Un gigante farmacéutico fue víctima de un virus informático y consiguió esta millonaria indemnización
Un fallo judicial a favor del gigante farmacéutico Merck en una disputa legal con las aseguradoras sobre la cobertura de u$s1.400 millones de dólares por las pérdidas que sufrió por el código malicioso («malware») conocido como NotPetya obligue a las pólizas de seguros a enfrentar con más claridad la responsabilidad por las consecuencias de los ataques cibernéticos de los estados nacionales.
La compañía farmacéutica multinacional demandó a sus aseguradoras que habían negado la cobertura de los impactos de NotPetya en sus sistemas informáticos, citando una exclusión de la póliza por actos de guerra. El ataque de malware de 2017 se atribuyó a la agencia de inteligencia militar de Rusia, desplegada como parte de un conflicto con Ucrania.
El juez del Tribunal Superior de Nueva Jersey, Thomas J Walsh, dictaminó el 13 de enero que las aseguradoras de Merck no pueden reclamar la exclusión de guerra porque su lenguaje está destinado a aplicarse a un conflicto armado.
El fallo señaló que las aseguradoras no cambiaron el lenguaje de guerra para avisar a compañías como Merck de que los ataques cibernéticos no estarían cubiertos, a pesar de una tendencia de ataques de países como Rusia que afectan a empresas del sector privado.
«La decisión de Merck es una victoria importante para los asegurados, especialmente en el panorama actual de amenazas cibernéticas», dijo Andrea DeField, socia en la práctica de cobertura de seguros de Hunton Andrews Kurth.
El tribunal de Nueva Jersey consideró la cobertura de una póliza de seguro de propiedad contra todo riesgo, en lugar de una póliza específica para incidentes scibernéticos. Ambos tipos de pólizas a menudo contienen exclusiones que impiden la cobertura por guerra o acción bélica.
Los tribunales han aplicado en general tales exclusiones a las formas tradicionales de guerra, razón por la cual la denegación inicial de cobertura de las aseguradoras por las pérdidas cibernéticas de Merck «hizo sonar la alarma» de que las aseguradoras pueden estar tratando de ampliar el alcance de la exclusión, dijo DeField.
Algunas pólizas no cibernéticas, como las pólizas de propiedad, se han revisado desde los ataques de NotPetya para agregar exclusiones cibernéticas sólidas, agregó DeField, aunque las exclusiones de guerra tienden a hacer una excepción para los actos de terrorismo cibernético.
«Afortunadamente, muchas pólizas de seguro cibernético en el mercado aún contienen exclusiones de guerra limitadas y excepciones apropiadas que deberían preservar la cobertura para la gran mayoría de los incidentes cibernéticos», dijo DeField.
Mercj fue víctima de un ransomware.
«Reconocimiento» de la industria
La cuestión de si un ataque cibernético cuenta como un acto de guerra es una parte de un «ajuste de cuentas» más amplio de la industria de seguros, según Josephine Wolff, profesora asociada de política de seguridad cibernética en la Universidad de Tufts.
El costo del seguro cibernético en los EE. UU. ha aumentado a medida que los pagos de ransomware aumentan las reclamaciones, según un informe reciente del corredor Marsh McLennan. Eso hizo que los suscriptores de seguros aumentaran su escrutinio de las pólizas cibernéticas, y las aseguradoras redujeron la cobertura por pérdidas relacionadas con ransomware en compañías que no demostraron suficientes defensas cibernéticas, según el informe. «Esto acelerará la urgencia de esas conversaciones», dijo Wolff sobre el caso de Merck.
Otro caso similar relacionado con Mondelez probará si su aseguradora Zurich Seguros debe cubrir las consecuencias de NotPetya. El caso de Mondelez está en curso en el Tribunal de Circuito de Illinois para el condado de Cook.
Mondelez tiene un caso similar al de Merck.
Los dos casos podrían tener un efecto dominó no solo para la industria de seguros, sino también para las empresas que buscan cobertura para ataques, según John Reed Stark, consultor de seguridad cibernética.
Las empresas a menudo no saben lo que cubre su seguro hasta que se enfrentan a un incidente cibernético, dijo Stark. «Eso debe cambiar», dijo, y agregó que las empresas deben revisar cuidadosamente sus pólizas de seguro como parte de sus planes de respuesta a incidentes.
A medida que las aseguradoras buscan limitar su exposición a los riesgos cibernéticos, especialmente al ransomware, las empresas vulnerables a los ataques «es posible que no puedan confiar en que los seguros cubran tanto», dijo Luke Tenery, socio de StoneTurn, un asesor regulatorio, de cumplimiento e investigaciones. Eso significa que las empresas deberían pensar en formas de gestionar más riesgos cibernéticos por sí mismas a través de medidas defensivas, dijo Tenery.