Merck gana el reclamo de Not Petya, pero el futuro del seguro de ciberseguridad es complicado

La compañía farmacéutica Merck & Co ganó su caso para la cobertura de las pérdidas incurridas durante el ciberataque Not Petya, asegurando un pago de 1.400 millones de dólares estadounidenses de su compañía de seguros. Anteriormente, la compañía retuvo el dinero, citando políticas de exclusión.

En 2017, NetPetya paralizó los sistemas de TI y las empresas de todo el mundo y afectó a gigantes de la industria global como la empresa de logística Moeller Maersk. La ola de infección comenzó en Ucrania y se cree ampliamente que es de origen ruso. Merck también se vio afectada, citando más de 40,000 computadoras infectadas en su red.

ATAQUE GLOBAL DE RANSOMWARE NOTPETYA – Financial Security Summit

El incidente, argumentó la aseguradora, fue un acto de guerra, que generalmente se excluye de los pagos del seguro. Esto, así como casos similares, incluida la compañía de alimentos Mondelez, han sido observados de cerca por expertos en ciberseguridad. Si esta decisión se hubiera mantenido en contra de los tribunales, habría reducido significativamente la utilidad del seguro de ciberseguridad.

El tribunal argumentó que el reclamo de seguro no podía cancelarse tan fácilmente. La redacción del contrato de seguro tiene por objeto excluir los actos físicos de guerra, no los ciberataques. Como escribió el juez: «[…] Las aseguradoras no hicieron nada para cambiar el lenguaje de la exención para notificar razonablemente a este asegurado que tenía la intención de excluir los ataques cibernéticos. Ciertamente, tenían la capacidad de hacerlo»

.

Las empresas no pueden confiar solo en el seguro de ciberseguridad, si es que pueden obtener uno.

Las pólizas de seguro de ciberseguridad pueden cubrir las pérdidas incurridas durante los ciberataques. Sin embargo, la situación ha cambiado drásticamente desde 2017. En aquel entonces, las compañías de seguros daban pólizas sin muchas condiciones previas, así como una amplia cobertura de pérdidas y acciones restaurativas después de un incidente. Los precios solían ser bastante bajos en los primeros años de tales pólizas, lo que resultó en que muchas compañías adquirieran seguros.

Sin embargo, en el panorama actual de amenazas, es cada vez más difícil para las empresas tener en sus manos una política para empezar. El aumento de los incidentes de ransomware y los costos cada vez mayores de los ciberataques han llevado a las compañías de seguros a elegir a sus clientes con más cuidado. Sin una buena postura de seguridad, es poco probable que el cliente potencial obtenga ninguna cobertura bajo una política de ciberseguridad. E incluso entonces, las pólizas de hoy generalmente tendrán un porcentaje limitado de pérdidas y daños potenciales que estarán cubiertos.

8 de cada 10 empresas van a dedicar más dinero a ciberseguridad | Seguridad  | IT Reseller

Las compañías que pueden comprar dicho seguro generalmente serán más adecuadas para lidiar con la situación, de todos modos. La situación reafirma lo que los expertos en ciberseguridad han estado diciendo desde hace bastante tiempo: no hay una solución fácil para una mejor ciberseguridad. Contratar un seguro por sí solo no ayuda, del mismo modo que un enfoque puramente técnico de la defensa no es suficiente. La gerencia debe involucrarse en el tema estableciendo procesos, capacitando al personal y permitiendo que su propio departamento de TI pueda abordar los desafíos emergentes. Eso significa inversiones, tanto en términos de personas como de dinero.

Enlace: Merck gana el reclamo de Not Petya, pero el futuro del seguro de ciberseguridad es complicado | G DATOS (gdatasoftware.com) Blog de G DATA Hauke Gierow