Entre 2014 y 2015, la Universidad de California (UCLA) y en particular la actividad hospitalaria (Salud) fue víctima de un ciberataque. Provocó una filtración de datos sobre 4,5 millones de pacientes. Este hackeo siguió a otra gran campaña contra Anthem, una compañía de seguros de salud estadounidense. En ese momento, la UCLA fue criticada por no cifrar los datos de los pacientes. Hoy, el caso resurge en el terreno jurídico con una denuncia presentada por la Universidad contra Lloyd's de Londres, un mercado que agrupa a varias aseguradoras.
Venció el plazo para presentar denuncias
Se le acusa de no reembolsar las pérdidas relacionadas con el hackeo cubiertas por la póliza de seguro. Sostiene que el plazo de prescripción de las reclamaciones había expirado. La universidad ha pagado millones de dólares para notificar a las víctimas, remediar el ataque, defenderse y resolver demandas presentadas por los pacientes. Sin embargo, según una demanda presentada ante el Tribunal Superior de Los Ángeles titulada “Regents of the University of California v. Some Underwriters at Lloyd's, 238TCV14642, California Superior Court (Los Angeles)”, los 26 Regentes que forman parte del Consejo de la Universidad de California , cuyo papel está definido por la Constitución del Estado, declara que los aseguradores de Lloyd's se han "negado repetidamente a cubrir" las pérdidas relacionadas con el siniestro. Según la denuncia, esta negativa se basa únicamente en una. "supuesta" condición de cobertura, no mencionada en ninguno de los acuerdos de seguro, bajo la cual la Universidad busca el reembolso de la mayor parte de sus pérdidas. El Wall Street Journal ya había cubierto la historia.
Los demandados nombrados en la demanda del caso son asociaciones de aseguradores, conocidas como "sindicatos", que operan en el mercado de seguros del Lloyd's de Londres, Reino Unido. Los suscriptores afirmaron anteriormente que la Universidad de California no cumplió con las disposiciones de ciberseguridad de la póliza, lo que la universidad negó. Según UCLA, el argumento de las aseguradoras de que el plazo de prescripción para cualquier reclamo de cobertura expiró en junio de 2021 es inexacto, según la denuncia. "Los demandados también se negaron a seguir el procedimiento alternativo de resolución de disputas requerido por su propia póliza de seguro basándose en un plazo de prescripción infundado", afirma también la denuncia.
Una evolución del mercado de los ciberseguros
El panorama de los seguros cibernéticos ha experimentado cambios significativos recientemente. Con el aumento de la frecuencia y gravedad de los ataques de ransomware, phishing y denegación de servicio, la demanda y los requisitos de cobertura han evolucionado. Las políticas son cada vez más diversas, complejas, costosas y difíciles de obtener.lo que presenta a los CISO y sus empresas desafíos adicionales para invertir de manera óptima en seguros cibernéticos. "El caso de la Universidad de California/Lloyd's de Londres será interesante porque puede sentar precedentes sobre cómo la ley interpreta la solicitud de prescripción de la defensa en este contexto, pero también las cláusulas contractuales en casos de pérdida", explicó Paul Watts, analista de la Foro de Seguridad de la Información: “Es importante llamar la atención de las empresas sobre dos áreas clave: la lectura/interpretación de la letra pequeña de las pólizas de seguro cibernético y la importancia de una comunicación eficaz y proactiva entre las empresas y sus aseguradoras”, dijo nuevamente. explicó la consultora: “La empresa debe tener claras las estipulaciones, condiciones previas y requisitos de la póliza, y asegurarse de que puede cumplirlas (y probarlas). También debe revisarlas periódicamente y trabajar con su aseguradora para perfeccionarlas a la hora de actualizarlas. renovar la póliza Si estos requisitos implican un cierto grado de subjetividad, es mejor obtener una aclaración desde el principio; de lo contrario, es posible que tenga que negociar y discutir en medio de un reclamo, que es lo último que se puede hacer. desear ".
"Si una empresa tiene la mala suerte de afrontar una pérdida importante, cuanto antes contacte a las aseguradoras, más eficaz será la gestión de pérdidas", añadió. “Será interesante ver cómo evoluciona la cuestión de la prescripción de la defensa, ¿cuál es el plazo, ante los ojos de la ley, para presentar una reclamación? El resultado del caso ciertamente tendrá un impacto posterior en el mercado, por lo que es un asunto que se debe seguir con interés”, afirmó además el analista. El pasado mes de agosto, Lloyd's de Londres anunció que introduciría, a partir de 2023, exclusiones a la cobertura del seguro cibernético en caso de ataques “catastróficos” patrocinados por el estado. La aseguradora dijo que requeriría que todos sus grupos aseguradores apliquen una cláusula apropiada que excluya la responsabilidad por pérdidas resultantes de un ciberataque patrocinado por el Estado, de acuerdo con varios requisitos.
Otras noticias que te pueden interesar