La invasión rusa ha multiplicado el riesgo cibernético y hay que tener en cuenta que la mayoría de las pólizas tienen exclusión de guerra
La invasión de Rusia a Ucrania y la posterior guerra que esta ha desencadenado se han cobrado ya un gran número de víctimas y provocado la huida de más de cuatro millones de civiles del territorio ucraniano. En paralelo, se ha intensificado otra guerra, la cibernética, que afecta a un cada vez mayor número de administraciones públicas, empresas y organizaciones de todos los tamaños. España ha sido objetivo en las últimas semanas de un 5 por ciento más de ciber-amenazas que antes del conflicto.
Como explica Carolina Daantje, directora de Ciberriesgos en WTW, “Desde el inicio de la guerra, los ciberataques, tanto los dirigidos a las infraestructuras del Estado como a los negocios y la población, no han dejado de crecer en todo el mundo. Algunos están promovidos directamente desde Rusia y otros parten de grupos de activistas de ambos bandos. El escenario de la ciberseguridad, ya previamente complejo, se torna cada vez más agresivo por el conflicto bélico y hay que extremar las precauciones”.
La cláusula de guerra y el papel de los seguros
A nivel nacional, el Ministerio de Defensa ha elevado el nivel de alerta cibernética al 3 (sobre 5), tras el incremento de la actividad detectada procedente de Rusia al inicio de la invasión de Ucrania. Pero la práctica totalidad de los seguros de ciberriesgo tiene algún tipo de cláusula de exclusión de guerra. Los detalles de cómo responderá cada póliza ante las pérdidas causadas por un ciberataque desplegado desde Rusia en el contexto de la invasión de Ucrania variarán, así, en función del seguro contratado.
Para los analistas de WTW es poco probable que una aseguradora decida eliminar este tipo de exclusión, pero sí hay ciertas cuestiones a tener en cuenta que pueden ayudar:
- La lista de eventos que activan la exclusión puede variar mucho. Aunque se conoce como exclusión de guerra, los eventos que la activan no tienen por qué referirse solamente a un conflicto armado. Pueden incluir hostilidades, sanciones y otras situaciones derivadas de la guerra. La lista de estos eventos debe ser revisada en detalle por el asegurado.
- La causalidad no siempre se interpreta de la misma manera. En función de la jurisdicción que aplique, los términos que definen la causalidad podrán ser interpretados de diferentes maneras. Expresiones como “derivado de” o “causado directa o indirectamente por” deben ser analizadas cuidadosamente.
- La cláusula de ciberterrorismo. En ocasiones, la exclusión de guerra no afecta a los sucesos de ciberterrorismo. Normalmente, las coberturas por terrorismo cibernético se limitan a ataques aislados desplegados por grupos con objetivos ideológicos concretos. Establecer si un evento es terrorismo o forma parte de una estrategia bélica más amplia será importante para determinar si la exclusión de guerra se activa o no.
Ante esta situación, desde WTW aconsejan que los asegurados trabajen con su broker para revisar en detalle su póliza de ciberriesgos y discutir posibles opciones de cobertura.
El conflicto cibernético no está limitado por las fronteras geográficas
Para los analistas de WTW, las empresas deben ser conscientes de que el conflicto cibernético no está limitado por las fronteras geográficas y cualquiera puede acabar siendo víctima indirecta de un ataque. Los daños de una infección por malware o un ataque a la cadena de suministro tecnológica pueden causar impactos financieros, operativos y reputacionales importantes.
En este contexto, WTW recomienda establecer una serie de medidas prioritarias para controlar en lo posible los daños cibernéticos:
- Concienciar a los empleados de la situación: el elemento humano sigue siendo la vulnerabilidad más explotada por los cibercriminales. Mediante técnicas de phishing o ingeniería social, los atacantes pueden tener acceso al sistema de toda la organización. Uno de los primeros pasos debe ser recordar a todos los empleados que han de estar atentos a cualquier correo electrónico sospechoso y, en particular, a aquellos que incluyan documentos adjuntos o enlaces desconocidos.
- Reforzar la estrategia de backup. En caso de ataque, contar con copias de seguridad recientes de los datos y del sistema permite recuperar la actividad más rápido y no interrumpir el negocio durante demasiado tiempo. Así, en esta situación, es clave revisar y reforzar la estrategia de backup de la compañía.
- Proteger los activos y las cuentas críticas: las organizaciones deben identificar sus activos críticos y aquellas cuentas con niveles de acceso elevados para protegerlas. Limitar los permisos de acceso o establecer niveles de autenticación más elevados son medidas que reducirán los riesgos.
- Analizar las vulnerabilidades de la cadena de suministro de tecnología: muchos de los últimos grandes ciberataques han estado dirigidos a proveedores de servicios tecnológicos, ya que las probabilidades de impactar en más empresas son altas. Las organizaciones deben analizar y conocer en profundidad su cadena de suministros de tecnología para responder de forma efectiva en caso de incidente.
- Reforzar la estrategia de detección, gestión y respuesta: esta debe estar optimizada al máximo para garantizar una detección, gestión y respuesta eficaces ante posibles ciberataques.