As apólices de seguro da Lloyd’s de Londres deixarão de cobrir perdas de certos ataques cibernéticos de estados-nações e aqueles que acontecem durante guerras, a partir de sete meses.
Em um memorando enviado aos mais de 76 sindicatos de seguros da empresa, o diretor de subscrição Tony Chaudhry disse que o Lloyd’s continua “fortemente favorável” à cobertura de ataques cibernéticos. No entanto, à medida que essas ameaças continuam a crescer, elas podem “expor o mercado a riscos sistêmicos que os sindicatos podem ter dificuldade em gerenciar”, acrescentou. , observando que os ataques patrocinados por estados-nação são particularmente caros para cobrir.
Por causa disso, todas as políticas independentes de ataques cibernéticos devem incluir “uma cláusula adequada excluindo a responsabilidade por perdas decorrentes de qualquer ciberataque apoiado”, escreveu Chaudhry. Essas alterações entrarão em vigor a partir de 31 de março de 2023 no início ou renovação de cada apólice.
No mínimo – palavra-chave: mínimo
– essas apólices devem excluir perdas decorrentes de uma guerra, declarada ou não, se a apólice ainda não tiver uma exclusão de guerra separada. Eles também devem pelo menos excluir perdas de ataques cibernéticos de estados-nações que “prejudiquem significativamente a capacidade de um estado funcionar ou que prejudiquem significativamente as capacidades de segurança de um estado.”
As políticas também devem “estabelecer uma base robusta” para atribuir ataques cibernéticos patrocinados pelo Estado, de acordo com Chaudhry – e é aí que reside o problema.
A atribuição é ‘absolutamente difícil’
Atribuir um ataque cibernético a um determinado grupo criminoso ou estado-nação com 100 por cento de confiança “é absolutamente difícil”, disse o diretor de segurança cibernética da NSA, Rob Joyce, na RSA Conference deste ano. Mais recentemente, ele enfatizou esse ponto com um meme no Twitter:
COMO A NSA PODE REALMENTE TER CERTEZA DA ATRIBUIÇÃO? SIGNIFICA QUE QUALQUER UM PODE JOGAR MALWARE RUSSO! pic.twitter.com/Nv8ASBdbD8
— Rob Joyce (@NSA_CSDirector) 19 de agosto de 2022
Ameaça analistas normalmente atribuem um ataque a um estado-nação a partir de seu nível de sofisticação, disse Jim Richberg, CISO Fortinet do setor público.
Mas à medida que os grupos avançados de crimes persistentes se tornam mais sofisticados – e têm mais recursos à sua disposição para comprar explorações de dia zero e empregar especialistas para cada estágio de um ataque – diferenciando entre estados-nação e as gangues de crimes cibernéticos se tornam cada vez mais difíceis, explicou ele.
“Há momentos em que os estados-nação agem como criminosos, usando suas ferramentas e infraestrutura e, às vezes, vice-versa”, disse Richberg. “A linha clara de sofisticação e discrição que muitos usaram como um delineamento de senso comum ficou turva. No entanto, se você vai pagar dinheiro, provavelmente procurará algo mais sólido e provavelmente relacionado a evidências forenses.”
Patrocinado pelo Estado? Ou simpático?
Além disso, como muitos pesquisadores de segurança apontaram, há uma linha tênue entre os cibercriminosos que estão diretamente associados a uma agência governamental – como o GRU da Rússia – e aqueles que simplesmente desfrutam de proteções governamentais contra processos judiciais ou são simpáticos a governos específicos.
“Os ataques não são apenas estados-nação ou não, ” O diretor sênior do Grupo de Análise de Ameaças do Google, Shane Huntley, disse.
“Temos operadores de aluguel de aluguel com clientes governamentais e não governamentais”, acrescentou. “Temos hacktivistas voluntários operando em nome de causas governamentais e cibercriminosos operando com a aprovação tácita dos estados. Sem clareza sobre onde estão os limites, nenhum segurado tem qualquer tipo de certeza do risco que está mitigando.”
Em última análise, disse Huntley, essas mudanças na política significam que a atribuição se tornará ainda mais importante com os pagamentos de seguro em jogo. Mas também fornece incentivos para as organizações de vítimas minimizarem qualquer evidência ligada a um estado-nação.
Traga os advogados
Como as apólices de seguro são contratos juridicamente vinculativos, a questão da atribuição provavelmente será uma questão legal em oposição a uma questão do mundo real, de acordo com Peter Hawley, diretor de soluções de seguro na Europa para SecurityScorecard.
“A turvação das águas é a linguagem em torno do ‘apoiado pelo Estado’, que pode ser interpretado de várias maneiras e, portanto, deixa uma seguradora aberta a correr o risco de pagar dinheiro em um não sancionado evento, ou enfrentar uma viagem desinteressante ao tribunal quando o pedido é recusado e o segurado os processa para tentar obter cobertura”, disse ele.
“Vejo que este é um importante ponto de conexão entre aqueles na comunidade de inteligência de ameaças e a área de seguros cibernéticos, pois os clientes de seguros acabarão se beneficiando da certeza do contrato e da clareza em torno das decisões tomadas no caso de reclamação”, Hawley disse.
Não entre em pânico com as seguradoras cibernéticas puxando a ponte levadiça, diz Lloyd’s Riscos e prêmios mais altos estão criando uma lacuna crítica no seguro cibernético
A invasão russa desestabilizou perigosamente as normas de segurança cibernética
- EUA, Europa culpam formalmente a Rússia por ataques de limpeza de dados contra a Ucrânia, Viasat
Mas à medida que o custo dos ataques cibernéticos continua a subir, as seguradoras estão sendo forçadas a encontrar maneiras de limitar seus riscos ou então fechar o negócio, cenário que o Lloyd’s enfrentou no final dos anos 1980 e início dos anos 1990.
“As seguradoras, em geral, não estão preocupadas com ataques não catastróficos a estados-nação, e a intenção não é recusar reivindicações onde um estado-nação é responsável”, de acordo com ao CEO da Coalition, Joshua Motta, cuja empresa fornece software de segurança e seguro cibernético.
Em uma série de tweets, Motta argumentou que esta não é uma tentativa de limitar a cobertura “para as ocorrências agora cotidianas de hackers de estados-nações”. Em vez disso, ele observou, “o que as seguradoras se preocupam são atos catastróficos de guerra (cibernética) que não são quantificáveis pela indústria de seguros, levam a danos astronômicos e, finalmente, levam a indústria à falência”.
