Natureza ‘intangível’ do software levanta preocupações de seguro em decisão judicial

Um caso resolvido discretamente na Suprema Corte de Ohio no início deste mês contém linguagem que pode sinalizar mais problemas em meio às mudanças contínuas no seguro cibernético, principalmente para provedores de assistência médica que dependem de apólices de seguro alternativas para proteger a empresa no caso de uma queda de rede.

Sete juízes de Ohio decidiram por unanimidade a favor da Owners Insurance Company em um processo movido contra a seguradora pela EMOI, um fornecedor de software de faturamento médico no setor de saúde. A Owners Insurance forneceu à EMOI uma apólice de todos os riscos e negou uma reclamação referente a danos causados ​​por um ataque de ransomware em setembro de 2019.

Na decisão, os juízes afirmaram que o endosso do equipamento eletrônico da apólice era inequívoco ao exigir perda física direta ou dano à mídia eletrônica.

A linguagem que segue diretamente esta declaração deve incomodar a maioria dos líderes tecnológicos e cibernéticos: “Como o software é um item intangível que não pode sofrer perda física direta ou dano físico direto, o endosso não se aplica neste caso”.

A seção definida da política da EMOI descreve a mídia como sendo de natureza física, que os juízes determinaram que não pode ser aplicada ao software, pois não existe fisicamente sob essas definições. “‘Mídia coberta’ significa mídia que tem existência física”, de acordo com a decisão.

“O software de computador não pode sofrer ‘perda física direta ou dano físico’ porque não tem existência física”, continuou a decisão. “Software nada mais é do que um conjunto de instruções que um computador segue para executar tarefas específicas… Enquanto um computador ou outro meio eletrônico possui componentes eletrônicos físicos que são tangíveis por natureza, as informações armazenadas nele não têm presença física.”

“Em outras palavras, a informação – o software – é totalmente intangível”, acrescentou.

De uma perspectiva puramente técnica, esta linguagem claramente erra o alvo. Como explica Dave Bailey, vice-presidente de serviços de segurança da CynergisTek da Clearwater: “Se não for mais utilizável, embora não possa ser ‘destruído fisicamente’, é literalmente algo que você joga no lixo”.

Claramente, nenhuma empresa de segurança usaria uma unidade que não pudesse ser limpa ou recuperada de um ataque, pois não haveria garantia de que a ameaça fosse completamente eliminada. Em vez disso, a unidade passaria por um processo de destruição e não seria usada novamente.

A política da EMOI com Proprietários pode, de fato, incluir linguagem que vai além desses elementos técnicos, o que é uma questão mais ampla do ponto de vista geral do risco corporativo.

A Owners Insurance Company negou a reivindicação da EMOI por software danificado

O caso legal resultou de uma negação de reivindicações pela Owners Insurance, provocada em resposta ao ataque de ransomware de 2019. Depois de pesar o tempo e o custo da restauração, a EMOI optou por pagar um resgate de $ 35.000 para restaurar seus sistemas. Enquanto o descriptografador fornecido restaurou a maioria de seus sistemas, o servidor de seu sistema telefônico automatizado permaneceu criptografado.

A EMOI entrou com uma ação para recuperar suas perdas com o software danificado. Mas os Proprietários negaram a reclamação com base no fato de que não houve perda física ou dano diretamente vinculado ao ataque, conforme exigido pelo texto da apólice.

A negação gerou um processo que foi inicialmente indeferido antes que um recurso levasse um juiz de primeira instância a decidir a favor da EMOI. Mas a decisão da Suprema Corte de Ohio anulou essa decisão.

Os proprietários emitiram uma “apólice contra todos os riscos” e, para obter a decisão da Suprema Corte de Ohio, a seguradora teve que passar por uma “interpretação bastante torturada da linguagem da apólice”, disse Cristina M. Shea, sócia da ReedSmith.

Uma decisão, disse Shea, foi completamente errada. 

“Acho que a Suprema Corte de Ohio entendeu errado sobre a política”, disse Shea, ou seja, que a questão é que a definição de “mídia” dentro da política inclui a linguagem do software, que “implica ou assume que o software pode ser coberto” e “pode sofrer perdas ou danos físicos”.

“Caso contrário, não há razão para incluir a palavra software; se a lógica que eles estão aplicando a esta decisão fizesse algum sentido,” ela continuou.

Enquanto Shea observou que o caso pode ter escopo limitado fora de Ohio, por enquanto, ela e Bailey forneceram informações à SC Media sobre o que as organizações deveriam considerar agora em face da mudança no cenário de seguros.

Especialistas dizem que as entidades de saúde devem revisar a linguagem da política

Conforme relatado extensivamente pela SC Media , a área de saúde tem sido uma das mais afetadas pelas mudanças nos requisitos do seguro cibernético. Mesmo os sistemas de saúde com programas de segurança bem equipados têm lutado para atender às novas diretrizes. As mudanças levaram muitos a considerar alternativas de apólices ao seguro cibernético, como autosseguro ou outras apólices não cibernéticas.

Fazer isso, sem entender os perfis de risco e a linguagem das políticas, pode deixar muitas entidades sem uma rede de segurança em caso de interrupção da rede ou ataque cibernético relacionado.

Quando um segurado compra uma apólice de todos os riscos, presume-se que a cobertura inclua “todos os riscos, exceto aqueles que são especificamente excluídos”, explicou Shea. Este caso não se desenrolou desta forma, o que deve servir como uma lição para revisar todas as políticas para verificar a linguagem do contrato, especialmente se eles não tiverem uma política cibernética tradicional e autônoma.

A apólice da EMOI não era seguro cibernético, o que é uma vulnerabilidade em potencial. Shea enfatizou que os segurados devem realmente examinar sua cobertura de seguro para garantir que suas operações comerciais e os “riscos existentes sejam cobertos pelas apólices que adquiriram”.

“É muito mais sutil, eu acho, sob uma política tradicional que tem algum tipo de endosso cibernético”, acrescentou ela.

Para o caso EMOI, parece que a linguagem de subscrição usada na apólice não foi atualizada para um cenário digital moderno, explicou Bailey. A operadora não quis quitar o sinistro e focou na linguagem datada, o que possibilitou a decisão do estado.

Todas as organizações devem revisar suas políticas de edição, com foco no que realmente cobre, o que esperar após um incidente e se a política cobre as principais áreas de risco.

Tradicionalmente, as apólices de seguro cibernético foram projetadas com o único objetivo de pagar pelo incidente e apoiar as operações contínuas, explicou Bailey. Mas agora, as entidades estão usando apólices para pagar por comunicação, litígios de acompanhamento e necessidades de resposta semelhantes.

Com o surgimento do ransomware destrutivo e o que ele faz com as organizações em todo o mundo, essas políticas não podem mais dar suporte a esse modelo.

Embora seja uma pressão adicional para as equipes de segurança atingirem essas metas, também oferece uma oportunidade de obter maior investimento nas necessidades de segurança do C-Suite e dos conselhos. Os líderes de segurança devem inverter o roteiro e avaliar a criticidade dos sistemas na função de atendimento ao paciente e operações comerciais gerais, como cobrança, e depois ter essas conversas difíceis com a liderança. 

Ao falar com o CFO, as perguntas devem se concentrar na perda de receita a cada dia em que um sistema fica inativo, no custo do desvio de atendimento e quanto é perdido no faturamento a cada dia em que um sistema está inativo. Como visto com o recente fechamento temporário de um hospital de Illinois , há evidências do mundo real para fornecer aos tomadores de decisão da organização a obtenção de um financiamento cibernético mais amplo.

Bailey foi pressionado a acrescentar que, do ponto de vista da segurança purista, tudo o que as seguradoras cibernéticas exigem dos sistemas são funções e ferramentas que as organizações deveriam fazer no cenário moderno de ameaças.

Na área da saúde, no entanto, a capacidade de implementar esses requisitos é um grande desafio. Muitas entidades estão operando com margens de 1% a 2%, mesmo antes do ataque do COVID-19. Existem razões por trás da falta de implementação das melhores práticas de segurança, “e não é porque eles são estúpidos”.

Esses requisitos são “um investimento”. Bailey enfatizou que o que as operadoras estão realmente dizendo é que “se você deseja evitar as ameaças de hoje, deve se concentrar nas identidades”, autenticação multifatorial, tecnologia EDR e bons planos de resposta a incidentes. “É potencialmente a diferença entre continuar a operar como um negócio ou não.”

Autor: Jéssica Davis
Fonte: https://www.scmagazine.com/