Resumen
- Merck reveló que el ciberataque a su red del 27 de junio de 2017 interrumpió las operaciones mundiales, incluyendo fabricación, investigación y ventas. Su Formulario 10-K de 2017 indicó que el ataque tuvo un efecto desfavorable en las ventas de aproximadamente $260 millones y generó $285 millones en gastos de fabricación y remediación, netos de aproximadamente $45 millones en recuperaciones de seguros.
- El Formulario 10-K de 2018 de Merck dijo más tarde que las ventas de 2018 se vieron afectadas desfavorablemente en aproximadamente $150 millones debido al retraso residual, y que persistían disputas con ciertas aseguradoras sobre alguna cobertura de seguro para reclamaciones relacionadas con el ciberataque de 2017.
- La opinión de apelación de Nueva Jersey describió el programa de seguros como veintiséis pólizas de propiedad a todo riesgo con límites totales de $1.75 mil millones por encima de un deducible de $150 millones, y dijo que la cobertura en disputa en la apelación totalizaba $699,475,000, justo por debajo del cuarenta por ciento de la cobertura total de Merck para el período de la póliza.
- La misma opinión afirmó que la exclusión de acción hostil/bélica no impedía la cobertura en las circunstancias presentadas. Esa fue una decisión sobre cobertura, no una contabilidad pública final de todos los pagos, todas las aseguradoras o todas las categorías de pérdidas.
- La apelación ante la Corte Suprema de Nueva Jersey terminó más tarde mediante un acuerdo y desistimiento antes de una decisión sobre el fondo. Los informes públicos describieron el acuerdo como confidencial o no revelado, por lo que el acuerdo no debe tratarse como una asignación pública final de quién pagó qué.
- La lección duradera de rendición de cuentas es más limitada que la leyenda: NotPetya hizo que la resiliencia empresarial, la continuidad del suministro farmacéutico, la contabilidad de pérdidas, la atribución y la redacción de seguros formaran parte del mismo registro de evidencia.
NotPetya convirtió la dependencia empresarial ordinaria en riesgo para el suministro de medicamentos
La experiencia de Merck con NotPetya es importante porque vincula una interrupción global de dominio Windows con las operaciones farmacéuticas y luego con la cobertura de seguros. El incidente no fue simplemente un problema del departamento de tecnología. Merck informó a los inversores que el ciberataque a la red del 27 de junio de 2017 interrumpió las operaciones mundiales, incluyendo fabricación, investigación y ventas. Una empresa que fabrica vacunas, medicamentos recetados y productos de salud animal no puede tratar ese tipo de interrupción como una limpieza rutinaria de endpoints.
El registro central de la empresa comienza en elFormulario 10-K de 2017 de Merck. Merck dijo que el ciberataque provocó una interrupción de las operaciones mundiales, incluyendo fabricación, investigación y ventas. Dijo que todas las plantas de fabricación estaban operativas en el momento de la presentación y estaban fabricando ingredientes farmacéuticos activos, formulando, envasando y enviando productos. También dijo que la fabricación externa no se vio afectada y que Merck continuó cumpliendo con los pedidos y enviando productos. Esas declaraciones son importantes porque evitan exageraciones. La presentación pública no dice que Merck detuviera todo el suministro de medicamentos a nivel mundial de forma indefinida. Dice que la empresa experimentó una interrupción grave mientras seguía enviando productos y luego restauró todas las plantas de fabricación.
La misma presentación cuantificó el efecto comercial. Merck dijo que no pudo cumplir con los pedidos de ciertos productos en ciertos mercados, lo que tuvo un efecto desfavorable en las ventas de 2017 de aproximadamente $260 millones. También registró gastos relacionados con la fabricación, principalmente variaciones desfavorables de fabricación, más gastos de remediación en las categorías administrativa y de investigación y desarrollo, que sumaron $285 millones en 2017, netos de recuperaciones de seguros de aproximadamente $45 millones. Merck también anticipó que el retraso residual en los pedidos afectaría desfavorablemente las ventas de 2018 en ciertos mercados en aproximadamente $200 millones.
El canal de presentación pública de Merck es importante porque no se trataba de estimaciones improvisadas en una entrevista de prensa. Lapágina de presentaciones ante la SEC para inversores de Merckdirige a los inversores al registro formal, y los informes anuales situaron el ciberataque dentro de la discusión sobre riesgos, resultados operativos y seguros. Esto le da al incidente una capa de rendición de cuentas pública de la que carecen muchos casos de ransomware. Las presentaciones no muestran el archivo interno de reclamaciones, pero sí muestran la visión pública de la gerencia sobre el efecto en las ventas, el reconocimiento de gastos, la restauración de la fabricación, las recuperaciones de seguros y las disputas de cobertura restantes. Para las juntas directivas, esa combinación es la forma mínima útil de divulgación de pérdidas cibernéticas: categoría operativa, medida financiera, período de tiempo, estado de recuperación e incertidumbre.
Esa cifra anticipada cambió a medida que maduró el registro. En suFormulario 10-K de 2018, Merck describió nuevamente el ciberataque a la red de 2017 y dijo que las ventas de 2018 se vieron afectadas desfavorablemente en ciertos mercados en aproximadamente $150 millones debido al ciberataque. La presentación repitió el efecto en las ventas de 2017 de aproximadamente $260 millones y la cifra de gastos de $285 millones, netos de aproximadamente $45 millones en recuperaciones de seguros. También dijo que Merck tenía cobertura de seguro contra los costos resultantes de ciberataques, había recibido ingresos y tenía disputas con ciertas aseguradoras sobre la disponibilidad de alguna cobertura de seguro para reclamaciones relacionadas con el ciberataque de 2017. UnFormulario 10-Q del tercer trimestre de 2018mostró la transición: los efectos en las ventas en los primeros nueve meses de 2018 fueron de aproximadamente $150 millones, incluido un impacto no material en el tercer trimestre, mientras que los costos de fabricación y remediación en los primeros nueve meses de 2018 fueron no materiales.
Estas presentaciones son más útiles que las estimaciones generales de pérdidas porque dividen el problema en categorías operativas. Las pérdidas de ventas se vincularon a pedidos no cumplidos en ciertos mercados. Los costos de fabricación se vincularon a variaciones desfavorables y a la recuperación. Los costos de remediación se vincularon al trabajo administrativo y de investigación. Se recibieron ingresos del seguro, pero no toda la cobertura fue indiscutida. Por lo tanto, una falla en la continuidad farmacéutica se convirtió en un problema de prueba: ¿qué se perdió, dónde, por qué, durante cuánto tiempo, bajo qué lenguaje de póliza, con qué deducible y con qué exclusiones?
El registro judicial dio a la disputa de seguros una columna vertebral técnica
El registro público de litigios más detallado es la opinión de 2023 de la División de Apelaciones de Nueva Jersey, disponible a través delPDF oficial de los tribunales de Nueva Jerseyy lacopia de Justia del caso Merck & Co., Inc. contra ACE American Insurance Co.. La opinión no es un informe técnico de incidentes, y no debe leerse como el archivo forense completo de Merck. Sin embargo, es inusualmente clara en las partes del registro que fueron importantes para la disputa de seguros.
El tribunal describió a Merck como buscando una sentencia declarativa bajo veintiséis pólizas de propiedad a todo riesgo por pérdidas causadas por el ataque de malware de junio de 2017 conocido como NotPetya. El programa de pólizas se extendió del 1 de junio de 2017 al 1 de junio de 2018 y tenía límites totales de $1.75 mil millones por encima de un deducible de $150 millones. El tribunal dijo que las partes disputaban $699,475,000 en cobertura, justo por debajo del cuarenta por ciento de la cobertura total de Merck para el período de la póliza. Esas cifras no son el costo económico total de Merck; son el monto de cobertura en disputa en ese registro de apelación. La distinción importa porque una pérdida puede ser mayor o menor que el monto que queda para una apelación legal en particular.
La opinión también resumió cómo el malware entró y se propagó según el registro ante el tribunal. Describió M.E.Doc, una aplicación de software de contabilidad ucraniana utilizada por Merck y otras empresas que hacen negocios en Ucrania, y un mecanismo de actualización comprometido. La opinión dijo que Merck recibió actualizaciones maliciosas a través de un servidor ubicado en Ucrania que verificaba automáticamente nuevas versiones de M.E.Doc. Describió a NotPetya como presentándose como ransomware, encriptando ciertos datos, haciendo que los sistemas fueran inaccesibles y dejando los sistemas infectados inoperables. En noventa segundos, según la opinión, alrededor de 10,000 máquinas en la red global de Merck estaban infectadas; en cinco minutos, alrededor de 20,000 máquinas estaban infectadas; en última instancia, más de 40,000 máquinas fueron infectadas.
Esa escala explica por qué esto no fue solo un problema local de la oficina de Ucrania. El malware llegó a una red corporativa global lo suficientemente rápido como para hacer que la resiliencia central, la identidad, la aplicación de parches, las copias de seguridad y la segmentación de la red formaran parte del mismo registro de rendición de cuentas. El tribunal citó la posición de Merck de que NotPetya provocó que las instalaciones de producción y las aplicaciones críticas se desconectaran e interrumpió masivamente las operaciones, incluyendo fabricación, investigación y desarrollo, y ventas. Ese es el lenguaje del registro del litigio, no un sustituto del detalle operativo planta por planta. Pero se alinea con las presentaciones de Merck ante la SEC, que describieron interrupciones en la fabricación, la investigación y las ventas.
Las fuentes técnicas públicas respaldan el contexto general de NotPetya. Laalerta de CISA sobre el ransomware Petyaadvirtió en junio de 2017 sobre la campaña y los pasos de mitigación. Elanálisis de Microsoft de junio de 2017describió el malware como una combinación de técnicas de ransomware con propagación similar a un gusano y abuso de credenciales. ElCentro Nacional de Ciberseguridad del Reino Unidoatribuyó más tarde NotPetya a la inteligencia militar rusa como parte de un registro de atribución pública más amplio, y ladeclaración de la Casa Blancadescribió a NotPetya como parte de un ciberataque imprudente e indiscriminado. Esas declaraciones públicas del gobierno son importantes para el contexto geopolítico. No decidieron automáticamente la cuestión del contrato de seguro en Nueva Jersey.
Los controles operativos implícitos en ese contexto técnico son familiares pero difíciles a escala.NIST SP 800-61 Rev. 2describe el manejo de incidentes como preparación, detección y análisis, contención, erradicación, recuperación y actividad posterior al incidente. En un evento de escala NotPetya, esas fases no se alinean perfectamente. Una empresa puede estar todavía detectando hosts afectados mientras contiene segmentos de red, restaura sistemas comerciales urgentes, preserva evidencia e informa a los líderes. El punto para Merck no es que las fuentes públicas demuestren cómo realizó cada fase. El punto es que la escala del evento hizo que el manejo de incidentes fuera una función de gobierno empresarial en lugar de una cola de mesa de ayuda.
La orientación sobre continuidad refuerza la misma lección.NIST SP 800-34 Rev. 1enmarca la planificación de contingencias en torno al impacto comercial, las prioridades de recuperación, el procesamiento alternativo y las pruebas del plan. LaGuía de Ransomware de CISAenfatiza la preparación, las copias de seguridad, la contención y la recuperación para incidentes de ransomware, mientras que el carácter destructivo de NotPetya significa que no debe tratarse como un ransomware recuperable ordinario. Estas fuentes no encuentran fallas en Merck. Ayudan a explicar por qué las operaciones farmacéuticas necesitan rutas de recuperación probadas para la identidad, el soporte de fabricación, la documentación de liberación, los sistemas de ventas y los registros de envío antes de que el malware llegue a decenas de miles de máquinas.
El fallo sobre la exclusión de guerra trataba sobre el lenguaje de la póliza, no sobre atribución moral
La lucha legal a menudo se simplifica como "¿fue NotPetya un acto de guerra?" La opinión de apelación fue más cuidadosa. Las aseguradoras invocaron una exclusión de acción hostil/bélica. Argumentaron que la cobertura estaba prohibida porque NotPetya supuestamente fue orquestado por actores que trabajaban para o en nombre de la Federación Rusa. Merck disputó la aplicación de la exclusión. El tribunal de primera instancia otorgó un juicio sumario parcial a favor de Merck, al considerar que la exclusión no se aplicaba para prohibir la cobertura. La División de Apelaciones confirmó.
El razonamiento de la opinión es importante porque separa la atribución de la interpretación del contrato. El tribunal señaló que las partes disputaban la atribución, y que el tribunal de primera instancia no necesitaba abordar la cuestión de la atribución al otorgar el juicio sumario parcial. La División de Apelaciones dijo que el lenguaje claro de la exclusión no respaldaba la interpretación de las aseguradoras. Explicó que la exclusión de daños causados por acción hostil o bélica de un gobierno o poder soberano, en tiempos de guerra o de paz, requería la participación de acción militar. La exclusión no decía que se excluyeran los daños derivados de cualquier acción gubernamental motivada por mala voluntad.
El tribunal también se centró en la redacción razonable de la póliza. Estuvo de acuerdo con el tribunal de primera instancia en que las aseguradoras sabían que los ciberataques de diversas formas, a veces de estados-nación, se habían vuelto más comunes, pero no cambiaron el lenguaje de la póliza para advertir razonablemente al asegurado de que los ciberataques estarían excluidos. El tribunal de apelaciones declaró que el lenguaje claro de la exclusión no incluía un ciberataque a una empresa no militar que proporcionaba software de contabilidad con fines comerciales a consumidores no militares, independientemente de si el ataque fue instigado por un actor privado o un gobierno o poder soberano. Consideró que las aseguradoras no habían cumplido con su carga de demostrar que la exclusión podía aplicarse justamente a NotPetya.
Esa decisión debe describirse con precisión. No dice que los ciberataques nunca puedan ser excluidos. No dice que la atribución gubernamental sea irrelevante en todas las pólizas. No dice que las exclusiones de guerra no tengan aplicación futura a las operaciones cibernéticas. No hace que Merck sea irreprochable en cada decisión de resiliencia. Dice que, según las pólizas y circunstancias ante el tribunal, las aseguradoras no demostraron que la exclusión de acción hostil/bélica impidiera la cobertura.
Esta distinción es donde la responsabilidad del seguro se vuelve operativa. Las aseguradoras controlan la redacción, las exclusiones, los sublímites, los endosos, las preguntas de suscripción y el precio de las primas. Los asegurados controlan cómo describen los activos, la exposición a interrupciones, los objetivos de recuperación y las dependencias cibernéticas. Los tribunales controlan la interpretación del lenguaje de la póliza después de una disputa. Si una póliza vendida antes de la pérdida no excluye claramente las operaciones cibernéticas vinculadas al estado, una aseguradora puede enfrentar el riesgo de que el lenguaje ordinario de propiedad a todo riesgo cubra más de lo que pretendía posteriormente. Si un asegurado confía en el seguro de propiedad como transferencia de pérdidas cibernéticas, puede enfrentar años de litigio antes de que el dinero sea seguro.
Por lo tanto, el caso Merck no solo preguntó si NotPetya era malo. Todos estuvieron de acuerdo en que fue destructivo. Preguntó quién había convertido ese riesgo cibernético en un riesgo de propiedad asignado contractualmente y si el lenguaje de exclusión era lo suficientemente claro como para devolver la pérdida a Merck. La respuesta del tribunal favoreció a Merck en esa exclusión. El acuerdo posterior puso fin a la lucha restante sin un mapa público final de pagos.
El acuerdo puso fin a la apelación, no a la brecha de evidencia pública
Después de la decisión de la División de Apelaciones, las aseguradoras solicitaron revisión ante la Corte Suprema de Nueva Jersey. Informes públicos en enero de 2024 dijeron que Merck y las aseguradoras habían llegado a un acuerdo antes de la audiencia programada.Reuters informóque Merck llegó a un acuerdo con las aseguradoras sobre la reclamación del ciberataque NotPetya, yInsurance Journal informóque los términos del acuerdo no fueron revelados.Cybersecurity Dive también informóque las partes resolvieron la lucha de seguros de alto perfil antes de que la Corte Suprema de Nueva Jersey pudiera intervenir. La cobertura legal pública y el registro del expediente judicial describieron el desistimiento tras el acuerdo en lugar de una opinión sobre el fondo del tribunal más alto del estado.
Ese estado final es importante. La opinión de la División de Apelaciones sigue siendo una decisión publicada importante sobre cobertura, pero la Corte Suprema no emitió un fallo final sobre el fondo. El acuerdo no reveló públicamente cuánto pagó cada aseguradora, si se pagaron todas las categorías de cobertura en disputa, cómo se manejaron los costos de defensa y los intereses, o si alguna de las partes mantuvo posiciones no públicas. Para la rendición de cuentas pública, el acuerdo es evidencia de que las partes resolvieron la disputa, no evidencia de una asignación pública completa de pérdidas.
Por eso es arriesgado citar una sola cifra principal como "el costo de NotPetya para Merck". El registro judicial describió $699,475,000 en cobertura en disputa en la apelación. Los relatos de noticias describieron una reclamación más amplia que los informes públicos a menudo redondeaban a aproximadamente $1.4 mil millones. Las presentaciones de Merck por separado dieron efectos en las ventas y gastos para 2017 y 2018 y describieron recuperaciones de seguros. Estos están relacionados, pero no son la misma medida. Una reclamación de póliza puede incluir daños a la propiedad, interrupción del negocio, gastos adicionales y otras categorías aseguradas. Un efecto en las ventas es una medida de ingresos. La variación de fabricación es una categoría de gastos contables. Un acuerdo es una resolución negociada. Tratarlos como intercambiables haría que el registro pareciera más seguro de lo que es.
La brecha de evidencia es especialmente importante para los mercados de riesgo cibernético. Aseguradoras, corredores, gestores de riesgos corporativos, juntas directivas y entidades del sector público observaron a Merck porque el fallo afectó las expectativas sobre las pérdidas cibernéticas bajo pólizas de propiedad. Pero el acuerdo público no da una regla judicial final de la Corte Suprema de Nueva Jersey ni una contabilidad actuarial pública. Las aseguradoras aún podrían responder cambiando la redacción. Los asegurados aún podrían responder comprando cobertura cibernética dedicada, exigiendo un lenguaje de guerra más claro o mapeando las superposiciones de propiedad y cibernéticas con más cuidado. La lección del mercado no es que el patrón de hechos de Merck siempre produzca cobertura. Es que una redacción ambigua o antigua puede dejar una enorme asignación de pérdidas cibernéticas sin resolver durante años.
La continuidad farmacéutica tenía un perfil de interés público diferente
El registro de NotPetya es diferente de muchas historias de malware corporativo porque el negocio afectado de Merck incluía vacunas y medicamentos. Las presentaciones públicas identifican productos farmacéuticos y productos de salud animal en los mercados globales. Un fabricante farmacéutico no solo pierde productividad de oficina cuando un ciberataque golpea los sistemas de fabricación y envío. Puede enfrentar decisiones de asignación de productos, retrasos en la liberación de lotes, escasez en el mercado, incertidumbre de inventario, desafíos logísticos de temperatura controlada, problemas de documentación regulatoria y consecuencias para pacientes o proveedores. El registro público no permite un mapa completo de daños producto por producto, pero las propias presentaciones de Merck muestran que ciertos pedidos en ciertos mercados no pudieron cumplirse.
El Formulario 10-K de 2017 también dijo que el cierre temporal de la producción contribuyó a la incapacidad de Merck para satisfacer la demanda más alta de lo esperado de Gardasil 9. Esa declaración debe tratarse con cuidado. No significa que NotPetya por sí solo causara todo el desequilibrio entre la oferta y la demanda de esa vacuna. Significa que Merck identificó el cierre como un factor contribuyente. El artículo no debe exagerar eso hasta convertirlo en un hallazgo público de daño al paciente, violación regulatoria o escasez generalizada de vacunas causada únicamente por malware. El punto es más preciso: la recuperación de malware puede chocar con la capacidad de producción y la demanda de maneras que importan fuera de la propia contabilidad de la empresa.
La continuidad del sector público es parte de esta historia aunque Merck sea una empresa privada. Gobiernos, programas de salud pública, hospitales, clínicas, farmacias, escuelas y pacientes pueden depender de un suministro farmacéutico constante. Cuando un fabricante no puede cumplir con ciertos pedidos en ciertos mercados, las consecuencias pueden pasar a los sistemas de adquisiciones y a la planificación de servicios de salud. Elprograma de escasez de medicamentos de la FDAmuestra cómo la disponibilidad de medicamentos se trata como una preocupación pública, aunque la página de la FDA no es un hallazgo sobre el evento NotPetya de Merck. La lente del interés público se justifica por la naturaleza de los productos, no por un hallazgo público de que NotPetya causó una escasez legal específica.
Las entidades pequeñas y medianas también aparecen aguas abajo. Clínicas independientes, farmacias, distribuidores, consultorios veterinarios y proveedores de salud locales pueden no tener acceso directo a la evidencia de recuperación operativa de Merck. Ven disponibilidad, sustituciones, pedidos pendientes y comunicación. Si un fabricante dice que los pedidos en ciertos mercados no pueden cumplirse, las contrapartes más pequeñas necesitan un estado transparente y señales de asignación justas. No pueden inspeccionar un proyecto de recuperación empresarial global. Esa asimetría es la razón por la que el registro de continuidad es importante para más que los accionistas y las aseguradoras.
El lenguaje de continuidad del negocio es útil aquí porque mantiene el análisis vinculado a la entrega en lugar del drama.ISO 22301describe la gestión de la continuidad en torno a la capacidad de una organización para seguir entregando productos y servicios dentro de plazos y capacidades aceptables. Para una empresa farmacéutica, ese concepto es concreto: la producción de ingredientes activos, la formulación, el envasado, la liberación de calidad, el envío, la asignación de mercado, el servicio al cliente y la documentación regulatoria tienen que volver a unirse después de un evento cibernético disruptivo. El registro público no prueba que cada una de esas funciones fallara en Merck, pero las propias presentaciones de Merck confirman que la fabricación, la investigación, las ventas, los pedidos y el retraso se vieron afectados lo suficiente como para requerir divulgación pública.
La dimensión de salud pública también complica la asignación de costos. Si una empresa incurre en gastos adicionales para mantener disponible un producto, eso puede parecer un costo financiero en un registro y un éxito de continuidad en otro. Si no puede cumplir con los pedidos en ciertos mercados, eso puede aparecer como ventas perdidas mientras que las contrapartes lo experimentan como estrés de adquisición. Si la fabricación externa no se ve afectada, como reveló Merck, eso puede ayudar a preservar el suministro pero no elimina los costos de recuperación internos. Por lo tanto, el seguro y la rendición de cuentas pública hacen preguntas diferentes: la aseguradora pregunta si el gasto se ajusta a la póliza; el público pregunta si los productos esenciales continuaron moviéndose con información justa y precisa.
Esa diferencia debería dar forma a los ejercicios de incidentes. Un ejercicio cibernético farmacéutico que termina cuando se restauran los sistemas pasa por alto la cuestión del suministro. El ejercicio debe preguntar qué productos están limitados, qué mercados están expuestos, qué documentos de liberación regulatoria se retrasan, qué clientes necesitan orientación sobre la asignación y qué agencias públicas pueden necesitar una advertencia temprana. También debe preguntar qué evidencia se está preservando para las aseguradoras y qué evidencia se está preservando para la garantía de suministro. Esos son archivos relacionados pero no idénticos. Una aseguradora puede necesitar facturas, costos de reconstrucción del sistema, cálculos de interrupción del negocio y soporte de causalidad. Una parte interesada de salud pública o adquisiciones puede necesitar estado, justificación de la asignación, tiempo de reemplazo y confianza en que los registros de calidad del producto permanezcan intactos.
Mantener esos archivos separados evita dos errores. El primer error es dejar que el lenguaje del seguro defina la historia pública. La cobertura puede depender de la redacción de la póliza, los deducibles, las exclusiones y las categorías de prueba que no se corresponden claramente con las consecuencias para el paciente o el proveedor. El segundo error es dejar que la tranquilidad pública destruya la evidencia de la reclamación. Una empresa bajo presión para decir "el suministro está bien" puede simplificar demasiado el registro que luego necesita para explicar los pedidos no cumplidos, las variaciones de fabricación o los gastos adicionales. Un programa de recuperación maduro debería poder decir, al mismo tiempo, lo que se sabe sobre la disponibilidad del producto y lo que todavía se está documentando para la recuperación financiera.
La resiliencia empresarial controló la primera pérdida; la evidencia controló la segunda
La primera pregunta de responsabilidad de Merck es operativa: ¿por qué NotPetya se propagó tan rápido e interrumpió tanto? El registro público describe una aplicación de terceros de confianza, actualizaciones automáticas, capacidad de comando y control oculta como verificaciones de actualización normales y una rápida propagación dentro de la red global de Merck. También describe más de 40,000 máquinas infectadas. Eso apunta a problemas comunes de resiliencia empresarial: dependencia de canales de actualización de confianza, segmentación, exposición de credenciales, alcance del dominio de Windows, acceso privilegiado, aislamiento de copias de seguridad, mapeo de dependencias de aplicaciones y capacidad para restaurar las operaciones centrales mientras se contiene el ataque.
Las fuentes públicas no proporcionan suficiente detalle para calificar los controles previos al incidente de Merck con precisión. No publican la arquitectura del dominio, el modelo de cuentas privilegiadas, el estado de los parches, la topología de las copias de seguridad, la línea de tiempo de detección de endpoints, las pruebas de recuperación ante desastres o el diseño de segmentación del sistema de fabricación. El registro judicial y las presentaciones sí muestran que la consecuencia afectó a la fabricación, la investigación y las ventas. Eso es suficiente para identificar las categorías de control responsables sin pretender conocer los hechos internos. Una empresa de la escala de Merck necesita saber qué vías empresariales pueden dejar fuera de línea las instalaciones de producción y las aplicaciones críticas, y qué tan rápido se pueden cortar esas vías.
La segunda pregunta de responsabilidad es probatoria: una vez que ocurrió la pérdida, ¿quién podía probar de qué se trataba? Merck necesitaba documentar los sistemas dañados, las operaciones interrumpidas, los gastos adicionales, los efectos en las ventas, las variaciones de fabricación, los trabajos de restauración, las recuperaciones de seguros y la cobertura de la póliza. Las aseguradoras necesitaban evaluar la causalidad, la cobertura, las exclusiones, los deducibles, los límites y la atribución. La disputa sobre la exclusión de acción hostil/bélica muestra cómo la evidencia técnica y el lenguaje de la póliza se entrelazan. Si NotPetya llegó a través de M.E.Doc, si estaba vinculado a un actor estatal, si dañó datos y software, si la pérdida fue directa y si la redacción de la póliza lo excluía, todo importaba.
Esa carga probatoria puede moldear el comportamiento de recuperación. Durante un incidente, una empresa debe restaurar las operaciones rápidamente. Durante una reclamación de seguro, debe preservar los registros. Esos objetivos pueden entrar en conflicto. Es posible que los sistemas deban reconstruirse antes de que se preserve cada artefacto. Las soluciones manuales pueden no generar automáticamente registros comerciales ordinarios. Los efectos en las ventas pueden mezclarse con cambios en la demanda, restricciones de inventario y comportamiento del mercado. Las variaciones de fabricación pueden incluir múltiples causas. Por lo tanto, la recuperación del seguro depende de una disciplina de contabilidad de pérdidas que esté lista antes de un ciberataque, no inventada después del hecho.
Las presentaciones de Merck muestran un rastro de contabilidad pública maduro en comparación con muchos incidentes. Dieron efectos específicos en las ventas y gastos, identificaron recuperaciones de seguros, revisaron el efecto esperado en las ventas de 2018 a medida que avanzaba el año y revelaron disputas con las aseguradoras. Aún así, el registro público no expuso el archivo de reclamaciones subyacente. No dijo qué pólizas pagaron qué montos, cómo se ajustó cada categoría o cómo se asignaron los ingresos del acuerdo. La rendición de cuentas pública puede respetar la confidencialidad sin dejar de preguntar si las juntas directivas y los gestores de riesgos tienen suficiente evidencia no pública para aprender del evento.
Esa evidencia no pública debería ser más rica que las cifras públicas. Debería conectar una interrupción del sistema con una variación de fabricación, un retraso con un mercado, un gasto adicional con una decisión de recuperación y una reclamación de seguro con el lenguaje de la póliza. Debería distinguir las ventas perdidas debido a la interrupción de los cambios en la demanda, las restricciones de inventario, el mantenimiento planificado y la volatilidad comercial ordinaria. Debería preservar por qué se utilizó una solución manual, quién la aprobó y si redujo el riesgo para la salud pública o solo redujo la pérdida financiera. Sin ese tejido conectivo, la organización puede saber que gastó dinero pero no si el gasto mejoró la resiliencia.
La misma evidencia puede respaldar una mejor prevención. Si las pérdidas más costosas provinieron de la reconstrucción de endpoints, la segmentación y la capacidad de recuperación de endpoints ascienden en la lista de inversiones. Si el problema de prueba más difícil provino del retraso en las ventas, los registros de pedidos y asignación necesitan una captura más resistente. Si la disputa más grande provino de la redacción de la póliza, la transferencia de riesgos necesita una revisión de colocación más clara. Si la preocupación pública más profunda provino de la disponibilidad de medicamentos, los ejercicios de recuperación deben incluir el suministro y la comunicación con el cliente, no solo la restauración del servidor. Un archivo de pérdidas que solo respalda el litigio es menos valioso que un archivo de pérdidas que también cambia los controles del próximo año.
La lección a nivel de junta directiva es que el diseño de la evidencia debe ser propio antes de la pérdida. Los equipos legal, financiero, de seguros, de fabricación, de suministro, cibernético, de calidad y de comunicaciones necesitan un vocabulario compartido para lo que cuenta como inicio de la interrupción, restauración de la función, asignación de productos, gastos adicionales, venta perdida, solución manual y recuperación final. Si cada equipo inventa sus definiciones durante una crisis, la empresa puede restaurar las operaciones mientras pierde el hilo necesario para mejorar los controles y respaldar las reclamaciones. NotPetya demostró que la evidencia de recuperación no es papeleo posterior al hecho; es parte de la resiliencia misma. Esa evidencia debe sobrevivir a la rotación de liderazgo, la presión del litigio y la memoria del mercado.
La redacción de los seguros cambió porque el mercado aprendió
Una de las razones por las que la disputa de Merck atrajo la atención es que reveló un desajuste entre el riesgo cibernético y la redacción tradicional de propiedad. Antes de que maduraran las pólizas cibernéticas dedicadas, muchas empresas confiaban en parte en programas de propiedad para daños físicos, interrupción del negocio, gastos adicionales y pérdida de datos o software. NotPetya demostró que el malware podía producir pérdidas similares a las de propiedad a una escala históricamente asociada con catástrofes, sin dejar de ser entregado a través de software y conflictos geopolíticos.
Los mercados de seguros respondieron con el tiempo con una redacción cibernética y de guerra más explícita. Lloyd's emitió posteriormente orientación del mercado sobre exclusiones de ciberataques, incluido el lenguaje de ciberataques respaldados por el estado, a través de boletines de mercado públicos como elBoletín de Mercado Y5381 de Lloyd's. El boletín de Lloyd's no forma parte del fallo judicial de Merck y no decide retroactivamente las pólizas de Merck. Es relevante porque muestra al mercado tratando de redactar reglas de asignación más explícitas después de la experiencia de pérdidas cibernéticas de alta gravedad.
Una redacción más clara puede ayudar a ambas partes. Las aseguradoras necesitan saber qué riesgos cibernéticos sistémicos están valorando. Los asegurados necesitan saber si las pólizas de propiedad, cibernéticas, de crimen y especializadas responden al malware que daña los sistemas e interrumpe las operaciones. Los gobiernos y los clientes de infraestructura crítica necesitan saber si los proveedores tienen una capacidad creíble de transferencia de riesgos o autoseguro después de una catástrofe cibernética. La ambigüedad puede preservar la flexibilidad del acuerdo en la colocación, pero puede convertirse en una costosa incertidumbre después de la pérdida.
El punto de responsabilidad no es que las aseguradoras se equivocaran al preocuparse por la acumulación cibernética vinculada al estado. Tenían un problema de agregación real: un solo evento de malware podría afectar a muchos asegurados a través de fronteras y sectores. El punto es que la preocupación de acumulación de una aseguradora tiene que traducirse en un lenguaje de póliza específico, claro, nítido y prominente. El tribunal de Nueva Jersey sostuvo que la exclusión de acción hostil/bélica que tenía ante sí no hizo ese trabajo para NotPetya.
Para los asegurados, la lección es igualmente exigente. Comprar un seguro no reemplaza la resiliencia. Merck todavía tenía que restaurar las operaciones, gestionar los pedidos, registrar las pérdidas, preservar la evidencia y seguir suministrando productos. El litigio del seguro duró años. Si la planificación de la continuidad supone que el pago de una reclamación llegará lo suficientemente rápido como para resolver la interrupción operativa, no es planificación de la continuidad. El seguro es una herramienta de recuperación financiera, no una herramienta de reinicio de la planta.
El proceso de colocación también necesita participación técnica. Una junta puede aprobar una torre de propiedad, una póliza cibernética y una estructura cautiva, pero las personas que entienden las dependencias de fabricación a menudo conocen los escenarios de pérdida reales. ¿Puede el malware corromper los datos de recetas, lotes, liberación o envío de una manera que el lenguaje de propiedad reconozca? ¿La cobertura de interrupción del negocio sigue el daño al software y los datos, o solo al equipo físico? ¿Están claramente cubiertos los gastos adicionales por producción alternativa, trabajo de calidad manual, consultores externos, reconstrucciones de endpoints y comunicación con el cliente? ¿Están redactadas las exclusiones cibernéticas vinculadas al estado de una manera que el comité de riesgos pueda modelar? La disputa de Merck demostró que estas preguntas deben hacerse antes de la renovación, no después de un evento de malware destructivo.
Una mejor prueba de responsabilidad para el próximo NotPetya
El registro de Merck sugiere una lista de verificación práctica para organizaciones con roles de producción críticos. Primero, mapee las rutas de actualización de confianza. M.E.Doc era una aplicación de confianza en el registro judicial. Una ruta de confianza puede convertirse en una ruta de atacante si se ve comprometida aguas arriba. Las empresas deben saber qué sistemas de actualización de terceros tienen alcance de red y qué entornos pueden tocar. Segundo, mapee el radio de explosión. ¿Hasta dónde pueden las credenciales, la confianza del dominio, la administración remota, el almacenamiento compartido y las herramientas de gestión de endpoints transportar el malware antes de que la segmentación lo frene? Tercero, mapee la operación mínima viable. ¿Qué funciones de fabricación, liberación, investigación, ventas y envío deben continuar, y qué sistemas limpios pueden respaldarlas?
Cuarto, ensaye la preservación de la evidencia. Los registros de incidentes, las copias de seguridad restauradas, los registros de reconstrucción, las notas de impacto en la producción, los efectos en el inventario, el retraso en las ventas y las aprobaciones de gastos adicionales deben poder recopilarse sin retrasar la recuperación urgente. Quinto, alinee el lenguaje del seguro con la realidad técnica. Si se espera que las pólizas de propiedad cubran la corrupción de datos, la restauración del sistema, los gastos adicionales y la interrupción del negocio por malware, esa expectativa debe ser explícita. Si las aseguradoras tienen la intención de excluir los eventos cibernéticos destructivos respaldados por el estado, esa exclusión debe ser lo suficientemente explícita como para que las juntas directivas comprendan el riesgo retenido antes de la pérdida. Sexto, mantenga las declaraciones públicas delimitadas. Las presentaciones de Merck hicieron esto mejor que muchas empresas al usar cifras específicas y revisar las expectativas.
El público también necesita mejores distinciones. Una declaración de atribución del gobierno no es lo mismo que una exclusión de la póliza. Un fallo de primera instancia o de apelación no es lo mismo que un fallo de la corte suprema. Un acuerdo no es una admisión pública de responsabilidad. Un efecto en las ventas no es lo mismo que una pérdida asegurada. El nombre de una familia de malware no es lo mismo que una causa raíz completa. Una planta de fabricación restaurada no es lo mismo que un impacto aguas abajo borrado. Tratar esos términos con cuidado no es un tecnicismo legal; es cómo la rendición de cuentas permanece ligada a la evidencia.
El registro de NotPetya de Merck sigue siendo uno de los ejemplos más claros de riesgo cibernético que se convierte en riesgo empresarial, de interés público y de seguro al mismo tiempo. La empresa controlaba partes de la resiliencia empresarial y la recuperación operativa. Las aseguradoras controlaban la redacción de las pólizas y las posiciones de cobertura. Los tribunales controlaban la interpretación del lenguaje impugnado. Los gobiernos controlaban las declaraciones públicas de atribución. Pacientes, proveedores, distribuidores, empleados y contrapartes más pequeñas vivían con consecuencias que no podían diagnosticar de forma independiente.
Es por eso que el caso sigue siendo importante después del acuerdo. El acuerdo cerró la lucha pública, pero no borró la lección operativa. Un evento de malware destructivo puede pasar de una actualización de software de confianza a decenas de miles de máquinas en minutos, interrumpir la fabricación y las ventas farmacéuticas, generar cientos de millones de dólares en efectos cuantificados y dejar a las partes sofisticadas discutiendo durante años sobre si se aplica el lenguaje de guerra antiguo. La próxima organización no debe esperar a ese argumento para descubrir lo que realmente significan sus redes, planes de recuperación y palabras de seguro.

