El cinco de febrero de 2016 algunos empleados de la clínica ‘Hollywood Presbyterian Medical Center’ notaron que no podían acceder a los historiales de sus pacientes, un poco más tarde tampoco pudieron acceder a la farmacia del Hospital para pedir los medicamentos necesarios para los tratamientos del día siguiente, hasta que finalmente perdieron cualquier tipo de acceso a su red.
Pronto se descubrió que el hospital estaba siendo víctima de un ataque de hackers que habían accedido de manera ilícita a la red del hospital, para encriptar todos los ficheros de datos donde se almacena la información del mismo, impidiendo así su actividad con el fin de pedir un rescate.
El resultado de este ataque fue: 911 pacientes redirigidos a otros hospitales, así como una gran cantidad de registros médicos tuvieron que ser apuntados a lápiz y papel para después ser incorporados a los ficheros de datos una vez resuelta la crisis. Sólo después que el Hospital hubiera pagado los 17000 dólares en bitcoins que reclamaban los hackers, les fueron proporcionadas las claves de encriptación que permitieron recuperar toda su información y volver a la normalidad.
Esto no es una novedad, ya que en los últimos años se han divulgado muchos casos de ataques cibernéticos con graves consecuencias, como los ataques a las compañías de seguros Blue Cross y Anthem en 2015, con exposición de datos de 11 y 78,8 Millones de clientes respectivamente, o el ataque a ficheros del gobierno de los Estados Unidos que comprometió los datos de 22 millones de funcionarios en activo y retirados.
Por otro lado en el caso de la empresa de supermercados Target, un ataque cibernético en el año 2013 hizo que se divulgaran los datos de las tarjetas de crédito de millones de clientes. Esto ha resultado en una serie de 140 juicios durante 3 años, con un coste para la empresa de 390 millones de dólares en indemnizaciones.
Pero Europa tampoco anda a la zaga, habiéndose divulgado también ataques a gran escala o de grandes consecuencias como los sufridos por el gigante de las telecomunicaciones Talk Talk en Reino Unido en otoño del 2015, los sufridos por la estación francesa de televisión TV5 Monde, el sistema de control de tráfico aéreo de Suecia, varias compañías energéticas de Noruega y una gran empresa siderúrgica de Alemania.
En el estudio “Net Losses: Estimating the Global Cost of Cybercrime” publicado en Junio del 2014 por el Centro de Estudios Estratégicos e Internacionales de la Empresa McAfee se estima en 400 mil millones de dólares el coste anual que el delito cibernético supone para la economía mundial.
La proliferación de casos como los anteriormente descritos y la necesidad de protección por parte de las empresas ante la exposición al riesgo cibernético ha movilizado a las compañías aseguradoras.
La emisión de pólizas de seguro cibernético supone un gran reto para los suscriptores, como explican Robert P Hartwig y Claire Wilkinson en su informe “Cyber Risk: Threat and opportunity” debido a la complejidad y naturaleza rápidamente cambiante de este tipo de riesgos, la escasez de datos históricos y la incertidumbre en lo que se refiere a la agregación y acumulación de riesgos mediante la propagación de incidentes entre unas empresas y otras.
A pesar de ello las compañías aseguradoras han asumido el reto y han creado pólizas exclusivas de Seguro cibernético con amplias coberturas entre las que podemos encontrar las siguientes:
- Responsabilidad Civil: Costes legales y sentencias judiciales después de un ciber ataque que resulte en un daño financiero a un tercero.
- Gestión de Crisis: Cubre los costes de notificar a los consumidores de un robo de datos así como los de contratar a una agencia de Relaciones Públicas y Comunicación para lanzar una campaña que restaure la reputación de la compañía.
- Responsabilidad de Directores y Directivos: Cubre la responsabilidad de los altos directivos cuando actúan en la toma de decisiones en nombre de la compañía.
- Interrupción de negocio: Cubre la pérdida de ingresos debido a un ataque en la red de la compañía que limita la capacidad de continuar los negocios.
- Extorsión cibernética: cubre la resolución de una amenaza de Extorsión contra la red de una compañía, así como el coste de contratar una empresa especializada en seguridad para identificar a los extorsionadores.
- Pérdida o deterioro de datos: cubre la pérdida de valiosos activos de datos como resultado de la actuación de virus maliciosos o caballos de Troya.
- Recompensas: cubre el coste de ofrecer una recompensa que incentive la identificación del delincuente que ha atacado los sistemas informáticos de una compañía.
- Filtración de Datos: cubre los gastos y la responsabilidad civil resultante de una filtración de datos
- Robo de Identidad: proporciona acceso a un Call Center de robo de identidad en caso de que haya sido suplantada la identidad de un empleado o de un cliente.
Centrándonos nuevamente en el caso de España, a pesar de contar con una oferta amplia de seguros cibernéticos por parte de las compañías aseguradoras que operan en nuestro país, el volumen de primas contratado es pequeño comparado con el resto de las economías más avanzadas de Europa. Y más aún todavía si se compara con EEUU, país que va claramente a la cabeza en lo que se refiere a la contratación de pólizas de seguro cibernético, con un volumen de primas de 3.250 Millones de dólares en el último año.
Los datos aportados por el mercado asegurador Lloyds en un estudio que ha llevado a cabo mediante una encuesta a 350 CEOs en Europa ponen de manifiesto que un 92% de los encuestados ya han sufrido un ataque cibernético, y sin embargo sólo un 42% de ellos manifiesta preocupación por nuevos ataques. Asimismo este estudio revela que un 73% de los ejecutivos encuestados tiene un conocimiento limitado sobre las pólizas de seguro cibernético e incluso un 50% de ellos desconocía por completo su existencia.
A día de hoy no existe obligatoriedad legal en nuestro país de comunicar los incidentes de ciber seguridad por parte de las empresas afectadas, lo cual podría estar afectando, según una asociación de CISOs consultada, al bajo volumen de seguros cibernéticos contratados ya que resta visibilidad al problema y al riesgo que representa.
La situación cambiará según anticipan destacados miembros de esta asociación, con la entrada en vigor en el año 2018 de la GDPR (General Data Protection Regulation). Esta nueva normativa europea en materia de protección de datos incluye entre otras, la obligatoriedad para las empresas de reportar a su regulador y al público afectado cualquier ataque cibernético que resulte en la pérdida o fuga de datos, y establece para ello un plazo máximo de 72 horas.
La nueva normativa también prevé multas de hasta 20 millones de euros o un 4% de la facturación total para los casos de fugas de datos, adicionalmente a la compensación por reclamación de daños debida a las personas o empresas perjudicadas. Esto en opinión de los expertos consultados, influirá de manera decisiva a la hora de aumentar la contratación de pólizas de seguro cibernético por las empresas de nuestro país.
Es necesario que antes de la contratación de una póliza de un ciber seguro con el fin de tener una compensación económica que permita la reparación de daños después de haber sufrido un ataque, que las empresas realicen una prevención adecuada del riesgo cibernético, mediante las actuaciones y las inversiones necesarias para dotarse de los mecanismos y medidas de seguridad necesarios.
De igual manera en materia de ciber seguridad existen normativas y certificaciones como la ISO 27001 o la COBIT 5, centros de referencia y ayuda a nivel nacional como el CCN (Centro Criptográfico Nacional) con foco en las grandes empresas y el INCIBE (Instituto Nacional de Ciberseguridad) para las PYMES y hogares; además de una amplia oferta de productos y soluciones tecnológicas.
En este último punto nuestro país se encuentra bien posicionado a tenor de los informes de los analistas ya que en el último año se han realizado inversiones en productos de ciber seguridad por un valor de 590 millones de Euros, que se prevé alcancen los 1000 millones en el 2019.
Si te encuentras entre el 67% de empresas españolas que según el estudio de Lloyds sabe poco o nada sobre la GDPR o entre el 50% de las europeas que desconoce la existencia de los seguros cibernéticos, quizás este inicio de año sea un buen momento para acometer el análisis de tu riesgo cibernético y adoptar las medidas de protección y prevención necesarias.
