O acordo pode “subverter todo o ecossistema de seguros cibernéticos e tornar quase impossível obter cobertura cibernética significativa”
A Mondelez International resolveu seu processo contra a Zurich American Insurance Company, que foi movida porque a seguradora se recusou a cobrir a conta de limpeza de mais de US$ 100 milhões da gigante de lanches após o surto de NotPetya em 2017.
A batalha legal de anos sobre a reivindicação foi observada de perto por especialistas jurídicos e de seguros cibernéticos. Ajudou a alimentar um debate contínuo sobre o que constitui um ato de guerra – que mesmo no ciberespaço pode invalidar uma reivindicação de seguro – e se as seguradoras devem pagar danos causados por invasões de rede apoiadas ou organizadas por estados-nação.
A Mondelez, proprietária dos biscoitos Oreo, Sour Patch Kids, biscoitos Ritz e dezenas de outras marcas, se recusou a comentar o acordo. Um porta-voz da Zurich American, no entanto, nos disse que “as partes resolveram o assunto mutuamente”. Os detalhes do negócio não foram divulgados.
Embora isso torne difícil comentar, “Eu estaria disposto a apostar muito que, especialmente a transportadora, não quis revelar publicamente qual é sua posição de acordo sobre a aplicabilidade de exclusões de guerra e, particularmente, ambos os lados queriam evitar uma juiz tomando uma decisão definitiva sobre isso”, disse Bryan Cunningham, advogado e membro do conselho consultivo da Theon Technology.
“Se um juiz, ou cinco ou seis juízes em diferentes jurisdições começassem a dizer se um ataque cibernético pode ser razoavelmente atribuído a um estado-nação e, portanto, excluído, isso derrubaria todo o ecossistema de seguros cibernéticos e tornaria quase impossível obter cobertura cibernética significativa”, disse ele ao The Register .
A Mondelez processou a Zurich em 2018 depois que a companhia de seguros se recusou a cobrir os danos sofridos pela corporação de biscoitos como resultado do NotPetya , um tipo de malware de rápida expansão do sistema de arquivos que, segundo alguns, causou mais de US$ 10 bilhões em danos em todo o mundo e mais tarde foi atribuído a os militares russos. O NotPetya usou notavelmente o EternalBlue , um exploit da NSA roubado e vazado publicamente, para passar de uma máquina Windows vulnerável para uma máquina Windows vulnerável.
O grub goliath disse que depois que o NotPetya entrou em sua rede, 1.700 de seus servidores e 24.000 laptops foram infectados ou afetados, deixando a equipe incapaz de usar sistemas, aplicativos e dados.
“Como resultado dos danos causados tanto a seus sistemas de hardware quanto de software operacional, a MDLZ sofreu danos materiais, interrupções no fornecimento e distribuição comercial, pedidos de clientes não atendidos, margens reduzidas e outras perdas cobertas, agregando bem mais de $ 100.000.000”, de acordo com o tribunal documentos [ PDF ] arquivados pela Mondelez.
Na época, a apólice de seguro de propriedade e acidentes da Mondelez cobria “todos os riscos de perda ou dano físico”, bem como “perda ou dano físico a dados eletrônicos, programas ou software, incluindo perda ou dano causado pela introdução maliciosa de um código de máquina ou instrução”.
Então, por dano, a Mondelez entende uma série de coisas, desde a perda de dados até o comprometimento físico do equipamento. NotPetya embaralhou estruturas e documentos do sistema de arquivos. Restaurar esses dados não é trivial .
É assim que o biscoito se desfaz
Zurique, no entanto, negou a alegação, citando uma exclusão nas letras miúdas por “ação hostil ou bélica em tempo de paz ou guerra” por um “governo ou poder soberano”, argumentando efetivamente que as perdas NotPetya foram o resultado de um ato russo. De guerra. E, nesse caso, a Zurich não desembolsaria o dinheiro, levando a um processo sobre o assunto para extrair o dinheiro e a um acordo.
O confronto Mondelez-Zurich segue uma batalha legal semelhante entre a gigante farmacêutica Merck e sua seguradora, ACE American Insurance Company. Assim como a Mondelez, a Merck processou a seguradora por danos relacionados ao NotPetya. Em janeiro, o Tribunal Superior de Nova Jersey decidiu que o ato de exclusão de guerra se aplicava apenas à força armada física mais tradicional e ordenou que a seguradora pagasse à Merck US$ 1,4 bilhão.
O processo da Mondelez é “muito semelhante à situação da Merck, no sentido de que este é um incidente cibernético que está sendo considerado sob uma apólice de seguro de propriedade”, disse Peter Hawley, diretor de soluções de seguros na Europa para SecurityScorecard.
“A reivindicação em si seria, em face disso, feita de forma adequada, pois as circunstâncias são amplamente cobertas, exceto pela aplicação da cláusula de exclusão de guerra”, disse ele ao The Register . “O que infelizmente parece ter acontecido é que houve uma quebra de comunicação entre o cliente, seu corretor e a seguradora, quanto ao que se pretendia cobrir, ou não, e daí a disputa que se seguiu.”
O acordo também ocorre porque as apólices de seguro do Lloyd’s de Londres em breve deixarão de cobrir perdas de certos ataques cibernéticos a estados-nação e aqueles que ocorrerem durante guerras, declaradas ou não, a partir de 1º de abril de 2023.
“Acho que o Lloyd’s também reconhece que, até cerca de um ano atrás, as apólices de seguro cibernético eram ridiculamente subestimadas porque todas as empresas queriam entrar no mercado”, disse Cunningham. “Agora que vimos o risco de eventos cibernéticos verdadeiramente catastróficos, quero dizer, de trilhões de dólares, que podem levar à falência o setor global de seguros e resseguros cibernéticos, essas empresas estão lutando para descobrir maneiras de limitar sua exposição”.
Cunningham prevê que, como resultado, por exemplo, da exclusão do estado-nação do Lloyd’s, os governos intervirão e fornecerão algum tipo de programa de seguro cibernético, ou haverá reformas relacionadas a apólices de seguro e atribuição cibernética.
No mês passado, o Tesouro dos EUA publicou um pedido de comentário sobre questões relacionadas a seguros cibernéticos e incidentes cibernéticos catastróficos.
As medidas de política do governo podem incluir um programa de apoio para riscos de seguro cibernético nos moldes do Programa de Seguro de Risco de Terrorismo dos Estados Unidos , criado após o 11 de setembro, para ajudar as apólices de seguro de propriedade a incluir cobertura para danos causados por atos de terrorismo, disse Cunningham.
“É muito provável que eventualmente ocorra algum evento cibernético catastrófico que leve as seguradoras à falência”, disse ele. “Espero que tenhamos uma reforma do governo antes do evento.” ®
Leia mais https://www.theregister.com/2022/11/02/mondelez_zurich_notpetya_settlement/
