Un cambiamento importante nel funzionamento dell'assicurazione informatica è iniziato con un attacco al colosso farmaceutico Merck. Oppure è iniziato da qualche altra parte?
Nel giugno 2017, l'incidente NotPetya ha colpito circa 40.000 computer Merck, distruggendo i dati e costringendo a un processo di recupero durato mesi. L'attacco ha colpito migliaia di aziende multinazionali, tra cui Mondelēz e Maersk. In totale, il malware ha causato danni per circa 10 miliardi di dollari.
Il malware NotPetya utilizzava due vulnerabilità di Windows: EternalBlue, una chiave segreta digitale trapelata dalla NSA, e Mimikatz, un malware che raccoglieva le password degli utenti dai computer Windows.
Il malware è stato progettato per infettare senza intervento dell'utente, muoversi lateralmente all'interno delle reti e diffondersi molto rapidamente, a volte facendo cadere le reti in meno di un minuto. Una volta eseguito, sovrascriveva il record di avvio master, impedendone l'avvio.
Una nota di riscatto richiedeva il pagamento per la decrittazione. Ma non esisteva alcun meccanismo o piano per farlo. Il suo scopo era convincere le vittime di essere state colpite da un ransomware. In realtà, NotPetya esisteva solo per distruggere dati senza un percorso di recupero.
Merck ha stimato che l'attacco sia costato 1,4 miliardi di dollari. Questi costi includevano una temporanea perdita di capacità produttiva, oltre al costo delle apparecchiature e delle nuove assunzioni IT necessarie per il recupero.
La società aveva una polizza assicurativa "all-risk" da 1,75 miliardi di dollari con Ace American. Ma la società respinse la richiesta di risarcimento, sostenendo che, poiché NotPetya era stata fondata durante la guerra tra Russia e Ucraina, la clausola di esclusione per "Atti di guerra" significava che non avrebbero dovuto pagare.
Merck citò in giudizio Ace American nel novembre 2019. Il loro caso si incentrò principalmente sulla tesi secondo cui l'attacco non era il risultato di un'azione ufficiale dello Stato e che Merck era un semplice spettatore esterno al teatro del conflitto. Il giudice della Corte Superiore del New Jersey Thomas J. Walsh decise a favore di Merck.
Ace American presentò ricorso e la corte d'appello dello Stato nel caso stabilì che la clausola di esclusione per guerra nelle polizze assicurative, che esclude la copertura per perdite causate da azioni ostili o belliche da parte dei governi, non era applicabile al caso in questione.
Le due parti hanno raggiunto un accordo riservato con gli assicuratori il 5 gennaio 2024.
Anche altre grandi aziende hanno dovuto affrontare situazioni legali simili e hanno trovato un accordo, anche se probabilmente per importi inferiori.
L'esito del caso non fu né del tutto prevedibile né necessariamente intuitivo. Si ritiene ampiamente che NotPetya abbia avuto origine in una guerra, attribuita al governo russo (in particolare al gruppo di hacker Sandworm all'interno dell'intelligence militare russa) e avviata in Ucraina con il presunto scopo di promuovere gli obiettivi della Russia in quel conflitto.
Anche se probabilmente si tratta di un atto di guerra cibernetica, l'attacco si è poi diffuso al di fuori dell'Ucraina e ha coinvolto macchine a livello globale, causando quello che potrebbe essere descritto come un danno collaterale.
Le polizze assicurative informatiche contengono solitamente clausole di esclusione per guerra. Ad esempio, la Lloyd’s Market Association (LMA) ha pubblicato una guida per le clausole di esclusione relative alla guerra informatica. In determinate circostanze, l'esclusione non si applicherà alle operazioni informatiche condotte dagli Stati nazionali al di fuori di una vera e propria guerra aperta. Ad esempio, se l'attacco informatico è avvenuto fuori dal teatro del conflitto o se l'azienda non era l'obiettivo previsto.
La sentenza della corte era coerente con le linee guida di Lloyd, ritenendo che la clausola di esclusione di guerra non si applicasse alle circostanze dell'attacco NotPetya.
Tuttavia, la sentenza è stata significativa. Alcuni degli attacchi informatici più sofisticati e dannosi sono il risultato di azioni degli stati nazionali per attaccare rivali o nemici. Se le compagnie assicurative non possono utilizzare le clausole standard di esclusione per guerra per questi dannosi cyberattacchi sponsorizzati dallo Stato, in futuro dovranno adeguare le polizze, aumentare i prezzi o entrambe le cose.
Il landscape delle assicurazioni informatiche è in evoluzione da almeno un decennio. A causa di attacchi informatici sempre più costosi, i clienti delle assicurazioni sono stati colpiti da premi in aumento, requisiti di sottoscrizione più severi e coperture ridotte.
Questi cambiamenti sono dovuti a una vasta gamma di tendenze nel landscape degli attacchi informatici, tra cui le tendenze ransomware di qualche anno fa.
I premi globali per l'assicurazione informatica sono passati da meno di 5 miliardi di USD nel 2018 a circa 18 miliardi di USD quest'anno, secondo il Swiss Re Institute.
Le aziende sono state obbligate a sistemare la loro cybersecurity sotto linee guida sempre più rigide solo per ottenere una copertura. Le compagnie assicurative impiegano più tempo ad approvare chi coprono e stanno diventando più selettive.
La copertura si sta restringendo in parte a causa di un numero crescente di esclusioni che annullano la copertura in determinate circostanze (e l'"esclusione per guerra" è stata una delle principali).
L'accordo con Merck ha focalizzato l'attenzione del settore sulle sfide legate alla definizione delle esclusioni per guerra nelle polizze assicurative informatiche. È probabile che le compagnie assicurative inaspriscano ulteriormente il linguaggio, soprattutto per quanto riguarda l'esclusione per guerra, una tendenza che era già iniziata nel 2022.
E ha spostato l'attenzione anche tra gli acquirenti di assicurazioni. Quando prendono in considerazione un fornitore di assicurazioni, le aziende dovranno valutare attentamente esclusioni, periodi di attesa, limiti di polizza e altri fattori. Un altro elemento importante è stimare se un'azienda potrebbe essere vittima o presa di mira a causa di eventi geopolitici e considerare come le esclusioni possano lasciarla senza pagamenti nel caso in cui si verifichino gravi attacchi informatici sponsorizzati da uno Stato.
E soprattutto, concentrarsi sulla cybersecurity vera e propria, in particolare sugli strumenti di automazione e sull'AI.
Sebbene Merck e le relative cause legali e transazioni possano verosimilmente contribuire in modo sostanziale ai cambiamenti nei costi, nelle polizze, nelle esclusioni e nei limiti dell'assicurazione sulla cybersecurity, il fattore che contribuisce maggiormente è la crescente sofisticatezza e il costo crescente degli attacchi informatici in generale.