
As seguradoras têm motivos válidos para tentar excluir esse enorme nível de exposição. No entanto, há alguns problemas. Definir uma guerra é a primeira questão – quando um ato de agressão se qualifica como uma atividade relacionada à guerra? Outra dificuldade é a atribuição porque os atacantes cibernéticos geralmente tentam o seu melhor para se disfarçar – é incomum que um atacante declare abertamente seu envolvimento em um ataque.
Quando uma organização sofre de um ataque de ransomware, como a seguradora – ou o requerente – prova que uma organização específica estava por trás de um ataque e, consequentemente, qual foi a motivação para o ataque – por exemplo, guerra? Como você descobre? Encontrar provas concretas ou mesmo qualquer prova por trás da atribuição é muito desafiador.
Basta pensar em quantas vezes os ataques de ransomware são supostamente perpetrados por “<inserir nome do estado aqui> grupos”. Não (não deveria?) significa que os atores patrocinados pelo estado estão por trás do ataque, mas muitas vezes é tão difícil identificar a origem do ataque que qualquer ator é o culpado e geralmente é muito difícil ou até impossível provar o contrário.
E aqui está a coisa. As reivindicações sob o seguro de ransomware não serão pequenas – as demandas de resgate geralmente são de milhões, enquanto os danos podem chegar a um bilhão de dólares. Por interesse próprio compreensível, as companhias de seguros tentarão encontrar qualquer motivo possível para se recusar a pagar uma reivindicação.
Não é de admirar, então, que essas alegações sejam comumente contestadas – em tribunal.
Pode simplesmente acabar no tribunal
Quando há um desacordo sobre uma reivindicação de seguro, o requerente normalmente recorreria aos tribunais. O resultado desses casos é incerto e pode levar muito tempo para encontrar uma solução. Um exemplo é o caso da Merck contra o seguro Ace American. O caso se referia ao ataque de NotPetya, onde, em junho de 2017, a Merck sofreu uma grande intrusão da qual levou meses para se recuperar, e que a empresa estimou US$ 1,4 bilhão.
No entanto, quando a empresa tentou reivindicar sua apólice de seguro de “todo risco” de US$ 1,75 bilhão, a Ace American inicialmente se recusou a pagar a reivindicação, argumentando que estava sujeita a uma cláusula de exclusão de “Atos de Guerra”. Baseou essa afirmação no fato de que NotPetya foi enviado pelo governo russo em um ato de guerra contra a Ucrânia.
A reivindicação acabou no tribunal pouco tempo depois, mas levou mais de três anos para que o tribunal chegasse a uma decisão – decidindo a favor da Merck nesta ocasião, afirmando que a Ace American, como muitas outras seguradoras, não mudou suficientemente a redação em suas exclusões de apólice para garantir que o segurado – Merck – entendesse plenamente que um ataque cibernético lançado no contexto de um a
Proteger-se é a sua primeira prioridade
O setor de seguros sabe, é claro, que há falta de clareza. Em um passo importante recente, a Lloyd’s Market Association, uma rede de membros do influente mercado Lloyds of London, publicou um conjunto de cláusulas que seus membros poderiam incluir nos termos e condições dos produtos de seguro cibernético.
Essas cláusulas supostamente fariam um esforço melhor para excluir violações de segurança cibernética relacionadas à guerra. Mas, novamente, pode haver alguns pontos de discórdia – sendo a atribuição a maior preocupação.
Dito isto, há uma probabilidade crescente de que qualquer seguro de ransomware que você subscreva possa não pagar quando você mais precisa – especialmente ao levar em conta o ambiente de segurança global aumentado de hoje.
Isso não significa que o seguro de segurança cibernética não tenha um papel a desempenhar, dependendo dos prêmios e do nível de cobertura, pode muito bem ser uma opção. Mas é uma opção de último recurso: seus próprios esforços internos para proteger seus ativos de TI contra ataques continuam sendo sua primeira linha de defesa – e sua melhor aposta.
O melhor seguro: uma postura firme de segurança cibernética
Como mencionado anteriormente, qualquer apólice de seguro de ransomware terá requisitos mínimos de segurança cibernética em vigor – condições que você precisa atender para garantir que sua apólice pague. Isso pode incluir coisas como backups regulares e confiáveis, bem como monitoramento de ameaças.
Gostaríamos de sugerir que você vá mais longe e realmente maximize a proteção que você coloca em prática em toda a sua propriedade tecnológica. Coloque em prática camadas adicionais de proteção, especificamente mecanismos de patch ao vivo e sem reinicialização, como o KernelCare Enterprise do TuxCare, ou suporte ao Ciclo de Vida Estendido para sistemas mais antigos que não são mais suportados oficialmente. Fazer isso ajuda a resolver o problema.
Nenhuma solução pode fornecer segurança hermética, mas pode ajudá-lo a alcançar o objetivo de reduzir as janelas de risco ao mínimo absoluto, o que é o mais próximo possível. Tomar o máximo de ações em termos de proteção de seus sistemas ajudará a garantir que você evite uma situação em que tenha uma surpresa desagradável: como descobrir que seu seguro não está cobrindo sua perda de dados.
Então, sim, por todos os meios, faça um seguro para cobri-lo como último recurso. Mas certifique-se de fazer tudo o que puder para proteger seu sistema usando todas as ferramentas disponíveis.
FONTE: THE HACKER NEWS