O seguro cibernético não cobre os atos de guerra. Mas mesmo apesar do crescimento do número de ataques cibernéticos, a definição de ações “militares” permanece embaçada.
Salve esta história
Salve esta história
Este verão faz cinco anos desde o ataque cibernético mais caro da história: o programa malicioso Notpetya, publicado pela Rússia em junho de 2017, sistemas de computadores com deficiência de empresas e instituições estatais em todo o mundo, causando danos até 10 bilhões de dólares como resultado de Perda de negócios, reparo e outras falhas operacionais. Meios anos depois, as empresas afetadas por Notpetya ainda são versadas em quem pagará essas despesas significativas em uma série de disputas judiciais, que terão sérias conseqüências para o rápido desenvolvimento da indústria de seguro cibernético, bem como para um número de ciberciais que cresce rapidamente Patrocinado pelo Estado que apaga a beira entre o ciberismo cibernético e o governo comum.
Cortesia da imprensa do MIT
Você pode comprar este livro no site:
Se você comprar algo dos links em nossos artigos, podemos obter uma comissão. Isso ajuda a apoiar nosso jornalismo. Consulte Mais informação
A cobertura das despesas associadas a ataques cibernéticos depende parcialmente da capacidade de atrair diferenças claras nesse espaço embaçado: quando no início deste ano hackers do governo russo atacaram a rede elétrica ucraniana, esse foi um ato de guerra, já que os dois países já estava em guerra? E quando a Rússia invadiu a rede elétrica da Ucrânia em 2015, ou quando hackers pr ó-russos atacaram servidores em países como EUA, Alemanha, Lituânia e Noruega, porque apoiaram a Ucrânia? O esclarecimento de quais desses tipos de intrusões são os “militares” não é uma questão acadêmica para as vítimas e suas seguradoras – às vezes depende disso, que acabará por pagar por elas. E quanto mais países como a Rússia usam suas capacidades cibernéticas ofensivas, mais difícil e importante se torna desenhar e determinar quem deve cobrir as despesas.
Quando há mais de 20 anos, as seguradoras começaram a oferecer políticas que cobrem despesas associadas aos distúrbios de segurança do computador, foi prometido que a indústria tornaria o mesmo para a segurança cibernética da mesma forma que para outros tipos de riscos, como acidentes de automóveis, incêndios ou assaltos . Em outras palavras, o seguro cibernético deveria proteger os segurados de alguns dos custos de curto prazo mais onerosos associados a esses eventos e, ao mesmo tempo, forçam as mesmas seguradoras a introduzir métodos avançados (cintos, detectores de fumaça, câmaras de vigilância) para Reduza a probabilidade desses riscos. No entanto, o setor não atingiu esse objetivo, em muitos casos, não ajudou as empresas a hackers, a cobrir os custos de grandes ataques cibernéticos, como a NOTPETYA e ajudar as empresas a reduzir sua suscetibilidade ao cibernício.
Obviamente, o seguro cibernético ajudou as organizações a cobrir as despesas associadas a vários vazamentos de dados e incidentes no campo da segurança cibernética, incluindo, em alguns casos, grandes compradores pagos diretamente aos criminosos. Mas quando se tratava de Notpetya – software malicioso, tão destrutivo que a Casa Branca mais tarde a chamou de “o ataque cibernético mais destrutivo e caro da história”, os afetados, incluindo a Mondelez Transnational Food Corporation e a empresa farmacêutica Merck, dificilmente podia compensar suas perdas para companhias de seguros. Em agosto de 2018, a Merck entrou com uma ação contra várias seguradoras e resseguradoras, exigindo compensação por perdas relacionadas a Notpetya, no valor de US $ 1, 4 bilhão e, em dezembro de 2021, o Tribunal de Nova Jersey tomou uma decisão a favor de uma empresa farmacêutica. Em outubro de 2018, Mondelez apresentou uma queixa semelhante contra sua seguradora de Zurique no valor de US $ 100 milhões como parte do caso, que ainda está em andamento. Suas seguradoras argumentaram que, como vários governos atribuíram Notpetya ao governo russo, Kiberatak era “ação hostil ou militar” pelo governo e, portanto, foi excluída do revestimento de propriedades e perdas de empresas de acordo com as exceções padrão relacionadas à guerra.
Estas exclusões são anteriores aos ataques cibernéticos e permaneceram praticamente inalteradas, mesmo quando as apólices de seguro de propriedades e acidentes começaram a incluir cobertura para danos a dados e software causados por malware. O caso NotPetya foi a primeira vez que as seguradoras tentaram invocar estas exclusões para evitar pagar por um ataque cibernético. Este foi um teste importante para as seguradoras e os seus segurados porque o ataque foi dispendioso e atribuído de forma clara e definitiva ao governo nacional de muitos países. Isso significava que havia muito dinheiro em jogo para as seguradoras, bem como um forte argumento de que o NotPetya não era um malware comum, mas algo semelhante à guerra.
A atribuição do NotPetya ao governo russo foi significativa porque em anteriores disputas de seguros sobre exclusões relacionadas com a guerra, a questão de saber se um poder soberano estava por detrás do ataque assumiu maior importância. Por exemplo, as seguradoras tentaram – e não conseguiram – argumentar que o sequestro do voo 093 da Pan Am em 1970 pela Frente Popular para a Libertação da Palestina (FPLP) foi um acto de guerra para fins de seguros. Contudo, em 1973, o tribunal rejeitou este argumento, em parte porque a FPLP “não era um governo de facto”, e ordenou às seguradoras que pagassem o valor total da aeronave destruída: 24. 288. 759 dólares. Ainda em 2014, quando a Universal teve que transferir as filmagens de sua série de televisão “Hoof” de Jerusalém devido aos ataques com foguetes do Hamas na região, a seguradora do estúdio insistiu que os custos de interrupção e realocação não poderiam ser recuperados pelo seguro da Universal, uma vez que os ataques se enquadram no âmbito do seguro da Universal. a exclusão da guerra da política. A seguradora também perdeu esse caso: em 2019, o Nono Circuito decidiu que a exceção à regra se aplica apenas a “atos de guerra entre governos, de jure ou de facto”.
