.
As seguradoras da Merck não podem usar uma cláusula de “ato de guerra” para negar à gigante farmacêutica um enorme pagamento para limpar sua infecção NotPetya, decidiu um tribunal.
Um tribunal de apelação de Nova Jersey confirmou esta semana [PDF] uma decisão anterior de que um grupo de seguradoras não poderia usar a exclusão de guerra em suas apólices de seguro – apesar dos governos dos EUA e do Reino Unido, entre outros, atribuirem o NotPetya a demônios apoiados pelo Kremlin – porque o ataque contra a Merck não estava especificamente ligado à Rússia Ação militar.
A opção de cartão livre de prisão foi simplesmente removida
A decisão significa que a Merck pode finalmente reivindicar seu pagamento de US$ 1,4 bilhão. E provavelmente tornará mais difícil para as seguradoras usar a guerra como desculpa para não pagar perdas relacionadas a ataques cibernéticos, de acordo com observadores do setor.
“A opção de cartão livre de prisão foi simplesmente removida”, disse Chris Gray, vice-presidente da empresa de segurança de TI Deepwatch. Strong The One.
A decisão também afetará, sem dúvida, a linguagem usada nas apólices de subscrição, especialmente quando se trata de riscos como ransomware e guerra cibernética, disse Peter Hedberg, vice-presidente de subscrição cibernética da Corvus Insurance.
“A recente decisão envolvendo a Merck de fato afeta nossa linha de cobertura”, disse ele Strong The One. “Como isso não pode ser avaliado tão cedo, mas sabemos que é importante. Isso de forma alguma estabelece uma diretriz de subscrição ou uma posição de cobertura do setor, mas começa a dar o pontapé inicial em como podemos criar mais certeza para os segurados.”
Não Petya, não guerra
Em junho de 2017, o malware apelidado de NotPetya – porque se disfarçou de Petya ransomware – explodiu através do mundo.
Embora inicialmente visasse a Ucrânia, o software desagradável também infectou empresas em outros países da Europa, junto com os EUA e a Austrália. Uma delas foi a Merck, que disse que o NotPetya fechou suas instalações de produção e aplicativos críticos, infectando mais de 40.000 computadores da gigante médica.
Na época, o programa de seguros de propriedade da Merck incluía apólices que cobriam “todos os riscos” com US$ 1,75 bilhão em limites totais acima de US$ 150 milhões de franquia, de acordo com documentos judiciais.
Em janeiro de 2022, o Tribunal Superior de Nova Jersey concedeu ao titã farmacêutico US$ 1,4 bilhão depois que a Merck processou oito de suas seguradoras por negarem cobertura para ataque de intempéries. As seguradoras contestaram o pagamento de US$ 699.475.000, ou cerca de 40% do valor total da cobertura da Merck.
A decisão desta semana manteve a decisão do tribunal anterior.
“Aqui, o ataque NotPetya não está suficientemente vinculado a uma ação ou objetivo militar, pois foi um ataque cibernético não militar contra um provedor de software de contabilidade”, disse o tribunal de apelação. “Concluímos que as seguradoras não demonstraram a exclusão aplicada nas circunstâncias deste caso, ou seja, que este ciberataque foi uma ação ‘hostil’ ou ‘bélica’ conforme contemplado na exclusão.”
A decisão representa uma vitória para os detentores de apólices de seguro e tornará mais difícil para as seguradoras usarem a exclusão de guerra como uma solução para ataques cibernéticos vinculados ao governo, disseram-nos.
“Colocado em termos de combate, os sistemas ucranianos foram alvejados e todos os outros foram danos colaterais. A decisão recente efetivamente diz que esse dano colateral ‘aconteceu’, mas que os destinatários não foram alvejados por meio de um ato ofensivo de guerra”, disse Gray, da Deepwatch, que trabalha com seguradoras em relatórios de ataques e negociações.
“Sem dúvida, existem ramificações políticas que impedem que o termo ‘ato de guerra’ também seja usado amplamente”, acrescentou.
‘Um golpe’ nas isenções de guerra
Mark Lance, da GuidePoint Security, vice-presidente de forense digital e resposta a incidentes e informações sobre ameaças, disse Strong The One que a decisão é “um golpe na forma como eles [insurance companies] estão conduzindo negócios” com ênfase crescente nessas cláusulas de ato de guerra.
O Lloyd’s de Londres disse no ano passado que suas apólices de seguro parar de cobrir perdas de certos ataques cibernéticos de estado-nação e aqueles que ocorrem durante as guerras, declaradas ou não, a partir de 1º de abril de 2023.
Também em 2022, a Mondelez International resolvido seu processo contra a Zurich American Insurance Company, que trouxe porque a seguradora se recusou a cobrir a conta de limpeza de mais de US $ 100 milhões da gigante do lanche após o surto de NotPetya de 2017. A Zurich negou as alegações da gigante dos salgadinhos citando uma exclusão de guerra semelhante.
A decisão da Merck “estabelece este precedente, onde você tem um ataque que foi associado a uma determinada região, mas não foi considerado um ato de guerra”, disse Lance Strong The One.
“Com base nesta decisão, não consigo pensar em nenhuma situação atual em que o seguro não seja obrigado a fornecer cobertura ou fazer pagamentos”, disse ele, acrescentando que a única exceção seria se uma seguradora pudesse vincular diretamente um ataque cibernético ao conflito Rússia-Ucrânia.
“Fora disso, para essas instâncias mais exclusivas de ransomware ou qualquer outra coisa, é realmente difícil atribuir a um agente de ameaça específico envolvido com um estado-nação”, disse Lance.
Enquanto isso, as apólices de seguro precisarão se ajustar de acordo, disse Hedberg.
Não se esqueça do ransomware
“À medida que o mundo continua a se virtualizar, muitos produtos e serviços que dependem das leis do mundo cinético serão confrontados com a necessidade de evoluir”, disse ele. “Os seguros sempre deixaram claro que a guerra não pode ser segurada. Uma guerra virtual sempre habitou a esfera da ficção e da fantasia. Sabemos que o potencial existe e, segundo alguns argumentos, está ocorrendo.”
Embora o objetivo de sua empresa “seja e continue a ser equilibrar políticas públicas com os interesses de seguradoras e segurados”, isso se torna mais difícil e levanta mais questões, à medida que o mundo virtual e cinético se torna mais interconectado, disse Hedberg, citando o ransomware como um exemplo.
“Proteger nossos segurados é a razão pela qual eles compram seguros”, continuou ele. “Infelizmente, quando isso significa pagar um resgate que financia um adversário hostil apoiado pelo Estado, não é do interesse de nosso país. Prevemos o desenvolvimento contínuo em torno disso e esperamos que exista um caminho para proteger nossos segurados e privar nossos adversários do benefício financeiro de ataques de ransomware.” ®
.
