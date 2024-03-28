Uma grande mudança na forma como o seguro cibernético funciona começou com um ataque à gigante farmacêutica Merck. Ou começou em outro lugar?
Em junho de 2017, o incidente NotPetya atingiu cerca de 40 mil computadores Merck, destruindo dados e forçando um processo de recuperação que durou meses. O ataque afetou milhares de empresas multinacionais, incluindo Mondelēz e Maersk. No total, o malware causou danos de cerca de 10 bilhões de dólares.
O malware NotPetya explorou duas vulnerabilidades do Windows: EternalBlue, uma chave mestra digital vazada da NSA, e Mimikatz, uma exploração que coletou senhas de usuários de máquinas Windows.
O malware foi projetado para infectar sem a ação do usuário, migrar lateralmente dentro das redes e se espalhar muito rapidamente, às vezes derrubando redes em menos de um minuto. Uma vez executado, ele substituiria o registro mestre de inicialização, impedindo-o de inicializar.
Um pedido de resgate exigia pagamento pela descriptografia. Mas não havia mecanismo ou plano para fazer isso. Seu objetivo era convencer as vítimas de que foram atingidas por um ransomware. Na verdade, o NotPetya existia apenas para destruir dados sem um caminho de recuperação.
A Merck estimou que o ataque custou USD 1,4 bilhão. Esses custos incluíam uma perda temporária de capacidade de produção, bem como o custo de equipamentos e novas contratações de TI necessárias para a recuperação.
A empresa tinha uma apólice de seguro “todos os riscos” de USD 1,75 bilhão com a Ace American. Mas a empresa rejeitou a alegação, dizendo que, como o NotPetya começou na guerra Rússia/Ucrânia, a cláusula de exclusão “Atos de guerra” significava que eles não precisavam pagar.
A Merck processou a Ace American em novembro de 2019. O caso deles concentrou-se principalmente no argumento de que o ataque não foi resultado de uma ação oficial do Estado e que a Merck foi uma mero espectadora fora do palco de conflito. O juiz Thomas J. Walsh, da Superior Court de Nova Jersey, decidiu a favor da Merck.
A Ace American recorreu, e o tribunal de recursos estadual no caso descobriu que a disposição da cláusula de exclusão de guerra nas apólices de seguro — que exclui a cobertura para perdas causadas por ações hostis ou guerras pelos governos — não se aplica ao caso.
As duas partes chegaram a um acordo confidencial com as seguradoras em 5 de janeiro de 2024.
Outras grandes empresas passaram por cenários legais semelhantes e também fizeram acordos, embora provavelmente por valores menores.
O resultado do caso não era totalmente previsível nem necessariamente intuitivo. Acredita-se que o próprio NotPetya começou em uma guerra — atribuída ao governo russo (especificamente ao grupo de hackers Sandworm dentro da inteligência militar russa) e foi Initiate na Ucrânia com o propósito presumido de promover os objetivos da Rússia nesse conflito.
Embora provavelmente tenha sido um ato de guerra cibernética, o ataque se espalhou fora da Ucrânia para máquinas em todo o mundo, causando o que pode ser descrito como danos colaterais.
As apólices de seguro cibernético normalmente contêm cláusulas de exclusão de guerra. Por exemplo, a Lloyd's Market Association (LMA) publicou orientações para cláusulas de exclusão de guerra cibernética. Eles recomendam que a exclusão não se aplique a operações cibernéticas conduzidas por estados-nação fora de uma guerra quente real em determinadas circunstâncias. Por exemplo, se o ataque cibernético ocorreu fora do theatro de conflito ou se a empresa não era o alvo pretendido.
A decisão do tribunal foi consistente com a orientação de Lloyd, descobrindo que a cláusula de exclusão de guerra não se aplicava às circunstâncias do ataque NotPetya.
Ainda assim, a decisão foi significativa. Alguns dos ataques cibernéticos mais sofisticados e prejudiciais são resultado de ações de estados-nação para atacar rivais ou inimigos. Se as seguradoras não puderem usar cláusulas padrão de exclusão de guerra para esses ataques cibernéticos prejudiciais e patrocinados pelo Estado, elas precisarão ajustar as políticas, aumentar os preços ou fazer ambas as coisas daqui para frente.
O cenário de seguros cibernéticos está em constante mudança há pelo menos uma década. Como resultado de ataques cibernéticos cada vez mais dispendiosos, os clientes de seguros têm sido atingidos com o aumento dos prêmios, requisitos de subscrição mais rigorosos e cobertura reduzida.
Essas mudanças ocorreram devido a uma grande variedade de tendências no cenário de ataques cibernéticos, incluindo as tendências de ransomware de alguns anos atrás.
Os prêmios globais de seguro cibernético aumentaram de menos de USD 5 bilhões em 2018 para cerca de USD 18 bilhões este ano, de acordo com o Swiss Re Institute.
As empresas têm sido obrigadas a colocar suas casas de cibersegurança em ordem sob diretrizes cada vez mais rígidas apenas para obter cobertura. As seguradoras estão demorando mais para aprovar quem cobrem e estão se tornando mais seletivas.
A cobertura está diminuindo, em parte, devido a um número crescente de exclusões que anulam a cobertura em certas circunstâncias (e a “exclusão de guerra” era grande).
O acordo da Merck concentrou a atenção do setor nos desafios de definir exclusões de guerra em apólices de seguro cibernético. As seguradoras provavelmente restringirão ainda mais a linguagem, especialmente para a exclusão de guerras — uma tendência que já havia começado em 2022.
E também mudou a atenção entre os compradores de seguros. As empresas precisarão analisar muito as exclusões, os períodos de espera, os limites das políticas e outros fatores ao considerarem um provedor de seguro. Outro elemento importante é estimar se uma empresa pode ser vitimizada ou alvo como resultado de eventos geopolíticos e considerar como exclusões podem deixá-las sem pagamentos caso ocorram ataques cibernéticos graves patrocinados pelo estado.
E, acima de tudo, concentre-se na cibersegurança real, principalmente nas ferramentas de automação e IA.
Embora a Merck e ações judiciais e acordos relacionados devam dar uma contribuição relevante para as mudanças nos custos, políticas, exclusões e limites do seguro de cibersegurança, o maior fator contribuinte é a crescente sofisticação e custo dos ataques cibernéticos em geral.