El fallo ‘no malicioso’ de Microsoft pone a prueba las coberturas de los ciberseguros en todo el mundo

 

¿Es responsable una aseguradora de un fallo de ciberseguridad global no achacable a un ataque virtual sino a una incidencia empresarial? Esta es una de las dudas principales que impactan en la industria de seguro después de que hace unos días una actualización defectuosa sumiera en un caos informático a más de la mitad del planeta, incluyendo infraestructuras críticas de cualquier país, como servicios de transporte y hospitales. El software Falcon Sensor de Crowdstrike es uno de los pocos programas que utilizan las empresas como mecanismo de protección para los servicios de la Nube de Microsoft. ¿El problema? Que lo utilizan, en su gran mayoría, grandes empresas, dejando desprotegidas a las Pymes.

 

Según Damini Mago, associate director of product management, cyber en Moody’s, a priori los seguros cibernéticos no están destinados a aplicarse en los casos en los que no se ha producido un ciberataque, pero las coberturas dependen de cada contrato y hay que analizarlas caso por caso. En cualquier caso, Mago afirma que este incidente actúa como una llamada de atención y destaca varias lecciones clave para las empresas, la ciberseguridad y la industria de los seguros cibernéticos en general:

 

  1. Pruebas y validación: incluso los proveedores confiables deben realizar rigurosos procesos de validación antes de implementar actualizaciones. Esto puede mitigar el riesgo de potenciales incidencias generalizadas.
  2. Mecanismos de reversión: las empresas deben contar con mecanismos de reversión sólidos para volver rápidamente a estados anteriores en caso de actualizaciones problemáticas.
  3. Comunicación y soporte: los canales de comunicación eficaces y los mecanismos de soporte son cruciales para guiar a los usuarios a través de los procesos de resolución de problemas, especialmente durante incidentes generalizados.
  4. Equilibrio de riesgos: las organizaciones deben equilibrar la necesidad de actualizaciones automáticas para protegerse contra amenazas maliciosas con los riesgos potenciales de que dichas actualizaciones causen interrupciones.
  5. Claridad del seguro: la comprensión y la documentación claras de las pólizas de seguro cibernético son esenciales para determinar la cobertura en relación con dichos incidentes.

 

Además, el experto de Moody’s subraya que este incidente es un claro recordatorio del delicado equilibrio entre mantener la seguridad y la estabilidad en el ámbito de la ciberseguridad dentro de nuestro panorama digital cada vez más interconectado y complejo. También indica que, en principio, es más probable que las empresas que utilizan CrowdStrike tengan pólizas de seguro cibernético, aunque, en términos de cualquier reclamación, el alcance y los términos de cobertura dentro de una póliza cibernética individual variarán.  Como este incidente, aunque inicialmente reportado como no malicioso, comparte similitudes con ataques cibernéticos a gran escala en términos de su impacto disruptivo en los clientes de una aseguradora, las consecuencias podrían generar pérdidas, especialmente para los sectores que dependen en gran medida del tiempo de actividad de los sistemas.

 

Exposición ‘sistémica’ de las Pymes

 

En una línea similar se manifiestan desde Acrisure Re, indicando que las aseguradoras esperarán ver una ola de notificaciones en los próximos días, y es probable que se produzcan pérdidas en virtud de la aplicación de las cláusulas de seguro de interrupción del negocio. En este sentido, señalan también que La mayoría de las políticas cibernéticas incluyen desencadenantes de eventos maliciosos y no maliciosos, y la cobertura de interrupción del negocio generalmente se extiende a incidentes en proveedores de TI. Además, desde Acrisure afirman que las aseguradoras pueden esperar pérdidas adicionales si el reinicio manual requerido para los puntos finales individuales no es universalmente exitoso o si el tiempo de inactividad resultante genera una pérdida por interrupción del negocio mayor que simplemente reemplazar un dispositivo.

 

Desde el punto de vista corporativo, en Acrisure han indicado que CrowdStrike cuenta con una cuota de mercado estimada del 20% de CrowdStrike de la seguridad cibernética entre las grandes empresas (y el 50% de las empresas Fortune 500). Sin embargo, si se considera que más de 20.000 empresas utilizan CrowdStrike Falcon junto con Microsoft, y que muchos proveedores de servicios de seguridad gestionados (MSSP) otorgan licencias a Crowdstrike para sus clientes, se pone de relieve una exposición sistémica entre las Pymes. De acuerdo a sus cálculos, se estima que el número de empresas que dependen de un negocio que utiliza CrowdStrike Falcon junto con Microsoft es de millones. Por ello, desde Acrisure afirman que las aseguradoras tendrán que idear un plan para gestionar y abordar estas exposiciones, sin retirar la cobertura, que es claramente crucial para los compradores. A corto plazo, las aseguradoras deberían mantenerse firmes hasta que se aclare el panorama completo.