WTW 360° ¿Está tu programa de seguros preparado para un escenario crítico?: parte 3
Tercera parte de nuestra serie de seis artículos sobre siniestros. Tras empezar con los riesgos y las coberturas y pólizas del sector de la construcción y continuar con el del transporte, en este capítulo toca hablar de ciberriesgos. Lo haremos también de la mano de los ejemplos y lecciones expuestos por nuestros expertos durante el evento WTW 360° ¿Está tu programa de seguros preparado para un escenario crítico?, celebrado en Madrid el pasado mes de mayo.
Como en las dos primeras partes de la serie, recuperamos el marco de un caso práctico hipotético: un accidente en las obras de un aeropuerto que desata una serie de incidentes en cadena. La caída de una grúa de 60 metros de altura causa daños en una excavadora y un tanque asfaltador, daña una nave próxima y un avión aparcado en las cercanías y provoca el vuelco de un camión de reparto, un pequeño incendio y un derrumbe con cinco heridos.
Unas semanas antes de este siniestro en cadena, un grupo de cibercriminales había conseguido, mediante phishing, las credenciales de un empleado para acceder a los sistemas informáticos del aeropuerto. Con todo el tiempo del mundo y pasando desapercibido, el grupo había alojado un ransomware oculto con el que conseguían moverse lateralmente hacia otros sistemas del aeropuerto y acceder a todo tipo de datos.
Sin embargo, el accidente lo cambió todo. Viendo el caos organizado en el aeropuerto, los ciberdelincuentes activan el ransomware, pues creen que la situación les favorecerá para cobrar una elevada suma por el rescate de los datos. Así, en un instante, los equipos de los empleados de la concesionaria del aeropuerto son bloqueados, al igual que todos los ordenadores, los sistemas y las pantallas del aeropuerto. Nada funciona ni responde en el peor momento posible.
De acuerdo con los expertos de WTW que participaron en el evento, Ana Sultán, responsable de siniestros de Ciberriesgos, y Carmen Segovia, directora de FINEX Cataluña y Ciberriesgos, tras el ataque, el departamento de seguridad y sistemas del aeropuerto activa de forma inmediata su plan de respuesta ante incidentes de ciberseguridad. Dicho plan establece quiénes serán los miembros del equipo de respuesta ante ciberincidentes (CSIRT, por sus siglas en inglés) que coordinarán la respuesta entre las distintas partes involucradas. El siguiente paso, dentro del plan de respuesta, es activar el programa de seguros de ciberriesgos. Esta póliza incluye las siguientes coberturas:
01
Permite al CSIRT contactar con expertos en ciberseguridad designados por la concesionaria y la aseguradora. Estos expertos se conectan en remoto a los sistemas del aeropuerto para analizar lo sucedido, determinar qué información se ha visto comprometida y trabajar en la toma de decisiones para resolver la situación junto con el CSIRT. También se puede activar la cobertura de experto legal para asesoramiento en temas como, por ejemplo, la protección de datos.
Durante las primeras 72 horas, la póliza cubre ambos gastos en expertos sin franquicia. También es importante notificar el siniestro al corredor de seguros. En este tipo de siniestros de ciberseguridad surgen muchos imprevistos y el bróker facilita la gestión del problema en su conjunto.
02
Siguiendo las fases y protocolos establecidos en el plan de respuesta, la sociedad concesionaria empieza a incurrir en una serie de gastos con el objetivo de mantener un servicio mínimo en sus sistemas hasta conseguir reanudarlos por completo. De la activación de la infraestructura alternativa (como alquiler provisional de servidores y equipos) a la activación de las copias de respaldo y backups, pasando por las horas extraordinarias de los empleados, todo se consideran gastos de mitigación.
Es conveniente que el asegurado anote todos los costes en los que esté incurriendo a consecuencia del ataque para contabilizarlos en su posterior indemnización.
03
Una vez identificado que las principales copias de seguridad han sido encriptadas por los hackers, se inician los trabajos de recuperación de la información cifrada. Para ello, el CSIRT cuenta con apoyo externo con especialista en informática forense. Pasadas cuatro horas desde la activación del ransomware, los cibercriminales envían un correo al director general de la concesionaria del aeropuerto en el que se le exige el pago de un rescate de 100 BTC.
04
Es el momento de plantearse si se procede a pagar el rescate. El CSIRT, junto con otros responsables de la concesionaria del aeropuerto y la aseguradora, evalúa la situación para determinar las opciones que están sobre la mesa. En este caso, los equipos de recuperación consiguen restaurar las copias custodiadas offline, lo que les permite reanudar los sistemas antes de lo previsto, resolviendo una situación que se preveía complicada, y no acometer el pago del rescate.
En este tipo de situaciones, la póliza ofrece un experto para negociar con el ciberdelincuente. Además, si el asegurado decide finalemente abonar el rescate, la aseguradora no paga directamente al grupo criminal, sino que siempre hace un reembolso al tomador de la póliza.
05
Ante los indicios de que hayan podido existir filtraciones de datos, la Agencia Española de Protección de Datos (AEPD) abre una investigación formal para conocer los hechos y comprobar tales indicios. Mediante el bróker que intermedia la póliza, se notifica al asegurador la activación de la cobertura de procedimiento regulatorio y se designa un abogado que asesorará a las personas que van a comparecer a la investigación.
En materia de protección de datos, es importante tener en cuenta que la ley obliga a notificar a la AEPD en un plazo máximo de 72 horas desde que se tiene conocimiento del incidente. Dicha notificación suele ser, en un principio, preventiva. Si se iniciara un procedimiento sancionador, la póliza cubre la sanción impuesta y los gastos de defensa.
Una vez finalizada la gestión del incidente, toca analizar la pérdida de beneficio neto que haya podido causar la situación. Este cálculo incluye cuánto ha dejado de ganar la sociedad en el periodo de interrupción, antes de la deducción de impuestos y tras el desembolso en que incurra el asegurado, así como los gastos incurridos por la sociedad con el fin de garantizar la continuidad de los sistemas informáticos.
En este sentido, existen varias exclusiones a tener en cuenta: no están cubiertas posibles sanciones contractuales, daños materiales y/o corporales que el ciberataque hubiera podido ocasionar, ni la quiebra económica que la organización hubiese podido sufrir como consecuencia del acceso no autorizado a sus sistemas.
En resumen, las aseguradoras y los brókers son un pilar fundamental con el que sostener la respuesta de una organización a un problema de ciberseguridad, sea cual sea su magnitud. Acompañan a la empresa en el proceso de respuesta, en la recuperación de la actividad y en la mitigación de los daños que haya podido ocasiones el incidente.