Enquanto isso, a Mondelez e a Merck contestaram que o NotPetya foi uma “ação bélica” e a Merck observou ainda que não é certo que a Rússia esteja por trás do ataque, dadas as dificuldades de atribuir definitivamente ataques cibernéticos a um determinado perpetrador.
O caso Mondelez ainda está pendente, mas a Merck ganhou seu caso em dezembro, quando um tribunal de Nova Jersey decidiu que as seguradoras não podiam excluir o NotPetya de sua cobertura porque a exclusão de guerra “se aplicava apenas às formas tradicionais de guerra”. Foi uma vitória significativa para a empresa, mas pode não ser de longa duração para outras que serão vítimas de ataques cibernéticos patrocinados pelo Estado no futuro.
No início deste mês, o Lloyd’s de Londres emitiu um boletim observando que, “ao escrever riscos de ataques cibernéticos, os subscritores precisam levar em conta a possibilidade de que ataques apoiados pelo Estado possam ocorrer fora de uma guerra envolvendo força física”. Como a decisão da Merck sugere que esses ataques podem não ser considerados suficientemente “bélicos” para se enquadrar nas exclusões de guerra existentes, o boletim do Lloyd’s exige que os subscritores comecem a excluir explicitamente certos tipos de ataques cibernéticos apoiados pelo Estado de sua cobertura, especialmente ataques que “prejudiquem significativamente a capacidade de um estado funcionar” ou “que prejudiquem significativamente as capacidades de segurança de um estado”.
Essas novas exclusões podem ajudar as seguradoras a reduzir custos no curto prazo, mas serão ruins para o mercado de seguros cibernéticos no longo prazo. Os ataques cibernéticos patrocinados pelo Estado agora são tão comuns que, se as seguradoras começarem a se recusar a cobri-los ao mesmo tempo em que os governos continuarem aumentando suas capacidades cibernéticas, as empresas não comprarão essas apólices de seguro.
Isso poderá significar não apenas a redução da capacidade de as empresas se recuperarem financeiramente de ataques cibernéticos, bem como poderá torná-los esses ataques mais prováveis. Existe a preocupação de que as empresas que decidem não comprar um seguro cibernético também possam tomar menos precauções de segurança para proteger seus próprios dados e redes porque não precisam mais atender aos requisitos de suas seguradoras.
As seguradoras devem entender que ninguém vai querer comprar apólices (cada vez mais caras) que não cubram ataques de alguns dos adversários online sempre mais sofisticados e ativos. Ao excluir de sua cobertura apenas os ataques cibernéticos que ocorrem no contexto de guerras envolvendo força física, as seguradoras podem proteger melhor seus segurados e também seus próprios negócios em um mundo agora em constante alerta.
