A Merck foi afetada pelo vírus NotPetya, que, segundo ela, custou US$ 1,4 bilhão para se recuperar
O Lloyd’s of London, maior mercado segurador do mundo, vai deixar de dar cobertura para riscos cibernéticos em caso de guerra, segundo documento, intitulado “Exclusões de ataques cibernéticos apoiados por Estado“. Segundo o Wall Street Journal, a partir de 31 de março, quando a cobertura começar ou for renovada, os sindicatos devem excluir os ataques cibernéticos apoiados pelo Estado das políticas que protegem contra danos físicos e digitais causados por hacks, disse o diretor de subscrição Tony Chaudhry em um boletim datado de 16 de agosto.
A medida foi projetada para garantir que as seguradoras estejam declarando claramente o que cobrirão e o que não cobrirão, pois a capacidade de hacks apoiados pelo Estado de se espalhar e causar danos pode causar risco sistêmico no mercado de seguros, disse o aviso.
No mínimo, disse Chaudhry, as apólices devem conter cláusulas que excluam perdas decorrentes de uma guerra, declarada ou não, onde a apólice não tem uma exclusão de guerra separada.
Eles também devem excluir perdas onde um ataque apoiado pelo estado tem um efeito catastrófico na nação alvo e prejudica sua capacidade de funcionar. Também deve haver um processo robusto pelo qual as partes decidam a atribuição de ataques, de acordo com o aviso.
“Cyber continua sendo uma área prioritária para o Lloyd’s”, disse um representante da empresa. “A orientação de consultoria fornecida na semana passada, após consulta ao nosso mercado, é garantir que assumamos os tipos certos de risco como mercado, abordando esse campo complexo com a experiência e a diligência necessárias. ”
Embora as exclusões para uma guerra declarada abertamente sejam relativamente simples, determinar a atribuição de um ataque cibernético apoiado por uma nação é repleto de dificuldades.
Por exemplo, traçar uma linha entre quando um grupo criminoso está simplesmente agindo em apoio a uma nação, ou realmente operando como agente do Estado, é um desafio, disseram autoridades dos EUA anteriormente. Os corretores disseram que determinar o grau de dano causado por um ataque, que desencadearia as exclusões, é igualmente difícil.
“Para a maioria dos participantes do mercado, não se trata tanto da atividade do estado-nação, mas de quando esse nível de atividade atinge um grau de catástrofe em termos financeiros”, disse Gregory Eskins, líder de produtos cibernéticos nos EUA e Canadá na unidade de corretagem Marsh. da Marsh & McLennan Cos. “Isso é algo com o qual todos estamos lutando.”
As seguradoras vêm explorando maneiras de restringir a linguagem em suas apólices, principalmente depois que um juiz de Nova Jersey no ano passado decidiu a favor da Merck & Co. decidir que tinha direito a pagamentos de suas seguradoras após um ataque cibernético em 2017. A Merck foi afetada pelo vírus NotPetya, que, segundo ela, custou US$ 1,4 bilhão para se recuperar. As seguradoras de Property e Casulty (P&C) da empresa inicialmente negaram as reivindicações com base em exclusões de guerra.
Nesse caso, o juiz disse que não era razoável esperar que a Merck soubesse que as exclusões de guerra se aplicariam a tal evento, declarando essencialmente que uma exclusão comum de atos de guerra não cobre ataques cibernéticos.
Parte do motivo pelo qual as seguradoras estão cada vez mais desconfiadas de cobrir ataques cibernéticos apoiados pelo Estado é o grande dano econômico que eles podem causar.
A empresa de alimentos embalados Mondelez International Inc., que também foi vítima do NotPetya, reivindicou US$ 100 milhões em danos relacionados ao ataque, enquanto o Serviço Nacional de Saúde da Grã-Bretanha disse que o vírus WannaCry custou mais de US$ 100 milhões. O governo dos EUA atribuiu formalmente o NotPetya à Rússia e o WannaCry à Coreia do Norte. Ambas as nações negam envolvimento.
O seguro cibernético, que se tornou um mercado cada vez mais importante devido à proliferação de ataques nos últimos anos direcionados a empresas de todos os portes, vem passando por um período de reajuste nos últimos meses, pois as operadoras entendem melhor como modelar e precificar o risco que estão cobertura.
Os novos requisitos do Lloyd’s representam uma “evolução” na forma como o setor de seguros está se aproximando do ciberespaço, disse Thomas Reagan, líder de prática cibernética da Marsh nos EUA e Canadá, mas as novas estipulações também apresentam dificuldades.
“Como em todas essas coisas, até certo ponto, são dois passos à frente e um passo atrás”, disse Reagan. Embora o boletim estabeleça alguma certeza e clareza sobre o que o Lloyd’s espera, disse ele, também cria incertezas para os segurados, como como atribuir um determinado ataque cibernético.
As exclusões de guerra, em particular, têm sido um tópico de debate acirrado no setor de seguros cibernéticos há anos, mas a invasão da Ucrânia pela Rússia em fevereiro reacendeu preocupações de que um ataque cibernético significativo, como um que derruba infraestrutura crítica, poderia resultar em perdas catastróficas para as seguradoras.
A relativa juventude do mercado de seguros cibernéticos significa que há uma falta de padronização em torno de termos e cláusulas de exclusão, disse a empresa de classificação Moody’s Investors Service Inc., uma unidade da Moody’s Corp., em nota de junho.
“Nos litígios nos EUA, as seguradoras geralmente devem demonstrar que uma exclusão dentro de uma apólice de seguro se aplica ao caso. Isso coloca o ônus da prova nas seguradoras no caso de exclusão de guerra”, disseram analistas da Moody’s na nota. A Moody’s se recusou a comentar o boletim do Lloyd’s.
Embora a exigência do Lloyd’s seja significativa porque busca remover a ambiguidade sobre quando e onde as exclusões serão aplicadas às apólices, também pode prejudicar as vítimas de hackers, disse Joshua Motta, executivo-chefe da seguradora Coalition Inc., que oferece cobertura específica para cibernéticos.
“O outro significado é que os segurados podem ficar sem suporte ou serviços críticos de sua seguradora pendente de atribuição do governo”, disse ele.
A Lloyd’s Market Association – um grupo comercial para agentes de gestão ou empresas líderes de sindicatos – apresentou uma série de rascunhos de cláusulas contratuais em novembro de 2021 que excluiriam ataques cibernéticos apoiados pelo Estado da cobertura de políticas cibernéticas. O Lloyd’s disse em sua nota na terça-feira que o uso dessas cláusulas satisfaria seus requisitos.
Fonte: Wall Street Journal I Sonho Seguro I F. Pixabay