Lo sentimos, pero su explorador no es compatible con Marsh.com

para una mejor experiencia, por favor actualice su navegador:

X

INVESTIGACIÓN Y BOLETINES

A un año del ataque de NotPetya, ¿fue una guerra cibernética?

Miércoles, 15 Agosto 2018

Por Matthew McCabe, Asesor Jurídico de Pólizas Cibernéticas en Marsh.

Este verano marcó el aniversario del ciberataque más costoso de la historia. NotPetya causó pérdidas de miles de millones de dólares en varias empresas por ingresos perdidos, sistemas de computación dañados, así como una inversión importante para restaurar sus operaciones globales. A su paso, industrias enteras reevaluaron sus prácticas de reparación, continuidad de negocio, interrupción en cadena de suministro, y más.

En el año transcurrido desde NotPetya, hemos aprendido mucho sobre el ataque, pero muchos detalles siguen siendo difíciles de resolver. Sin embargo, una discusión continua para la industria aseguradora es si NotPetya era "belicoso" y, más específicamente, si la omnipresente exclusión de guerra encontrada en las pólizas de seguro cibernético podría haber evitado la cobertura. Un artículo reciente del Wall Street Journal describió esto como "una pregunta multimillonaria para las compañías que compran seguros cibernéticos".

Asociar la exclusión de la guerra con un evento cibernético no físico como NotPetya surge de dos factores: (1) NotPetya infligió daños económicos sustanciales a varias compañías, y (2) los gobiernos de EE. UU. y UK atribuyeron el ataque NotPetya al ejército ruso. Sin embargo, estos dos factores por sí solos no son suficientes para escalar este ciberataque no físico a la categoría de guerra o actividad "hostil y belicosa". Estos términos de arte que han sido considerados por los tribunales, y las decisiones resultantes, que ahora son parte de la Ley de Conflicto Armado, dejan en claro que se requiere mucho más para llegar a la conclusión de una acción "bélica".

Primero: ¿Cuáles fueron los efectos del ataque?

Para que un ataque cibernético alcance el nivel de actividad bélica, sus consecuencias deben ir más allá de las pérdidas económicas, incluso de las grandes. Años antes de NotPetya, cuando se le pidió al presidente Obama que caracterizara un ciberataque similar del estado-nación que no infligió daños físicos, pero que resultó ser "muy costoso" para una compañía estadounidense, el presidente describió acertadamente el incidente como "un acto de vandalismo cibernético". Sus comentarios fueron respaldados por una historia legal de conflicto armado en el que la actividad bélica siempre conllevaba bajas o escombros. Para que un ciberataque caiga dentro del alcance de la exclusión de la guerra, debería haber un resultado comparable, equivalente a un uso de fuerza militar.

Segundo: ¿Quiénes fueron las víctimas y dónde se ubicaron?

¿Las víctimas tenían un propósito militar y residían cerca del conflicto real o "en lugares muy alejados de la localidad o el objeto de cualquier guerra"? Las víctimas más destacadas de NotPetya operaban lejos de cualquier campo de conflicto y trabajaban exclusivamente como civiles. tareas como la entrega de paquetes, la producción de productos farmacéuticos y la fabricación de desinfectantes y galletas.

Tercero: ¿Cuál fue el propósito del ataque?

NotPetya no era un arma que apoyaba el uso militar de la fuerza. El ataque ocurrió justo antes del Día de la Constitución, cuando Ucrania celebra su independencia. El caos resultante causado por NotPetya se parecía más a un esfuerzo de propaganda que a una acción militar destinada a la "coerción o conquista", que la exclusión de la guerra tenía la intención de abordar.

A medida que los ataques cibernéticos continúen aumentando en gravedad, las aseguradoras y los compradores de seguros volverán a analizar si la exclusión de la guerra debería aplicarse a un incidente cibernético. Para esas instancias, alcanzar el umbral de la actividad "bélica" requerirá más que un Estado actuando con intenciones maliciosas. Como lo demuestran las acusaciones recientes de oficiales de inteligencia militar extranjeros por interferir con las elecciones en los Estados Unidos, la mayoría de los piratas informáticos de Estado todavía caen en la categoría de actividad criminal.

El debate sobre si la exclusión de guerra podría haberse aplicado a NotPetya demuestra que si las aseguradoras van a continuar incluyendo la exclusión de guerra en las políticas de seguro cibernético, la redacción debe reformarse para dejar en claro las circunstancias necesarias para desencadenarla. En ausencia de esa aclaración, los aseguradores y los compradores de seguros deben incumplir la Ley de Conflicto Armado, que incluye sentencias que pueden tener más de un siglo de antigüedad, para discernir entre las categorías de actividades delictivas y acciones bélicas. En cuanto a este último, todos los precedentes indican que NotPetya simplemente no alcanzó ese nivel.

Para más información sobre este asunto, contáctese con su ejecutivo local de Marsh, o:

THOMAS REAGAN 

US Cyber Practice Leader 

+1 212 345 9452 

thomas.reagan@marsh.com 

MATTHEW MCCABE 

Assistant General Counsel for Cyber Policy 

+1 212 345 9642 

matthew.p.mccabe@marsh.com

 

 

Relacionado con:  Cyber Risk , Cyber Risk , cyber risk