El seguro cibernético, ¿gasolina para los ataques?

272
ciberseguros
Business, Technology, Internet and network concept. Young businessman showing a word in a virtual tablet of the future: Cyber insurance

En ruedas de prensa, conferencias y seminarios, los expertos en ciberseguridad insisten en el escaso cuidado que prestan tanto empresas como ciudadanos a la hora de proteger sus móviles y sus ordenadores. Si en casa ponemos verjas, sistemas de alarma, puertas blindadas… ¿Por qué no hacer lo mismo con nuestro equipamiento informático? Lo que ha ocurrido es que la equivalencia empieza a ir mucho más allá. ¿Sí tenemos un seguro contra robos, por qué no tenerlo contra ciberataques? ¿Y qué empresa se prestaría a hacer un seguro semejante? Haberlas haylas, especialmente en Estados Unidos. Cyberark, empresa líder en Seguridad de Acceso Privilegiado para los Negocios Digitales, señala , en sus predicciones para 2020 que ” a pesar de las advertencias del gobierno de no pagar el rescate en ataques de ransomware, numerosas organizaciones están recurriendo a ciberseguros para proteger sus activos”.

Y afirma que en el 2020  veremos un aumento significativo en el número de entidades que adquieren seguros cibernéticos, lo que lo convierte en uno de los mercados de más rápido crecimiento relacionado con la seguridad cibernética”.

Prevén que el seguro cibernético llegue a convertirse en un mercado con un movimiento de 7.000 millones de dólares sólo en EE.UU. Sin embargo, esta inversión en “protección” está teniendo un efecto contrario, ya que generará olas de ataques aún mayores. Los atacantes asaltarán a organizaciones con seguro cibernético debido a la alta probabilidad de recibir un pago.

La fiebre del oro de los seguros beneficiará a los atacantes: inclinará el poder en su dirección, alimentará los recursos y estimulará la necesidad de una nueva política en la industria de seguros.

El incremento de demanda de los ciberseguros forma parte del efecto mariposa de los ataques de ransomware. Solo en los primeros nueve meses de 2019, hubo entre 600 y 700 ataques de ransomware contra agencias gubernamentales, proveedores de atención médica y escuelas, solo en EE.UU. Las Administraciones Públicas de todo el mundo se han enfrentado a una ingente cantidad de ataques de ransomware y el crecimiento continuará en 2020.

Con el objetivo de estos ataques puesto en la interrupción y la desestabilización de los sistemas, las ciudades deberán estar más enfocadas en la resistencia cibernética.

Lisa Myers, experta de We live Security, señala en su blog que un seguro cibernético ” nunca cubrirá la pérdida de actividad comercial por daños a la reputación“.

Y añade que aunque puede ser una excelente herramienta para ayudar a transferir el riesgo en caso de una filtración de seguridad cibernética, pero solo si se aplica con una previsión adecuada.

Según Myiers, al elegir cualquier tipo de seguro, lo más importante que debemos tener en cuenta son sus Limitaciones y Exclusiones. Éstos son los elementos que pueden “saltar” en una situación de necesidad y terminar invalidando el plan completo.

Lo que hay que tener en cuenta si finalmente se deciden a contratar ciberseguros

Hay que estar seguro de que el plan de ciberseguros ofrecido por la compañía incluye:

Cobertura retroactiva
Si al día siguiente de contratar tu seguro descubres una brecha originada hace meses, es probable que tu póliza no pague para remediar tu situación actual. Algunos planes te permiten antedatar tu plan para mejorar la probabilidad de que te cubra también en estas situaciones.

Datos no cifrados
Aunque tus bases de datos principales estén cifradas, si un empleado o proveedor independiente pierde datos confidenciales que no estén cifrados (como en una hoja de cálculo o un documento de texto), es posible que el seguro no los cubra.

Negligencia

Tener un seguro cibernético no significa que puedes descuidar las medidas de seguridad: te exigirán que te adhieras a los estándares razonables de seguridad para datos y redes. Cada vez vemos que más aseguradoras se rehúsan a pagar o incluso hasta asegurar inicialmente a empresas si consideran que no cuentan con las defensas suficientes. Es importante aclarar qué es lo que tu aseguradora considera “estándares razonables”.

La ciberseguridad está planteando nuevos problemas en el ámbito de las relaciones legales entre las aseguradoras y sus clientes. No hace falta remontarse muy lejos para recordar lo que le ocurrió a  SS&C Technologies.Inc con AIG y Tillage Commodities Fund.

Como ya informamos en Escudo Digital, la aseguradora AIG se negó a pagar los seis millones de cobertura ante un ciberataque de piratas informáticos chinos. El personal de SS&C fue acusado en 2016 de haber traspasado fondos pertenecientes a Tillage Commodities Fund, una empresa de inversión en materias primas. En su propia demanda contra SS&C, Tillage alegó que los empleados de SS&C no “ejercieron ni siquiera un mínimo de cuidado y responsabilidad en relación con amenazas de ciberseguridad conocidas y mínimas”. Y pone como ejemplo que en un correo electrónico en el que se hablaba de una transferencia de tres millones de dólares había frases coloquiales como “¿Qué tal ha ido el fin de semana?“. AIG sí cubrió el costo de la disputa legal de dos años de SS&C con Tillage, pero se negó a hacerse responsable de los $ 5.9 millones robados.


Datos proporcionados a terceros

Muchas pólizas no incluyen los datos que quedan a cargo de entidades externas, como servicios de soporte subcontratados, servicios en la nube, vendedores externos o grupos de relaciones públicas y marketing. En estos casos, es importante que las empresas que suministran dichos servicios cuenten con su propio seguro de responsabilidad

Datos en la nube y móviles, y registros impresos

Aunque para algunas personas es algo obvio, todos los registros que sean copias físicas impresas en papel no suelen estar cubiertos por los seguros cibernéticos. Lo que no es tan obvio es que, muchas veces, tampoco tienen cobertura los datos que se encuentran en dispositivos móviles ( portátiles, smartphones y tabletas) o en la nube.

Notificaciones de la cobertura directa

Aunque se suele dar por sentado que la cobertura directa incluye la notificación a los clientes afectados por la filtración de datos, en algunos casos este servicio no se suministra. Deberás verificarlo antes de suscribirte a un plan.

Servicios de verificación de identidad

A medida que se hacen más frecuentes las grandes brechas de seguridad, hay ciertos servicios de los seguros que ya se consideran obligatorios. Por ejemplo, en el caso de una filtración que involucre el robo de números de tarjetas de pago o de números de seguro social, los clientes esperarán recibir un servicio de verificación de identidad. Como el robo de datos médicos puede tener consecuencias a largo plazo, los clientes esperarán que se les brinde un servicio de verificación por un lapso de tiempo más prolongado: tras haber sufrido una filtración de datos reciente, en Estados Unidos las empresas Anthem, Premera y CareFirst ofrecieron un servicio de verificación por dos años. Como este servicio puede tener una duración tan extensa, es un elemento que conviene constatar antes de contratar el seguro.

Restauración de datos


Si un ataque ocasiona daños a los datos en lugar de (o además de) robo, seguramente necesitarás servicios de restauración. Dependiendo de la naturaleza y del alcance de los daños ocasionados, puede convertirse en algo muy carp, por lo que algunas pólizas no lo incluyen. Si estás dispuesto a renunciar a este elemento, deberás hacer backups periódicos-