El seguro existe para proteger a la parte asegurada contra catástrofes, pero la aseguradora necesita protección para que no se abuse de sus pólizas, y ahí es donde entra la letra pequeña. Sin embargo, en el caso del seguro de ransomware, la letra pequeña se está volviendo polémica y posiblemente socavando la utilidad del seguro de ransomware.
En este artículo, describiremos por qué, particularmente dado el clima actual, las cláusulas de exclusión de guerra están reduciendo cada vez más el valor del seguro de ransomware, y por qué su organización debería centrarse en protegerse a sí misma.
¿Qué es el seguro de ransomware?
En los últimos años, el seguro de ransomware ha crecido como un campo de productos porque las organizaciones están tratando de comprar protección contra los efectos catastróficos de un ataque de ransomware exitoso. ¿Por qué tratar de comprar un seguro? Bueno, un solo ataque exitoso puede acabar con una gran organización o conducir a costos paralizantes: Solo NotPetya provocó un total de $ 10 mil millones en daños.
Los ataques de ransomware son notoriamente difíciles de proteger por completo. Como cualquier otro evento potencialmente catastrófico, las aseguradoras intervinieron para ofrecer un producto de seguro. A cambio de una prima, las aseguradoras prometen cubrir muchos de los daños resultantes de un ataque de ransomware.
Dependiendo de la póliza, una póliza de ransomware podría cubrir la pérdida de ingresos si el ataque interrumpe las operaciones, o la pérdida de datos valiosos, si los datos se borran debido al evento de ransomware. Una póliza también puede cubrirlo por extorsión; en otros, le reembolsará el rescate exigido por el delincuente.
El pago y los términos exactos, por supuesto, se definirán en el documento de la póliza, también llamado «letra pequeña». Críticamente, la letra pequeña también contiene exclusiones, en otras palabras, circunstancias bajo las cuales la póliza no pagará. Y ahí radica el problema.
¿Cuál es el problema con la letra pequeña?
Es comprensible que las aseguradoras necesiten proteger sus fondos de primas contra el abuso. Después de todo, es fácil para un actor contratar un seguro no porque esté buscando protección, sino porque ya tiene un reclamo en mente.
La letra pequeña no es necesariamente algo malo, es una forma en que ambas partes definen los términos del acuerdo para que todos sepan qué se espera y a qué tienen derecho. Dentro del seguro de ransomware, la letra pequeña haría algunas solicitudes razonables.
Por ejemplo, su política requerirá que haga un esfuerzo mínimo para proteger su carga de trabajo contra el ransomware. Después de todo, es razonable esperar que tome precauciones en torno a un ataque. Del mismo modo, es probable que encuentre una cláusula de notificación en su contrato que le obligue a notificar a su aseguradora sobre el ataque en un plazo mínimo.
Otra exclusión común está relacionada con la guerra., donde los aseguradores conservan el derecho a negarse a pagar una reclamación si el daño fue resultado de la guerra o acciones similares a la guerra. Es esta letra pequeña la que actualmente está causando preocupación, por tres razones.
La complejidad de las exclusiones de guerra
Cuando un estado-nación se vuelve contra otro, la guerra cibernética se puede utilizar para infligir daños fuera del ámbito habitual de la guerra. La guerra cibernética puede ser increíblemente indiscriminada, las partes afectadas no son necesariamente organizaciones gubernamentales; podría ser un negocio que se ve atrapado en el fuego cruzado.
Las aseguradoras tienen una razón válida para tratar de excluir este nivel masivo de exposición. Sin embargo, hay un par de problemas. Definir una guerra es el primer problema: ¿cuándo un acto de agresión califica como una actividad relacionada con la guerra? Otra dificultad es la atribución porque los atacantes cibernéticos generalmente hacen todo lo posible por disfrazarse; es poco común que un atacante declare abiertamente su participación en un ataque.
Cuando una organización sufre un ataque de ransomware, ¿cómo prueba la aseguradora, o el reclamante, que una organización específica estuvo detrás de un ataque y, en consecuencia, cuál fue el motivo del ataque, por ejemplo, la guerra? ¿Cómo te enteras? Encontrar pruebas sólidas o, de hecho, cualquier prueba detrás de la atribución es muy difícil.
Solo piense en cuántas veces se dice que los ataques de ransomware son perpetrados por «grupos «. No significa (¿no debería?) que los actores patrocinados por el estado estén detrás del ataque, pero a menudo es tan difícil identificar el origen del ataque que cualquier actor tiene la culpa y, por lo general, es muy difícil o incluso imposible demostrar lo contrario.
Y aquí está la cosa. Las reclamaciones bajo el seguro de ransomware no serán pequeñas: las demandas de rescate suelen ser de millones, mientras que los daños pueden llegar a mil millones de dólares. Por interés propio comprensible, las compañías de seguros intentarán encontrar cualquier motivo posible para negarse a pagar un reclamo.
No es de extrañar entonces que estas afirmaciones sean comúnmente impugnadas en los tribunales.
Puede terminar en la corte
Cuando hay un desacuerdo sobre un reclamo de seguro, el reclamante generalmente recurre a los tribunales. El resultado de estos casos es incierto y puede llevar mucho tiempo encontrar una resolución. Un ejemplo es el caso de Merck contra el seguro Ace American. El caso se refería al ataque NotPetya en el que en junio de 2017 Merck sufrió una gran intrusión de la que tardó meses en recuperarse y que la empresa estimó que le costó 1.400 millones de dólares.
Sin embargo, cuando la empresa intentó reclamar su póliza de seguro «todo riesgo» de 1750 millones de USD, Ace American inicialmente se negó a pagar la reclamación, argumentando que estaba sujeta a una cláusula de exclusión de «actos de guerra». Basó esta afirmación en el hecho de que NotPetya fue desplegada por el gobierno ruso en un acto de guerra contra Ucrania.
El reclamo terminó en la corte poco tiempo después, pero la corte tardó más de tres años en llegar a una decisión, fallando a favor de Merck en esta ocasión, afirmando que Ace American, como muchas otras aseguradoras, no ha cambiado lo suficiente la redacción. en sus exclusiones de póliza para asegurar que el asegurado -Merck- entienda perfectamente que un ataque cibernético lanzado en el contexto de un acto de guerra significaría que la cobertura de la póliza no es válida.
Protegerte es tu primera prioridad
La industria de seguros sabe, por supuesto, que hay una falta de claridad. En un gran paso reciente, la Lloyd’s Market Association, una red de miembros del influyente mercado de Lloyds of London, publicó un conjunto de cláusulas que sus miembros podrían incluir en los términos y condiciones de los productos de ciberseguros.
Estas cláusulas supuestamente harían un mejor esfuerzo para excluir las infracciones de seguridad cibernética relacionadas con la guerra. Pero, nuevamente, puede haber algunos puntos de controversia, siendo la atribución la mayor preocupación.
Dicho esto, existe una probabilidad cada vez mayor de que cualquier seguro de ransomware al que se suscriba no se pague cuando más lo necesite, especialmente si se tiene en cuenta el entorno de seguridad global más elevado de la actualidad.
No significa que el seguro de ciberseguridad no tenga un papel que desempeñar, dependiendo de las primas y el nivel de cobertura, bien puede ser una opción. Pero es una opción de último recurso: sus propios esfuerzos internos para proteger sus activos de TI de ataques siguen siendo su primera línea de defensa y su mejor apuesta.
El mejor seguro: una postura firme en ciberseguridad
Como se mencionó anteriormente, cualquier póliza de seguro de ransomware tendrá requisitos mínimos de seguridad cibernética, condiciones que debe cumplir para garantizar que su póliza pague. Esto podría incluir cosas como copias de seguridad regulares y confiables, así como monitoreo de amenazas.
Nos gustaría sugerirle que vaya más allá y realmente maximice la protección que implementa en todo su patrimonio tecnológico. Obtener capas adicionales de protección, específicamente un vivo, parcheo sin reinicio mecanismos como Empresa KernelCare de TuxCareo Soporte de ciclo de vida extendido para sistemas más antiguos que ya no son compatibles oficialmente. Hacerlo ayuda a solucionar el problema.
Ninguna solución puede brindarle una seguridad hermética, pero puede ayudarlo a alcanzar el objetivo de reducir las ventanas de riesgo al mínimo absoluto, que es lo más cerca posible. Tomar las máximas medidas en términos de protección de sus sistemas ayudará a garantizar que evite una situación en la que reciba una sorpresa desagradable: como descubrir que su seguro no cubre la pérdida de datos.
Así que sí, por supuesto, contrata un seguro que te cubra como último recurso. Pero asegúrese de hacer todo lo posible para proteger su sistema utilizando todas las herramientas disponibles.