Para aquellos preocupados por la ciberseguridad y la infraestructura crítica, no hay nada más aterrador que la posibilidad de un ciberataque exitoso en una presa o central eléctrica. Los efectos posteriores de tal ataque podrían tener consecuencias potencialmente catastróficas que incluyen, entre otras, lesiones corporales (y pérdida de vidas), daños ambientales (incluida la liberación accidental de productos químicos), pérdida de ingresos comerciales (e ingresos comerciales contingentes), pérdida de energía y servicios públicos (que también podría reducir los ingresos del negocio) y daños a la propiedad.

Según una encuesta de 2018, el 26% de los encuestados en la industria de la energía, el 19% de los de la industria de la infraestructura y el 14% de los de la energía y los servicios públicos informaron haber sido víctimas de ataques cibernéticos en los 12 meses anteriores.

Si bien la máxima prioridad es la seguridad cibernética y la prevención de tales incidentes, el potencial para tal catástrofe requiere una estrategia de gestión de riesgos que incluya cobertura de seguridad para las consecuencias del peor de los casos.

El mercado de cobertura de seguro cibernético, que tenía más de 520 aseguradoras solo en los EE. UU. En 2018, es sólido y está creciendo. Si bien la competencia resultante crea oportunidades para los asegurados, la ausencia de un lenguaje de formulario estándar crea incertidumbre al tratar de determinar el significado del lenguaje de la política.

Un área de interpretación de la póliza de seguro, que ha recibido una atención significativa durante los últimos dos años, involucra la interpretación de las llamadas exclusiones de “guerra”. Estas exclusiones, que pueden diferir significativamente en la forma en que están redactadas, pretenden limitar la cobertura de pérdidas derivadas de la guerra o acciones bélicas.

En 2018, el problema surgió en las noticias, como resultado de un litigio iniciado por Mondelez International, Inc. contra Zurich American Insurance Company. La acción surgió de las pérdidas sufridas por Mondelez, responsable de marcas icónicas de bocadillos como Nabisco y Oreo, como resultado de NotPetya. Según la queja de Mondelez, Zurich negó el reclamo de cobertura de seguro de Mondelez basado en la exclusión de guerra en la política de Zurich. La política de Zurich pretendía excluir la cobertura de una “acción hostil o bélica”. . . “

En 2018, Merck & Co., Inc. y International Indemnity Ltd. (aseguradora cautiva de Merck), presentaron una demanda contra más de veinte aseguradoras y reaseguradoras en relación con las pérdidas que Merck sufrió por NotPetya, varias de las cuales invocaron una exclusión de “guerra”.

Mucho se ha escrito sobre el tema y algunos dicen que los asegurados deberían estar muy preocupados por la posición de Zurich, mientras que otros han sugerido que tales temores son exagerados, ya que la política de Zurich en cuestión no era una política puramente cibernética. Lloyd’s of London, consciente de la cuestión de la percepción, lanzó un Market Bulletin que requiere que todas las políticas brinden claridad con respecto a la cobertura cibernética al excluir o proporcionar cobertura afirmativa.

Una decisión algo reciente con respecto a la exclusión de la guerra, aunque en otro contexto, ha disipado algunas de estas preocupaciones. En julio, el Tribunal de Apelaciones de los Estados Unidos para el Noveno Circuito revisó una decisión del tribunal inferior con respecto a un reclamo de seguro de dos compañías de producción que se vieron obligadas a reubicar la producción de un programa de televisión desde Jerusalén ante los ataques con cohetes de Hamas contra Israel. La compañía de seguros había negado la cobertura debido a que los gastos cubiertos estaban prohibidos en virtud de las exclusiones de la póliza para “guerra” y “acción bélica por parte de una fuerza militar”. El Noveno Circuito rechazó estos argumentos y sostuvo que la “guerra” en el contexto de los seguros se limita a las hostilidades entre soberanos, y que si bien Hamas tiene control sobre Gaza, “Gaza es parte de Palestina y no su propio estado soberano” y que Hamas “nunca ejerció un control real sobre toda Gaza”.

Teniendo en cuenta esta opinión, se puede argumentar que la exclusión de la “guerra” no se aplica a los ciberdelincuentes o al ciber terrorismo. Esto es particularmente útil, considerando que los ciber terroristas y los ciberdelincuentes atacan cada vez más la infraestructura crítica. Con el surgimiento de Internet de las cosas (IoT) y la vinculación de la infraestructura crítica con numerosos dispositivos más, las redes que se conectan a los dispositivos IoT enfrentan un mayor riesgo si esos otros dispositivos no implementan los programas adecuados de seguridad de red y dispositivos. En consecuencia, es doblemente importante garantizar que los asegurados tengan cobertura para los ataques a sus sistemas, así como a otros sistemas y dispositivos a los que puedan conectarse sus sistemas y dispositivos.

Sin embargo, para evitar dudas, los asegurados deben trabajar con sus profesionales de seguros, incluido el abogado, para garantizar que tengan una amplia cobertura cibernética y limitaciones limitadas en esa cobertura. Esto es particularmente cierto en el contexto de las exclusiones de “guerra” dada la prevalencia del delito cibernético y el terrorismo cibernético.

Para la infraestructura crítica, saber que los recursos necesarios estarán allí en caso de una catástrofe es un componente esencial de cualquier estrategia de gestión de riesgos.


Nota original publicada en LINK