Apesar da crescente prevalência de ataques cibernéticos, o campo do seguro cibernético ainda é relativamente novo e está evoluindo.
As seguradoras estão constantemente reescrevendo suas apólices de seguro cibernético em resposta à natureza evolutiva dos riscos. À medida que os ataques cibernéticos se tornam mais sofisticados, as companhias de seguros, tentando minimizar sua exposição potencial, estão elaborando novas políticas tentando impor maiores encargos e condições aos segurados corporativos.
Embora cada apólice seja diferente, há alguns problemas recorrentes que as seguradoras levantam para evitar o pagamento do valor total de uma reivindicação cibernética.
Os segurados experientes que estão cientes desses problemas comuns, descritos abaixo, serão capazes de contorná-los com eficiência, maximizando assim sua recuperação potencial de seguro no caso de uma perda relacionada ao ciberespaço.
Este artigo examina alguns erros típicos do segurado que as seguradoras têm usado como base para reduzir a cobertura.
1) Preencha seus aplicativos cibernéticos com seu funcionário ou funcionário de segurança de TI
Os aplicativos de seguro cibernético tornaram-se mais específicos e direcionados em suas perguntas sobre sua infraestrutura e controles de segurança cibernética. As seguradoras podem usar quaisquer imprecisões nas respostas do seu aplicativo como base para tentar evitar a cobertura.
Por exemplo, um aplicativo de renovação cibernética de 2019 da Travelers Casualty and Surety Company of America pergunta aos candidatos se eles têm tecnologia de firewall ativa atualizada; software antivírus ativo atualizado em todos os computadores, redes e dispositivos móveis; um processo para baixar e instalar patches regularmente; um plano de recuperação de desastres; autenticação multifator; práticas de criptografia de dados; e estão em conformidade com os padrões de segurança do setor de cartões de pagamento.
Luma Al-Shibib, acionista, Anderson Kill
Essas questões técnicas geralmente estão além do conhecimento do pessoal que não é de TI, que normalmente é responsável pelos envios de solicitações de seguro.
Além de exigir aplicativos detalhados, não é incomum que as seguradoras agora exijam formulários de atestados separados para controles de segurança específicos.
Tais atestados podem listar requisitos mínimos que devem estar em vigor para obter cobertura cibernética.
O formulário de atestado de autenticação multifator de uma seguradora, por exemplo, pergunta aos candidatos não apenas se eles têm autenticação multifator para funcionários ao acessar o sistema por meio de um site ou serviço baseado em nuvem (por exemplo, ao fazer login remotamente de home), mas também para acesso interno não remoto ao diretório administrativo, firewalls, roteadores, endpoints e serviços (por exemplo, ao fazer login diretamente do escritório).
Ao preencher tais solicitações, é importante lembrar que quaisquer imprecisões podem ser usadas pela seguradora como base para negar sua reivindicação.
Essa é uma preocupação especialmente naquelas jurisdições, como Nova York, que permitem que uma seguradora rescinda uma apólice com base em um erro material em uma solicitação de seguro, mesmo quando esse erro não foi intencionalmente cometido pelo titular da apólice.
(Consulte a Lei de Seguros de NY McKinney § 3105, que permite que a seguradora rescinda uma apólice com base em uma declaração falsa relevante em um pedido de seguro se a seguradora puder demonstrar que se baseou nessa declaração falsa ao emitir a apólice; intencionalidade por parte da o titular da apólice não é necessário.)
Como um erro inadvertido no preenchimento de um aplicativo cibernético pode ser usado como base para negar a cobertura, o aplicativo deve ser preenchido por um oficial ou funcionário de segurança de TI ou em consulta próxima com um.
2) Identifique e resolva vulnerabilidades de segurança cibernética antes de um ataque
Avaliar regularmente seu sistema em busca de vulnerabilidades e instalar patches em tempo hábil não apenas ajuda a prevenir ataques cibernéticos, mas também minimiza um risco a capacidade da empresa de negar cobertura para seus custos de correção e recuperação com base no fato de que tais custos constituem melhorias em seu sistema.
Uma política cibernética pode ser escrita para barrar a cobertura de "atualizações", "aprimoramentos" ou "melhorias" do sistema.
Se sua apólice contiver tais disposições, sua companhia de seguros pode argumentar que certos custos de recuperação do sistema são para melhorias desnecessárias e tentar negar esses custos com base no fato de que a apólice cibernética não se destina a cobrir os aprimoramentos de um segurado em seu pré-ataque sistema.
3) Contrate especialistas cibernéticos pré-aprovados por sua seguradora se sua apólice assim exigir
As apólices de seguro cibernético só podem cobrir custos cibernéticos incorridos por meio do uso de seguros aprovados pela seguradora profissionais de cibersegurança.
Antes de contratar qualquer consultor cibernético externo ou realizar qualquer trabalho de investigação forense, restauração ou recuperação em seu sistema, verifique sua apólice para determinar se ela exige que você selecione de uma lista pré-aprovada de consultores designados pela seguradora. Algumas apólices permitem que o segurado contrate um consultor cibernético que não esteja na lista de profissionais designados pela seguradora, mas somente com a aprovação prévia por escrito da seguradora.
Se você contratar alguém que não esteja na lista pré-aprovada da seguradora de profissionais cibernéticos e não obter a aprovação prévia por escrito da seguradora para a retenção, a seguradora poderá usar isso como base para tentar negar ou reduzir a cobertura para sua reivindicação.
Geralmente, é uma boa prática revisar suas apólices antes que ocorra uma perda e fazê-lo com regularidade suficiente (por exemplo, semestralmente) para que você esteja familiarizado com suas coberturas, requisitos e limitações.
4) Revise e observe todas as apólices não cibernéticas que potencialmente cobrem sua reivindicação
Revise suas apólices não cibernéticas para determinar se elas cobrem potencialmente perdas relacionadas a cibersegurança e fornecem o que as seguradoras erroneamente chamam de cobertura “cibernética silenciosa” (não é “silenciosa” se a cobertura concedida abranger).
Essa cobertura potencial pode ser encontrada em sua apólice de responsabilidade geral, apólice de propriedade de terceiros, apólice de D&O e apólice de seguro criminal, entre outras.
Por exemplo, uma apólice de seguro criminal pode cobrir o resgate pago aos invasores para liberar o acesso ao seu sistema, arquivos e informações como resultado de um ataque de ransomware.
Um tribunal permitiu a possibilidade de tal cobertura em G&G Oil Co. of Indiana, Inc. v. Cont'l Western Ins. Co. (Ind. 18 de março de 2021), concluindo que o pagamento de ransomware pode ser coberto pela cláusula de “fraude de computador” da apólice criminal, mesmo que o segurado tenha recusado uma extensão de apólice para invasão de computador e cobertura de vírus. Este caso foi reenviado para o tribunal de primeira instância.
5) Sua apólice pode exigir que você reduza os danos de um ataque cibernético, mas não presuma que a seguradora concordará em pagar seus custos de mitigação
Apenas porque a apólice exige que você mitigue os danos de um ataque cibernético, não presuma que a seguradora concordará em cobrir seus custos de mitigação.
Steven Pudell, acionista, Anderson Kill
Se a apólice não disser explicitamente que cobre os custos de mitigação, a seguradora pode tentar negar cobertura para tais custos que não sejam expressamente cobertos por uma das cláusulas de cobertura da apólice.
Por exemplo, se você usar seus próprios funcionários assalariados de TI e segurança cibernética para responder a um ataque, a seguradora pode se recusar a cobrir os salários dos funcionários durante o tempo em que eles responderam ao ataque e pode argumentar que não tem nenhuma obrigação de acordo com a apólice de cobrir os salários dos funcionários, porque eles fazem parte das despesas operacionais normais do segurado e teriam sido incorridos na ausência do ataque cibernético.
A seguradora pode alegar que tais custos não estão cobertos, mesmo que seus funcionários de TI estejam trabalhando exclusivamente para responder e se recuperar do ataque cibernético e não estejam realizando suas tarefas e deveres regulares.
Além disso, a seguradora pode recusar a cobertura, mesmo que o uso de seus próprios funcionários reduza suas perdas cibernéticas (bem como a possível exposição da seguradora) e permita que você retome as operações mais rapidamente devido à familiaridade de seus funcionários com seu sistema e sua capacidade de iniciar a resposta à violação imediatamente.
6) Não presuma que a seguradora está operando para proteger seus interesses
Um erro comum do segurado é presumir que os interesses das seguradoras estão alinhados com os deles. Suponha, em vez disso, que o objetivo das companhias de seguros seja maximizar seus lucros e que elas adotem todas as defesas de cobertura e exclusões de apólices disponíveis para reduzir seus pagamentos.
No contexto do seguro de responsabilidade cibernética, especificamente, a seguradora pode exigir que você contrate um contador forense ou um consultor de sinistros cibernéticos de sua lista designada de especialistas em avaliação para auxiliar na avaliação de seu sinistro cibernético.
Nesses casos, não presuma que o especialista recomendado pela seguradora representa seus interesses.
Esse consultor de avaliação está em dívida com a seguradora, que ele vê como uma fonte de negócios repetidos – e não com você. Se você se encontrar nessa situação, é melhor contratar seu próprio profissional independente, especializado em reivindicações de seguro de responsabilidade cibernética, para aconselhá-lo em suas negociações com a seguradora e o consultor de avaliação terceirizado.
É provável que o seguro seja a última coisa em sua mente, ou certamente não no topo da sua lista, quando você sofre um ataque cibernético. Por esse motivo, é importante planejar com antecedência, educar-se e conhecer e entender seus direitos e obrigações sob sua política cibernética e outras políticas potencialmente responsivas agora, para que você seja mais capaz de proteger sua empresa no caso de ela sofrer um ataque cibernético. &
Luma S. Al-Shibib, acionista do escritório de Nova York de Anderson Kill P.C. Steven Pudell é um acionista gerente do escritório de Nova York de Anderson Kill P.C.