We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X

Blog: El riesgo en contexto

¿Está protegido contra ataques cibernéticos contra barcos?

Por Tony Mayle Jueves, 15 Febrero 2018

Imagine este escenario: el capitán de un barco recibe una computadora portátil de un familiar que contiene un virus, y el capitán no lo sabe. La computadora portátil se usa a bordo de un barco sin protección antivirus y el virus infecta los sistemas del barco. El barco choca con otro barco.

Escenarios como este explican por qué el riesgo cibernético es una gran preocupación para la industria marítima, y plantea dudas sobre cómo respondería el seguro.

Algunos armadores han dado permiso a empresas especializadas para llevar a cabo pruebas de penetración de ciberataques. El resultado de una prueba de vulnerabilidad reciente concluyó que era posible:

  • Alterar la visualización de gráficos electrónicos y el sistema de información (ECDIS, por sus siglas en inglés) y muestre información de radar engañosa.
  • Distorsiona la ubicación del barco.
  • Oculta obstáculos del océano natural.
  • Deshabilita la maquinaria esencial.
  • Anula los sistemas de administración de combustible y lastre.

Es fácil ver cómo un ataque podría tener consecuencias catastróficas, pero lo que está menos claro es cómo respondería el seguro tradicional.

La Cláusula de Exclusión del Instituto del Ciberataque (ICAEC, por sus siglas en inglés) establece:

"Sujeto únicamente a la cláusula 1.2 a continuación, en ningún caso cubrirá este seguro la responsabilidad por daños o gastos causados directa o indirectamente por, o que hayan contribuido al uso o la operación, como medio para infligir daño, de cualquier computadora, sistema informático, programa de software, código malicioso, virus o proceso informático o cualquier otro sistema electrónico ".

El efecto de esta exclusión en una póliza de seguro de casco marino no está claro. En el Reino Unido, por ejemplo, no ha sido probado por ley; por lo tanto, cualquier opinión se basa en nuestra comprensión de cómo el lenguaje de exclusión puede ser interpretado por las aseguradoras.

Sin el ICAEC, para presentar una reclamación, el propietario del buque debe asumir la carga de la prueba y demostrar que la pérdida se produjo debido a un riesgo contra el que está asegurado. Para evitar el reclamo, las aseguradoras tendrían que mostrar que el reclamo fue excluido de otra manera.

El ICAEC potencialmente cambia esta posición. Las aseguradoras pueden opinar que el significado del primer párrafo de la exclusión es absoluto, y la cláusula no requiere que las aseguradoras demuestren que el código malicioso fue la causa inmediata de la pérdida, sino que simplemente contribuyó a ello.

Teniendo esto en cuenta, debe:

  • Verificar si su cobertura de seguro del casco está sujeta al ICAEC o similar.
  • Mantenerse al día con la orientación de la industria, como las Directrices de BIMCO sobre la seguridad cibernética a bordo de los buques.
  • Asegurarse de enfatizar adecuadamente los procesos y sistemas de prueba.
  • Tener una estrategia robusta de comando y control para enfrentar un ataque.

Tome medidas para cumplir con las obligaciones actuales y futuras en la ciberseguridad de los buques. Por ejemplo:

1. Los propietarios de buques cisterna, sujetos a investigación en el marco del Foro Marítimo Internacional de Compañías Petroleras, deben incorporar el riesgo cibernético como parte de sus políticas a partir del 1 de enero de 2018.

2. La Resolución MSC.428 (98) de la Organización Marítima Internacional requiere que los riesgos cibernéticos se aborden adecuadamente en los protocolos de gestión de la seguridad operacional y el código de gestión de la seguridad operacional internacional (ISM) antes del 1 de enero de 2021.

Marsh continuará analizando las implicaciones para los armadores de futuros eventos relacionados con el ciberespacio.

Relacionado con  Marine , Cyber Risk , Claims , Claims Management