El ataque cibernético al oleoducto Colonial ha despertado un nuevo interés en la cobertura de seguros en medio de la preocupación de que las compañías navieras y los barcos puedan ser los siguientes. El incidente es continuación de un aumento de los ataques cibernéticos a los sistemas operativos de las compañías navieras en los últimos años.
Thomas Brown, director ejecutivo del proveedor de pólizas de seguro cibernético Shoreline, afirma que: «Las compañías navieras están ahora directamente en el punto de mira de la lista de los ciberdelincuentes de oportunidades específicas y de alto valor … Las compañías navieras están en el punto de mira de los ciberdelincuentes».
Brown recuerda que este es un negocio altamente transaccional que requiere grandes pagos. Existe un alto grado de transparencia sobre las finanzas y una dependencia cada vez mayor de los sistemas informáticos. Es preocupante, dijo, la existencia de múltiples puertas marítimas y costeras a las que pueden acceder los piratas informáticos.
Los armadores también son cada vez más conscientes de las lagunas en la cobertura de seguros. Las cláusulas de ciberexclusión se han hecho explícitas en el casco y la maquinaria y otras pólizas de seguro marítimo desde el año pasado.
Es probable que las reaseguradoras agreguen una cláusula de exclusión cibernética cuando el enorme contrato de reaseguro del International Group of P&I Clubs se renueve el próximo año.
¿Pagos de rescate cubiertos?
Muchas pólizas cibernéticas relacionadas con el sector, como las proporcionadas por Willis Towers Watson y Astaara, cubrirán los pagos de rescate. Pero hay un signo de interrogación sobre cuánto tiempo continuará después de que la aseguradora Axa eliminase recientemente el pago del rescate de su cobertura de seguro por ciberataques maliciosos.
El pago de rescates por parte de las aseguradoras es un asunto delicado, ya que podría verse como un fomento de la criminalidad y podría estar relacionado con el terrorismo y el incumplimiento de las sanciones.
Fuentes del sector legal han explicado a TradeWinds que: “Antes de pagar un rescate, las aseguradoras deben realizar las verificaciones de diligencia debida pertinentes para determinar si el atacante cibernético está vinculado de alguna manera a una entidad o jurisdicciones sancionadas. No hacerlo puede resultar en una violación de los regímenes de sanciones pertinentes o de las regulaciones contra el terrorismo cibernético contra el lavado de dinero con graves consecuencias «.
Los corredores afirman que la principal preocupación de los armadores sigue siendo la interrupción del negocio en lugar de pagar un rescate.
El director ejecutivo marítimo global de Willis Towers Watson, Ben Abraham, afirma que: “El cierre del oleoducto Colonial en particular resalta la sensibilidad que rodea a aquellos sectores que dependen de la tecnología operativa, entre los que destaca el marítimo”.
Richard Adler, director comercial de Atlantic Insurance & Reinsurance Brokers, afirma que: “Los armadores están luchando por ver por qué, digamos, una pequeña o mediana empresa familiar de gestión privada, debería ser el objetivo. Pero los expertos cibernéticos tienen pocas dudas de que las cadenas de suministro actuales permiten una mayor exposición incluso a la parte más pequeña de la cadena «.
«La mayoría de los armadores que han visto esto bien se preocupan por el aspecto de la interrupción del negocio y la recuperación de los sistemas de un evento cibernético y menos por encontrarse con uno de sus barcos secuestrado y siendo obligado a pagar un rescate», agregó.