Sentimos muito mas seu browser não é suportado pela Marsh.com

Para uma melhor experiência, por favor faça o upgrade para um dos seguintes browsers:

X

PESQUISAS E INFORMATIVOS

Um Ano Após o Ataque do Notpetya Fica a Pergunta: Foi uma Guerra Cibernética?

 


Este verão foi marcado pelo aniversário do ataque cibernético mais caro da história. O NotPetya provocou perdas de bilhões de dólares em várias empresas: valores monetários perdidos, sistemas de computação danificados e ainda um investimento pesado para restaurar as operações globais. Após este ataque, indústrias inteiras reavaliaram as suas práticas de reparação, continuidade de negócio, interrupção da cadeia de fornecimento e outros.

Durante esse ano que passou desde o ataque NotPetya, já aprendemos muito sobre a dinâmica das ameaças cibernéticas, mas ainda há muitos detalhes difíceis de resolver. No entanto, uma discussão recorrente para a indústria dos seguros é se o NotPetya era ligado à guerra e, mais especificamente, se aquela exclusão de guerra encontrada em todas as apólices de seguro cibernético poderia ter evitado a cobertura. Um recente artigo do Wall Street Journal descreveu esta questão como: “a pergunta do milhão para as companhias que compram seguros cibernéticos".

Associar a exclusão por guerra com um evento cibernético não-físico como o NotPetya surge de dois fatores: (1) o NotPetya provocou prejuízos econômicos substanciais a várias empresas; e (2) os governos dos Estados Unidos e do Reino Unido atribuíram o ataque NotPetya ao exército russo. No entanto, só estes dois fatores não são suficientes para escalar este ataque cibernético não físico na categoria de guerra ou atividade "hostil e bélica". Estes argumentos que têm sido considerados pelos tribunais, e as decisões resultantes deles, que agora fazem parte da Lei do Conflito Armado, deixam claro que é preciso muito mais para se chegar à conclusão que uma ação é "bélica".


Primeiro: Quais foram os efeitos do ataque?

Para um ataque cibernético atingir o grau de atividade bélica, as suas consequências devem ir muito além de perdas econômicas, por maior que elas sejam. Anos antes do NotPetya, o presidente Obama classificou um ataque cibernético similar a uma companhia norteamericana,  que não provocou danos físicos, mas resultou em um “custo muito alto”, como  "um ato de vandalismo cibernético". Os seus comentários foram baseados em uma história legal de conflito armado na qual a atividade bélica sempre acarretava baixas ou escombros. Para um ataque cibernético entrar no escopo da exclusão de guerra, teria que haver um resultado comparável, equivalente ao uso de uma força militar.


Segundo: Quais foram as vitimas e onde elas estavam?

As vítimas atuavam na área militar e residiam perto do conflito real ou “em locais muito afastados da localidade ou objeto de qualquer guerra"? As vítimas mais destacadas do NotPetya operavam longe de qualquer campo de conflito e trabalhavam exclusivamente como meros civis, fazendo coisas como: entregar pacotes, produzir produtos farmacêuticos e fabricação de desinfetantes e bolachas.

Terceiro: Qual foi o propósito do ataque?

O NotPetya não era uma arma para apoiar o uso militar da força. O ataque ocorreu bem no dia anterior ao Dia da Constituição, no qual a Ucrânia celebra a sua independência. O caos resultante causado pelo NotPetya parecia mais ser um esforço de propaganda que uma ação militar destinada à “coerção ou conquista”, que era o que se pretendia abordar para usar a exclusão de guerra.

À medida que a gravidade dos ataques cibernéticos continuar aumentando, as seguradoras e os compradores de seguros voltarão a analisar se a exclusão de guerra deveria ser aplicada a um incidente cibernético. Nestas instâncias, para chegar a ser considerada uma atividade “bélica” será preciso mais que um Estado atuando com intenções maliciosas. Como é o caso das recentes acusações de oficiais da inteligência militar estrangeira por terem interferido nas eleições dos Estados Unidos. A maioria dos piratas cibernéticos do Estado ainda entra na categoria de atividade criminal.

O debate sobre se poderia ter sido aplicada ou não a exclusão de guerra ao NotPetya demonstra que se as seguradoras continuarão incluindo a exclusão de guerra nas apólices de seguro cibernético, a redação delas deverá ser verificada para deixar claro quais são as circunstâncias necessárias para considerá-la. Na falta desse esclarecimento, as seguradoras e os compradores de seguros deverão apelar para a Lei do Conflito Armado, que inclui sentenças que podem levar mais de um século para serem interpretadas, discernindo as categorias de atividades delitivas e ações bélicas. Quanto a esta última, todos os precedentes indicam que o NotPetya simplesmente não se enquadra como ação bélica.

Para obter mais informações a respeito deste assunto, entre em contato com o seu executivo local da Marsh, ou:

THOMAS REAGAN
US Cyber Practice Leader
+1 212 345 9452
thomas.reagan@marsh.com

MATTHEW MCCABE
Assistant General Counsel for Cyber Policy
+1 212 345 9642
matthew.p.mccabe@marsh.com