0
0
A Mondelez International, fabricante de Oreos e Ritz Crackers, fechou um processo contra sua seguradora cibernética depois que o provedor se recusou a cobrir uma conta de limpeza multimilionária decorrente do ataque de ransomware NotPetya em 2017.
A gigante dos lanches originalmente moveu o processo contra a Zurich American Insurance em 2018, depois que a NotPetya concluiu seu ciberrastreamento global de grandes corporações multinacionais, e o caso foi encerrado no tribunal . Os termos do acordo não foram divulgados, mas um “acordo” indicaria uma resolução de compromisso – ilustrando o quão espinhosa podem ser as cláusulas de exclusão de seguro cibernético.
NotPetya: Ato de Guerra?
O processo dependia dos termos do contrato na apólice de seguro cibernético – especificamente, uma exclusão por danos causados por atos de guerra.
O NotPetya , que o governo dos EUA em 2018 apelidou de “ataque cibernético mais destrutivo e caro da história”, começou comprometendo os alvos ucranianos antes de se espalhar globalmente, impactando empresas em 65 países e custando bilhões em danos. Ele se espalhou rapidamente graças ao uso do exploit de worming EternalBluena cadeia de ataque, que é uma arma vazada da NSA que permite que o malware se autopropague de sistema para sistema usando compartilhamentos de arquivos SMB da Microsoft. Entre as vítimas notáveis do ataque estão a FedEx, a gigante do transporte marítimo Maersk e a gigante farmacêutica Merck, entre muitas outras.
No caso da Mondelez, o malware bloqueou 1.700 de seus servidores e impressionantes 24.000 laptops, deixando a corporação incapacitada e sofrendo mais de US$ 100 milhões em danos, tempo de inatividade, lucros cessantes e custos de remediação.
Como se isso não fosse difícil o suficiente para engolir, a comida kahuna logo se viu engasgada com a resposta da Zurich American quando apresentou uma reclamação de seguro cibernético: o subscritor não tinha intenção de cobrir os custos, citando a cláusula de exclusão acima mencionada que incluía a linguagem “ação hostil ou bélica em tempo de paz ou guerra” por um “governo ou poder soberano”.
Graças à atribuição do NotPetya pelos governos mundiais ao estado russo e à missão original do ataque para atingir um conhecido adversário cinético de Moscou, a Zurich American tinha um caso – apesar do fato de que o ataque da Mondelez certamente foi um dano colateral não intencional.
No entanto, Mondelez argumentou que o contrato da Zurich American deixou algumas migalhas disputadas na mesa, por assim dizer, dada a falta de clareza sobre o que poderia e não poderia ser coberto em um ataque. Especificamente, a apólice de seguro declarava claramente que cobriria “todos os riscos de perda ou dano físico” – ênfase em “todos” – “dados eletrônicos, programas ou software, incluindo perdas ou danos causados pela introdução maliciosa de um código de máquina ou instrução.” É uma situação que o NotPetya encarna perfeitamente.
Caroline Thompson, chefe de subscrição da Cowbell Cyber, fornecedora de seguros cibernéticos para pequenas e médias empresas (SMBs), observa que a falta de uma formulação clara da apólice de seguro cibernético deixou a porta aberta para o apelo da Mondelez – e deve agir como uma mensagem de advertência a outros negociando a cobertura.
“O escopo da cobertura e a aplicação de exclusões de guerra continuam sendo uma das áreas mais desafiadoras para as seguradoras, à medida que as ameaças cibernéticas continuam a evoluir, as empresas aumentam sua dependência de operações digitais e as tensões geopolíticas continuam a ter um impacto generalizado”, diz ela a Dark Leitura. “É fundamental que as seguradoras estejam familiarizadas com os termos de sua apólice e busquem esclarecimentos quando necessário, mas também optem por políticas cibernéticas modernas que possam evoluir e se adaptar no ritmo de seus riscos e exposições”.
Exclusões de guerra
Há uma questão gritante em fazer com que as exclusões de guerra sejam válidas para o seguro cibernético: a dificuldade em provar que os ataques são de fato “atos de guerra” – um fardo que geralmente exige determinar em nome de quem eles são realizados.
No melhor dos casos, a atribuição é mais uma arte do que uma ciência, com um conjunto variável de critérios sustentando qualquer apontar dedo confiante. As justificativas para a atribuição de ameaças persistentes avançadas (APT) geralmente dependem de muito mais do que artefatos de tecnologia quantificáveis ou sobreposições na infraestrutura e ferramentas com ameaças conhecidas.
Critérios mais delicados podem incluir aspectos como vitimologia (ou seja, os alvos são consistentes com os interesses do estado e objetivos políticos?; o assunto das iscas de engenharia social ; linguagem de codificação; nível de sofisticação (o invasor precisa ter bons recursos? eles usam um dia zero caro?) e motivo (o ataque é voltado para espionagem , destruição ou ganho financeiro?) Há também a questão das operações de bandeira falsa , onde um adversário manipula essas alavancas para enquadrar um rival ou adversário.
“O que é chocante para mim é a ideia de verificar se esses ataques podem ser razoavelmente atribuídos a um estado – como?” diz Philippe Humeau, CEO e cofundador da CrowdSec. “É bem sabido que dificilmente você pode rastrear a base de operações de um cibercriminoso decentemente habilidoso, já que o air-gapping de suas operações é a primeira linha de seu manual. Dois, os governos não estão dispostos a admitir que fornecem cobertura para os cibercriminosos em suas Três, os cibercriminosos em muitas partes do mundo são geralmente uma mistura de corsários e mercenários, fiéis a qualquer entidade/estado-nação que os esteja financiando, mas totalmente expansíveis e negáveis se houver dúvidas sobre sua afiliação.”
É por isso que, na ausência de um governo assumindo a responsabilidade por um ataque a la grupos terroristas, a maioria das empresas de inteligência de ameaças ressalva a atribuição patrocinada pelo estado com frases como “determinamos com baixa/moderada/alta confiança que XYZ está por trás do ataque” e , para começar, diferentes empresas podem determinar diferentes fontes para qualquer ataque. Se é tão difícil para os caçadores de ameaças cibernéticas profissionais identificar os culpados, imagine como é difícil para os avaliadores de seguros cibernéticos operarem com uma fração das habilidades.
Se o padrão para a prova de um ato de guerra é um amplo consenso governamental, isso também traz problemas, diz Humeau.
“Atribuir com precisão os ataques aos estados-nação exigiria cooperação legal entre países, que historicamente provou ser difícil e lenta”, diz Humeau. “Portanto, a ideia de atribuir esses ataques a Estados-nação que nunca ‘confessarão’ deixa muito espaço para dúvidas, legalmente falando”.
Uma ameaça existencial ao seguro cibernético?
Para Thompson, uma das realidades no ambiente de hoje é o grande volume de atividade cibernética patrocinada pelo Estado em circulação. Bryan Cunningham, advogado e membro do conselho consultivo da empresa de segurança de dados Theon Technology, observa que, se mais e mais seguradoras simplesmente negarem todas as reivindicações decorrentes de tal atividade, poderia haver muito poucos pagamentos. E, em última análise, as empresas podem não ver mais os prêmios de seguro cibernético valendo a pena.
“Se um número significativo de juízes realmente começar a permitir que as operadoras excluam a cobertura para ataques cibernéticos apenas com a alegação de que um estado-nação estava envolvido, isso será tão devastador para o ecossistema de seguros cibernéticos quanto o 11 de setembro foi (temporariamente) para imóveis comerciais. ,” ele diz. “Como resultado, não acho que muitos juízes vão comprar isso, e a prova, de qualquer forma, quase sempre será difícil.”
Em uma veia diferente, Ilia Kolochenko, arquiteta-chefe e CEO da ImmuniWeb, observa que os cibercriminosos encontrarão uma maneira de usar as exclusões a seu favor – minando ainda mais o valor de ter uma política.
“O problema decorre de uma possível representação de atores conhecidos de ameaças cibernéticas”, diz ele. “Por exemplo, se os cibercriminosos – não relacionados a nenhum estado – desejam amplificar os danos causados às suas vítimas excluindo a eventual cobertura de seguro, eles podem simplesmente tentar se passar por um famoso grupo de hackers apoiado pelo estado durante sua invasão. mercado de seguros cibernéticos, pois qualquer seguro pode se tornar fútil nos casos mais graves que realmente exigem a cobertura e justificam os prêmios pagos.”
A questão das exclusões permanece indefinida
Mesmo que o acordo americano Mondelez-Zurique pareça indicar que a seguradora conseguiu, pelo menos parcialmente, defender seu ponto de vista (ou talvez nenhum dos lados tenha estômago para incorrer em mais custos legais), há precedentes legais conflitantes.
Outro caso NotPetya entre a Merck e a ACE American Insurance sobre a mesma questão foi encerrado em janeiro, quando o Tribunal Superior de Nova Jersey decidiu que as exclusões de atos de guerra se estendem apenas à guerra física do mundo real, resultando no subscritor pagando uma quantia enorme US$ 1,4 bilhão servindo de liquidação de sinistros.
Apesar da natureza instável da área, algumas seguradoras cibernéticas estão avançando com exclusões de guerra, principalmente o Lloyd’s de Londres . Em agosto, o forte do mercado disse a seus sindicatos que eles seriam obrigados a excluir a cobertura para ataques cibernéticos apoiados pelo Estado a partir de abril de 2023. A ideia, observou o memorando, é proteger as seguradoras e seus subscritores de perdas catastróficas.
Mesmo assim, o sucesso de tais políticas continua a ser visto.
“A Lloyd’s e outras operadoras estão trabalhando para tornar essas exclusões mais fortes e absolutas, mas acho que isso também falhará porque o setor de seguros cibernéticos provavelmente não sobreviverá a essas mudanças por muito tempo”, diz Cunningham, da Theon.
FONTE: DARK READING