Resumen

  • MERCK reveló que el ciberataque a la red del 27 de junio de 2017 interrumpió operaciones a nivel mundial, incluyendo fabricación, investigación y ventas. Su Formulario 10-K de 2017 indicó que el ataque tuvo un efecto desfavorable en las ventas de 2017 de aproximadamente 260 millones de dólares y generó 285 millones de dólares en gastos de fabricación y remediación, netos de aproximadamente 45 millones en recuperaciones de seguros.
  • El Formulario 10-K de 2018 de MERCK señaló posteriormente que las ventas de 2018 se vieron afectadas desfavorablemente en unos 150 millones de dólares debido al retraso residual, y que persistían disputas con ciertas aseguradoras sobre alguna cobertura de seguro para reclamaciones relacionadas con el ciberataque de 2017.
  • La opinión de la División de Apelaciones de Nueva Jersey describió el programa de seguros como veintiséis pólizas de propiedad a todo riesgo con límites totales de 1.750 millones de dólares por encima de un deducible de 150 millones, y dijo que la cobertura en disputa en la apelación ascendía a 699.475.000 dólares, algo menos del cuarenta por ciento de la cobertura total de MERCK para el período de la póliza.
  • La misma opinión confirmó que la exclusión por acto hostil/bélico no excluía la cobertura en las circunstancias presentadas. Se trató de una decisión sobre cobertura, no de una contabilidad final pública de todos los pagos, todas las aseguradoras o todas las categorías de pérdidas.
  • La apelación ante el Tribunal Supremo de Nueva Jersey terminó posteriormente mediante un acuerdo y desistimiento antes de una decisión sobre el fondo. Los informes públicos describieron el acuerdo como confidencial o no divulgado, por lo que no debe considerarse como una asignación final pública de quién pagó qué.
  • La lección duradera sobre responsabilidad es más limitada que la leyenda: NotPetya hizo que la resiliencia empresarial, la continuidad del suministro farmacéutico, la contabilidad de pérdidas, la atribución y la redacción de pólizas formaran parte del mismo registro de evidencia.

NotPetya convirtió la dependencia empresarial ordinaria en un riesgo para el suministro de medicamentos

La experiencia de MERCK con NotPetya importa porque vincula una interrupción global del dominio de Windows con las operaciones farmacéuticas y luego con la cobertura de seguros. El incidente no fue meramente un problema del departamento de tecnología. MERCK informó a los inversores que el ciberataque a la red del 27 de junio de 2017 interrumpió las operaciones mundiales, incluidas la fabricación, la investigación y las ventas. Una empresa que fabrica vacunas, medicamentos recetados y productos de salud animal no puede tratar ese tipo de interrupción como una simple limpieza de equipos.

El registro central de la empresa comienza en elFormulario 10-K de 2017 de MERCK. MERCK dijo que el ciberataque provocó una interrupción de las operaciones mundiales, incluidas la fabricación, la investigación y las ventas. Dijo que todos los centros de fabricación estaban operativos en el momento de la presentación y estaban fabricando ingredientes farmacéuticos activos, formulando, envasando y enviando productos. También dijo que la fabricación externa no se vio afectada y que MERCK continuó cumpliendo con los pedidos y enviando productos. Estas declaraciones son importantes porque evitan exageraciones. La presentación pública no dice que MERCK detuviera todo el suministro de medicamentos a nivel mundial de forma indefinida. Dice que la empresa experimentó una interrupción grave mientras continuaba enviando productos y posteriormente restableció todos los centros de fabricación.

La misma presentación cuantificó el efecto empresarial. MERCK dijo que no pudo cumplir con los pedidos de ciertos productos en ciertos mercados, lo que tuvo un efecto desfavorable en las ventas de 2017 de aproximadamente 260 millones de dólares. También registró gastos relacionados con la fabricación, principalmente variaciones de fabricación desfavorables, además de gastos de remediación en las categorías de administración e investigación y desarrollo, que totalizaron 285 millones de dólares en 2017 netos de recuperaciones de seguros de aproximadamente 45 millones de dólares.

MERCK también anticipó que la cartera de pedidos residual afectaría desfavorablemente las ventas de 2018 en ciertos mercados en aproximadamente 200 millones de dólares.

El canal de presentación pública de MERCK importa porque no se trató de estimaciones improvisadas en una entrevista de prensa. La página de presentaciones de MERCK ante la SEC para inversores dirige a los inversores al registro formal, y los informes anuales situaron el ciberataque dentro de la discusión sobre riesgos, resultados operativos y seguros. Esto le da al incidente una capa de responsabilidad pública de la que carecen muchos casos de ransomware.

Las presentaciones no muestran el expediente interno de reclamaciones, pero sí muestran la visión pública de la dirección sobre el efecto en las ventas, el reconocimiento de gastos, la restauración de la fabricación, las recuperaciones de seguros y las disputas de cobertura restantes. Para las juntas directivas, esa combinación es la forma mínima útil de divulgación de pérdidas cibernéticas: categoría operativa, medida financiera, período de tiempo, estado de recuperación e incertidumbre.

Esa cifra anticipada cambió a medida que maduró el registro. En suFormulario 10-K de 2018, MERCK describió nuevamente el ciberataque a la red de 2017 y dijo que las ventas de 2018 se vieron afectadas desfavorablemente en ciertos mercados en aproximadamente 150 millones de dólares a causa del ciberataque. La presentación repitió el efecto en las ventas de aproximadamente 260 millones de dólares en 2017 y la cifra de gastos de 285 millones de dólares netos de aproximadamente 45 millones en recuperaciones de seguros. También dijo que MERCK tenía cobertura de seguro que aseguraba contra los costos resultantes de ciberataques, había recibido ingresos y tenía disputas con ciertas aseguradoras sobre la disponibilidad de alguna cobertura de seguro para reclamaciones relacionadas con el ciberataque de 2017. UnFormulario 10-Q del tercer trimestre de 2018mostró la transición: los efectos en las ventas en los primeros nueve meses de 2018 fueron de aproximadamente 150 millones de dólares, incluido un impacto insignificante en el tercer trimestre, mientras que los costos de fabricación y remediación en los primeros nueve meses de 2018 fueron insignificantes.

Estas presentaciones son más útiles que las estimaciones generales de pérdidas porque dividen el problema en categorías operativas. Las pérdidas de ventas se vincularon a pedidos no cumplidos en ciertos mercados. Los costos de fabricación se vincularon a variaciones desfavorables y recuperación. Los costos de remediación se vincularon a trabajos administrativos y de investigación. Se recibieron ingresos de seguros, pero no toda la cobertura estuvo libre de controversia.

Por lo tanto, una falla en la continuidad farmacéutica se convirtió en un problema de prueba: ¿qué se perdió, dónde, por qué, durante cuánto tiempo, bajo qué lenguaje de póliza, con qué deducible y con qué exclusiones?

El expediente judicial dio a la disputa de seguros un fundamento técnico

El registro público de litigios más detallado es la opinión de 2023 de la División de Apelaciones de Nueva Jersey, disponible a través delPDF oficial de los tribunales de Nueva Jerseyy lacopia de Justia de Merck & Co., Inc. v. ACE American Insurance Co.. La opinión no es un informe técnico de incidentes, y no debe leerse como el archivo forense completo de MERCK. Sin embargo, es inusualmente clara sobre las partes del registro que importaban para la disputa de seguros.

El tribunal describió a MERCK como la parte que buscaba una sentencia declarativa bajo veintiséis pólizas de propiedad a todo riesgo por pérdidas causadas por el ataque de malware de junio de 2017 conocido como NotPetya. El programa de pólizas se extendió desde el 1 de junio de 2017 hasta el 1 de junio de 2018 y tenía límites totales de 1.750 millones de dólares por encima de un deducible de 150 millones. El tribunal dijo que las partes disputaban 699.475.000 dólares en cobertura, algo menos del cuarenta por ciento de la cobertura total de MERCK para el período de la póliza.

Esas cifras no son el costo económico total de MERCK; son el monto de cobertura en disputa en ese registro de apelación. La distinción importa porque una pérdida puede ser mayor o menor que el monto restante para una apelación legal en particular.

La opinión también resumió cómo el malware ingresó y se propagó según el registro ante el tribunal. Describió M.E.Doc, una aplicación de software de contabilidad ucraniana utilizada por MERCK y otras empresas que hacen negocios en Ucrania, y un mecanismo de actualización comprometido. La opinión dijo que MERCK recibió actualizaciones maliciosas a través de un servidor ubicado en Ucrania que verificaba automáticamente nuevas versiones de M.E.Doc. Describió NotPetya como un malware que se presentaba como ransomware, encriptando ciertos datos, haciendo que los sistemas fueran inaccesibles y dejando los sistemas infectados inoperables.

En noventa segundos, según la opinión, alrededor de 10.000 máquinas en la red global de MERCK estaban infectadas; en cinco minutos, alrededor de 20.000 máquinas estaban infectadas; en última instancia, más de 40.000 máquinas estaban infectadas.

Esa escala explica por qué esto no fue solo un problema de la oficina local ucraniana. El malware llegó a una red corporativa global lo suficientemente rápido como para convertir la resiliencia central, la identidad, la aplicación de parches, las copias de seguridad y la segmentación de la red en parte del mismo registro de responsabilidad. El tribunal citó la posición de MERCK de que NotPetya provocó que las instalaciones de producción y las aplicaciones críticas quedaran fuera de línea e interrumpió masivamente las operaciones, incluidas la fabricación, la investigación y el desarrollo, y las ventas.

Esa es la redacción del registro del litigio, no un sustituto del detalle operativo planta por planta. Pero se alinea con las presentaciones de la SEC de MERCK, que describieron la interrupción de la fabricación, la investigación y las ventas.

Fuentes técnicas públicas respaldan el contexto general de NotPetya. Laalerta de CISA sobre el ransomware Petyaadvirtió en junio de 2017 sobre la campaña y los pasos de mitigación. Elanálisis de Microsoft de junio de 2017describió el malware como una combinación de técnicas de ransomware con propagación similar a un gusano y abuso de credenciales. ElCentro Nacional de Seguridad Cibernética del Reino Unidoatribuyó posteriormente NotPetya a la inteligencia militar rusa como parte de un registro de atribución pública más amplio, y ladeclaración de la Casa Blancadescribió NotPetya como parte de un ciberataque imprudente e indiscriminado. Esas declaraciones gubernamentales públicas importan para el contexto geopolítico. No decidieron automáticamente la cuestión del contrato de seguro en Nueva Jersey.

Los controles operativos implícitos en ese contexto técnico son familiares pero difíciles a escala.NIST SP 800-61 Rev. 2describe el manejo de incidentes como preparación, detección y análisis, contención, erradicación, recuperación y actividad posterior al incidente. En un evento de la escala de NotPetya, esas fases no se alinean perfectamente. Una empresa puede estar aún detectando hosts afectados mientras está conteniendo segmentos de red, restaurando sistemas comerciales urgentes, preservando evidencia e informando a la dirección. El punto para MERCK no es que las fuentes públicas demuestren cómo realizó cada fase. El punto es que la escala del evento convirtió el manejo de incidentes en una función de gobierno empresarial en lugar de una cola de mesa de ayuda.

La guía de continuidad refuerza la misma lección.NIST SP 800-34 Rev. 1enmarca la planificación de contingencias en torno al impacto empresarial, las prioridades de recuperación, el procesamiento alternativo y las pruebas del plan. LaGuía de Ransomware de CISAenfatiza la preparación, las copias de seguridad, la contención y la recuperación para incidentes de ransomware, mientras que el carácter destructivo de NotPetya significa que no debe tratarse como ransomware recuperable ordinario. Estas fuentes no encuentran fallas en MERCK. Ayudan a explicar por qué las operaciones farmacéuticas necesitan rutas de recuperación probadas para la identidad, el soporte a la fabricación, la documentación de liberación, los sistemas de ventas y los registros de envío antes de que el malware alcance decenas de miles de máquinas.

El fallo sobre la exclusión de guerra se refería al lenguaje de la póliza, no a la atribución moral

La batalla legal a menudo se simplifica en exceso como "¿fue NotPetya un acto de guerra?" La opinión de apelación fue más cuidadosa. Las aseguradoras invocaron una exclusión por acto hostil/bélico. Argumentaron que la cobertura estaba excluida porque NotPetya supuestamente fue orquestado por actores que trabajaban para o en nombre de la Federación Rusa. MERCK disputó la aplicación de la exclusión. El tribunal de primera instancia otorgó un juicio sumario parcial a MERCK, determinando que la exclusión no se aplicaba para excluir la cobertura. La División de Apelaciones confirmó.

El razonamiento de la opinión es importante porque separa la atribución de la interpretación del contrato. El tribunal señaló que las partes disputaban la atribución, y que el tribunal de primera instancia no necesitaba abordar la cuestión de la atribución al otorgar el juicio sumario parcial. La División de Apelaciones dijo que el lenguaje claro de la exclusión no respaldaba la interpretación de las aseguradoras. Explicó que la exclusión de daños causados por actos hostiles o bélicos por parte de un gobierno o poder soberano, en tiempos de guerra o de paz, requería la participación de una acción militar.

La exclusión no decía que quedaran excluidos los daños derivados de cualquier acción gubernamental motivada por mala voluntad.

El tribunal también se centró en la redacción razonable de la póliza. Coincidió con el tribunal de primera instancia en que las aseguradoras sabían que los ciberataques de diversas formas, a veces de estados-nación, se habían vuelto más comunes, pero no cambiaron el lenguaje de la póliza para advertir razonablemente al asegurado de que los ciberataques estarían excluidos.

El tribunal de apelación declaró que el lenguaje claro de la exclusión no incluía un ciberataque a una empresa no militar que proporcionaba software de contabilidad con fines comerciales a consumidores no militares, independientemente de si el ataque fue instigado por un actor privado o un gobierno o poder soberano. Determinó que las aseguradoras no habían cumplido con su carga de demostrar que la exclusión podía aplicarse de manera justa a NotPetya.

Esa decisión debe describirse con precisión. No dice que los ciberataques nunca puedan ser excluidos. No dice que la atribución gubernamental sea irrelevante en todas las pólizas. No dice que las exclusiones de guerra no tengan aplicación futura a las operaciones cibernéticas. No exime a MERCK de toda responsabilidad por cada decisión de resiliencia. Dice que, bajo las pólizas y circunstancias ante el tribunal, las aseguradoras no demostraron que la exclusión por acto hostil/bélico excluyera la cobertura.

Esta distinción es donde la responsabilidad del seguro se vuelve operativa. Las aseguradoras controlan la redacción, las exclusiones, los sublímites, los endosos, las preguntas de suscripción y la fijación de primas. Los asegurados controlan cómo describen los activos, la exposición a interrupción, los objetivos de recuperación y las dependencias cibernéticas. Los tribunales controlan la interpretación del lenguaje de la póliza después de una disputa.

Si una póliza vendida antes de la pérdida no excluye claramente las operaciones cibernéticas vinculadas a estados, una aseguradora puede enfrentar el riesgo de que el lenguaje ordinario de propiedad a todo riesgo cubra más de lo que pretendía más tarde. Si un asegurado depende del seguro de propiedad como transferencia de pérdidas cibernéticas, puede enfrentar años de litigio antes de que el dinero sea seguro.

El caso de MERCK no se limitó a preguntar si NotPetya fue malo. Todos estuvieron de acuerdo en que fue destructivo. Preguntó quién había convertido ese riesgo cibernético en un riesgo de propiedad asignado contractualmente y si el lenguaje de exclusión era lo suficientemente claro para devolver la pérdida a MERCK. La respuesta del tribunal favoreció a MERCK en esa exclusión. El acuerdo posterior puso fin a la lucha restante sin un mapa final de pagos público.

El acuerdo puso fin a la apelación, no a la brecha de evidencia pública

Después de la decisión de la División de Apelaciones, las aseguradoras solicitaron revisión ante el Tribunal Supremo de Nueva Jersey. Los informes públicos de enero de 2024 dijeron que MERCK y las aseguradoras habían llegado a un acuerdo antes de la audiencia programada.Reuters informóque MERCK llegó a un acuerdo con las aseguradoras sobre la reclamación por el ciberataque NotPetya, yInsurance Journal informóque los términos del acuerdo no fueron revelados.Cybersecurity Dive también informóque las partes resolvieron la lucha de seguros de alto perfil antes de que el Tribunal Supremo de Nueva Jersey pudiera intervenir. La cobertura legal pública y el registro del expediente judicial describieron el desistimiento tras el acuerdo en lugar de una opinión sobre el fondo del tribunal más alto del estado.

Ese estado final importa. La opinión de la División de Apelaciones sigue siendo una importante decisión de cobertura publicada, pero el Tribunal Supremo no emitió un fallo definitivo sobre el fondo. El acuerdo no reveló públicamente cuánto pagó cada aseguradora, si se pagó cada categoría de cobertura en disputa, cómo se manejaron los costos de defensa e intereses, o si alguna de las partes mantuvo posiciones no públicas. A efectos de la rendición de cuentas pública, el acuerdo es evidencia de que las partes resolvieron la disputa, no evidencia de una asignación completa y pública de las pérdidas.

Por eso es arriesgado citar una sola cifra de titular como "el costo de NotPetya para MERCK". El registro judicial describió 699.475.000 dólares en cobertura en disputa en la apelación. Los informes de prensa describieron una reclamación más amplia que los informes públicos a menudo redondeaban a aproximadamente 1.400 millones de dólares. Las presentaciones de MERCK por separado dieron efectos en ventas y gastos para 2017 y 2018 y describieron recuperaciones de seguros. Estas son mediciones relacionadas, pero no son la misma medida.

Una reclamación de póliza puede incluir daños a la propiedad, interrupción del negocio, gastos adicionales y otras categorías aseguradas. El efecto en las ventas es una medida de ingresos. La variación de fabricación es una categoría de gasto contable. Un acuerdo es una resolución negociada. Tratarlas como intercambiables haría que el registro pareciera más cierto de lo que es.

La brecha de evidencia es especialmente importante para los mercados de riesgo cibernético. Aseguradoras, corredores, gestores de riesgos corporativos, juntas directivas y entidades del sector público observaron a MERCK porque el fallo afectó las expectativas sobre las pérdidas cibernéticas bajo pólizas de propiedad. Pero el acuerdo público no proporciona una regla judicial definitiva del Tribunal Supremo de Nueva Jersey ni una contabilidad actuarial pública. Las aseguradoras aún podrían responder cambiando la redacción.

Los asegurados aún podrían responder comprando cobertura cibernética dedicada, exigiendo un lenguaje de guerra más claro o mapeando las superposiciones de propiedad y cibernética con más cuidado. La lección del mercado no es que el patrón de hechos de MERCK siempre produzca cobertura. Es que la redacción ambigua o antigua puede dejar una asignación de pérdidas cibernéticas enorme sin resolver durante años.

La continuidad farmacéutica tenía un perfil de interés público diferente

El registro de NotPetya se diferencia de muchas historias de malware corporativo porque el negocio afectado de MERCK incluía vacunas y medicamentos. Las presentaciones públicas identifican productos farmacéuticos y productos de salud animal en mercados globales. Un fabricante farmacéutico no solo pierde productividad de oficina cuando un ciberataque afecta los sistemas de fabricación y envío.

Puede enfrentar decisiones de asignación de productos, retrasos en la liberación de lotes, escasez en el mercado, incertidumbre de inventario, desafíos logísticos de temperatura controlada, problemas de documentación regulatoria y consecuencias para pacientes o proveedores. El registro público no permite un mapa completo de daños producto por producto, pero las propias presentaciones de MERCK muestran que ciertos pedidos en ciertos mercados no pudieron cumplirse.

El Formulario 10-K de 2017 también dijo que el cierre temporal de la producción contribuyó a la incapacidad de MERCK para satisfacer una demanda mayor a la esperada de Gardasil 9. Esa declaración debe tratarse con cuidado. No significa que NotPetya por sí solo causara todo el desequilibrio entre oferta y demanda de esa vacuna. Significa que MERCK identificó el cierre como un factor contribuyente. El artículo no debe inflar eso hasta convertirlo en un hallazgo público de daño al paciente, violación regulatoria o escasez generalizada de vacunas causada únicamente por el malware.

El punto es más preciso: la recuperación del malware puede colisionar con la capacidad de producción y la demanda de manera que importan más allá de la contabilidad propia de la empresa.

La continuidad del sector público es parte de esta historia aunque MERCK sea una empresa privada. Gobiernos, programas de salud pública, hospitales, clínicas, farmacias, escuelas y pacientes pueden depender de un suministro farmacéutico constante. Cuando un fabricante no puede cumplir con ciertos pedidos en ciertos mercados, las consecuencias pueden pasar a los sistemas de adquisición y la planificación de servicios de salud. El programa de escasez de medicamentos de la FDA muestra cómo la disponibilidad de medicamentos se trata como una preocupación pública, aunque la página de la FDA no es un hallazgo sobre el evento NotPetya de MERCK.

La lente del interés público se justifica por la naturaleza de los productos, no por un hallazgo público de que NotPetya causó una escasez legal específica.

Las entidades pequeñas y medianas también aparecen aguas abajo. Clínicas independientes, farmacias, distribuidores, prácticas veterinarias y proveedores de salud locales pueden no tener acceso directo a la evidencia de recuperación operativa de MERCK. Ven disponibilidad, sustituciones, pedidos pendientes y comunicación. Si un fabricante dice que los pedidos en ciertos mercados no pueden cumplirse, las contrapartes más pequeñas necesitan un estado transparente y señales de asignación justas. No pueden inspeccionar un proyecto de recuperación empresarial global.

Esa asimetría es la razón por la que el registro de continuidad importa a más que accionistas y aseguradoras.

El lenguaje de continuidad del negocio es útil aquí porque mantiene el análisis vinculado a la entrega en lugar del drama. ISO 22301 describe la gestión de la continuidad en torno a la capacidad de una organización para continuar entregando productos y servicios dentro de plazos y capacidades aceptables. Para una empresa farmacéutica, ese concepto es concreto: la producción de ingredientes activos, la formulación, el envasado, la liberación de calidad, el envío, la asignación de mercado, el servicio al cliente y la documentación regulatoria deben volver a unirse después de un evento cibernético disruptivo.

El registro público no prueba que cada una de esas funciones fallara en MERCK, pero las propias presentaciones de MERCK confirman que la fabricación, la investigación, las ventas, los pedidos y la cartera de pedidos se vieron afectados lo suficiente como para requerir divulgación pública.

La dimensión de salud pública también complica la asignación de costos. Si una empresa incurre en gastos adicionales para mantener un producto disponible, eso puede parecer un costo financiero en un registro y un éxito de continuidad en otro. Si no puede cumplir con los pedidos en ciertos mercados, eso puede mostrarse como ventas perdidas mientras que las contrapartes lo experimentan como estrés de adquisición. Si la fabricación externa no se ve afectada, como reveló MERCK, eso puede ayudar a preservar el suministro pero no elimina los costos de recuperación internos.

Por lo tanto, el seguro y la rendición de cuentas pública hacen preguntas diferentes: la aseguradora pregunta si el gasto se ajusta a la póliza; el público pregunta si los productos esenciales continuaron moviéndose con información justa y precisa.

Esa diferencia debería dar forma a los ejercicios de incidentes. Un ejercicio cibernético farmacéutico que termina cuando se restauran los sistemas pierde la cuestión del suministro. El ejercicio debe preguntar qué productos están limitados, qué mercados están expuestos, qué documentos de liberación regulatoria se retrasan, qué clientes necesitan orientación de asignación y qué agencias públicas pueden necesitar una alerta temprana. También debe preguntar qué evidencia se está preservando para las aseguradoras y qué evidencia se está preservando para la garantía de suministro. Esos son archivos relacionados pero no idénticos.

Una aseguradora puede necesitar facturas, costos de reconstrucción del sistema, cálculos de interrupción del negocio y soporte de causalidad. Una parte interesada de salud pública o adquisiciones puede necesitar estado, justificación de asignación, tiempo de reemplazo y confianza en que los registros de calidad del producto permanecen intactos.

Mantener esos archivos separados previene dos errores. El primer error es permitir que el lenguaje del seguro defina la historia pública. La cobertura puede depender de la redacción de la póliza, los deducibles, las exclusiones y las categorías de prueba que no se corresponden perfectamente con las consecuencias para el paciente o el proveedor. El segundo error es permitir que la tranquilidad pública destruya la evidencia de la reclamación. Una empresa presionada para decir "el suministro está bien" puede simplificar en exceso el registro que luego necesita para explicar pedidos no cumplidos, variaciones de fabricación o gastos adicionales.

Un programa de recuperación maduro debería poder decir, al mismo tiempo, lo que se sabe sobre la disponibilidad del producto y lo que aún se está documentando para la recuperación financiera.

La resiliencia empresarial controló la primera pérdida; la evidencia controló la segunda

La primera pregunta de responsabilidad de MERCK es operativa: ¿por qué NotPetya se propagó tan rápido e interrumpió tanto? El registro público describe una aplicación de terceros de confianza, actualizaciones automáticas, capacidad de comando y control oculta como verificaciones de actualización normales, y propagación rápida dentro de la red global de MERCK. También describe más de 40.000 máquinas infectadas.

Eso apunta a problemas comunes de resiliencia empresarial: dependencia de canales de actualización de confianza, segmentación, exposición de credenciales, alcance del dominio de Windows, acceso privilegiado, aislamiento de copias de seguridad, mapeo de dependencias de aplicaciones y capacidad para restaurar operaciones centrales mientras se contiene el ataque.

Las fuentes públicas no proporcionan suficientes detalles para calificar los controles previos al incidente de MERCK con precisión. No publican la arquitectura del dominio, el modelo de cuentas privilegiadas, el estado de los parches, la topología de copias de seguridad, el cronograma de detección de endpoints, las pruebas de recuperación ante desastres o el diseño de segmentación del sistema de fabricación. El registro judicial y las presentaciones sí muestran que la consecuencia afectó la fabricación, la investigación y las ventas.

Eso es suficiente para identificar las categorías de control responsables sin pretender conocer los hechos internos. Una empresa de la escala de MERCK necesita saber qué vías empresariales pueden dejar fuera de línea las instalaciones de producción y las aplicaciones críticas, y con qué rapidez se pueden cortar esas vías.

La segunda pregunta de responsabilidad es probatoria: una vez que ocurrió la pérdida, ¿quién podía demostrar qué fue? MERCK necesitaba documentar los sistemas dañados, las operaciones interrumpidas, los gastos adicionales, los efectos en las ventas, las variaciones de fabricación, el trabajo de restauración, las recuperaciones de seguros y la cobertura de la póliza. Las aseguradoras necesitaban evaluar la causalidad, la cobertura, las exclusiones, los deducibles, los límites y la atribución. La disputa sobre la exclusión de actos hostiles/bélicos muestra cómo la evidencia técnica y el lenguaje de la póliza se entrelazan.

Si NotPetya llegó a través de M.E.Doc, si estaba vinculado a un actor estatal, si dañó datos y software, si la pérdida fue directa y si la redacción de la póliza lo excluía, todo importaba.

Esa carga probatoria puede moldear el comportamiento de recuperación. Durante un incidente, una empresa debe restaurar las operaciones rápidamente. Durante una reclamación de seguro, debe preservar los registros. Esos objetivos pueden entrar en conflicto. Es posible que los sistemas deban reconstruirse antes de que se preserve cada artefacto. Es posible que las soluciones alternativas manuales no generen automáticamente registros comerciales ordinarios. Los efectos en las ventas pueden mezclarse con cambios en la demanda, restricciones de inventario y comportamiento del mercado. Las variaciones de fabricación pueden incluir múltiples causas.

Por lo tanto, la recuperación del seguro depende de una disciplina de contabilidad de pérdidas que esté lista antes de un ciberataque, no inventada después del hecho.

Las presentaciones de MERCK muestran un rastro de contabilidad pública maduro en comparación con muchos incidentes. Dieron efectos específicos en ventas y gastos, identificaron recuperaciones de seguros, revisaron el efecto esperado en las ventas de 2018 a medida que avanzaba el año y revelaron disputas con las aseguradoras. Aun así, el registro público no expuso el archivo de reclamación subyacente. No dijo qué pólizas pagaron qué montos, cómo se ajustó cada categoría o cómo se asignaron los ingresos del acuerdo.

La rendición de cuentas pública puede respetar la confidencialidad sin dejar de preguntar si las juntas directivas y los gestores de riesgos tienen suficiente evidencia no pública para aprender del evento.

Esa evidencia no pública debería ser más rica que los números públicos. Debería conectar una interrupción del sistema con una variación de fabricación, una cartera de pedidos con un mercado, un gasto adicional con una decisión de recuperación y una reclamación de seguro con el lenguaje de la póliza. Debería distinguir las ventas perdidas impulsadas por la interrupción de los cambios en la demanda, las restricciones de inventario, el mantenimiento planificado y la volatilidad comercial ordinaria.

Debería preservar por qué se utilizó una solución alternativa manual, quién la aprobó y si redujo el riesgo para la salud pública o solo redujo la pérdida financiera. Sin ese tejido conectivo, la organización puede saber que gastó dinero pero no si el gasto mejoró la resiliencia.

La misma evidencia puede respaldar una mejor prevención. Si las pérdidas más costosas provinieron de la reconstrucción de endpoints, la segmentación y la capacidad de recuperación de endpoints suben en la lista de inversiones. Si el problema de prueba más difícil provino de la cartera de pedidos de ventas, los registros de pedidos y asignación necesitan una captura más resistente. Si la disputa más grande provino de la redacción de la póliza, la transferencia de riesgos necesita una revisión más clara de la colocación.

Si la preocupación pública más profunda provino de la disponibilidad de medicamentos, los ejercicios de recuperación deben incluir la comunicación con el suministro y el cliente, no solo la restauración del servidor. Un archivo de pérdidas que solo respalda el litigio es menos valioso que un archivo de pérdidas que también cambia los controles del próximo año.

La lección a nivel de junta directiva es que el diseño de la evidencia debe ser apropiado antes de la pérdida. Los equipos legales, financieros, de seguros, de fabricación, de suministro, cibernéticos, de calidad y de comunicaciones necesitan un vocabulario compartido para lo que cuenta como inicio de la interrupción, restauración de la función, asignación de productos, gasto adicional, venta perdida, solución alternativa manual y recuperación final. Si cada equipo inventa sus definiciones durante una crisis, la empresa puede restaurar las operaciones mientras pierde el hilo necesario para mejorar los controles y respaldar las reclamaciones.

NotPetya mostró que la evidencia de recuperación no es papeleo después del hecho; es parte de la resiliencia misma. Esa evidencia debería sobrevivir a la rotación de liderazgo, la presión del litigio y la memoria del mercado.

La redacción de los seguros cambió porque el mercado aprendió

Una de las razones por las que la disputa de MERCK atrajo la atención es que reveló un desajuste entre el riesgo cibernético y la redacción tradicional de propiedad. Antes de que maduraran las pólizas cibernéticas dedicadas, muchas empresas dependían en parte de los programas de propiedad para daños físicos, interrupción del negocio, gastos adicionales y pérdida de datos o software. NotPetya mostró que el malware podía producir pérdidas similares a las de propiedad a una escala históricamente asociada con catástrofes, mientras se entregaba a través de software y conflicto geopolítico.

Los mercados de seguros respondieron con el tiempo con una redacción cibernética y de guerra más explícita. Lloyd's emitió posteriormente una guía de mercado sobre exclusiones de ciberataques, incluido el lenguaje de ciberataques respaldados por estados, a través de boletines de mercado públicos como elBoletín de Mercado Y5381 de Lloyd's. El boletín de Lloyd's no es parte del fallo judicial de MERCK y no decide retroactivamente las pólizas de MERCK. Es relevante porque muestra al mercado tratando de redactar reglas de asignación más explícitas después de una experiencia de pérdidas cibernéticas de alta gravedad.

Una redacción más clara puede ayudar a ambas partes. Las aseguradoras necesitan saber qué riesgos cibernéticos sistémicos están valorando. Los asegurados necesitan saber si las pólizas de propiedad, cibernéticas, de crimen y especializadas responden al malware que daña sistemas e interrumpe operaciones. Los gobiernos y los clientes de infraestructura crítica necesitan saber si los proveedores tienen una capacidad creíble de transferencia de riesgos o autoseguro después de una catástrofe cibernética.

La ambigüedad puede preservar la flexibilidad del acuerdo en la colocación, pero puede convertirse en una incertidumbre costosa después de la pérdida.

El punto de responsabilidad no es que las aseguradoras se equivocaran al preocuparse por la acumulación cibernética vinculada a estados. Tenían un problema real de agregación: un solo evento de malware podía afectar a muchos asegurados a través de fronteras y sectores. El punto es que la preocupación de acumulación de una aseguradora tiene que traducirse en un lenguaje de póliza específico, claro, prominente y en lenguaje sencillo. El tribunal de Nueva Jersey sostuvo que la exclusión por acto hostil/bélico que tenía ante sí no hacía ese trabajo para NotPetya.

Para los asegurados, la lección es igualmente exigente. Comprar un seguro no reemplaza la resiliencia. MERCK aún tenía que restaurar las operaciones, gestionar los pedidos, registrar las pérdidas, preservar la evidencia y continuar suministrando productos. El litigio del seguro duró años. Si la planificación de la continuidad asume que el pago de una reclamación llegará lo suficientemente rápido como para resolver la interrupción operativa, no es planificación de la continuidad. El seguro es una herramienta de recuperación financiera, no una herramienta de reinicio de la planta.

El proceso de colocación también necesita participación técnica. Una junta directiva puede aprobar una torre de propiedad, una póliza cibernética y una estructura cautiva, pero las personas que entienden las dependencias de fabricación a menudo conocen los escenarios de pérdida reales. ¿Puede el malware corromper los datos de recetas, lotes, liberación o envío de una manera que la redacción de propiedad reconozca? ¿La cobertura de interrupción del negocio sigue al daño al software y los datos, o solo al equipo físico?

¿Están claramente cubiertos los gastos adicionales para producción alternativa, trabajo de calidad manual, consultores externos, reconstrucción de endpoints y comunicación con el cliente? ¿Están escritas las exclusiones cibernéticas vinculadas a estados de una manera que el comité de riesgos pueda modelar? La disputa de MERCK mostró que estas preguntas deben hacerse antes de la renovación, no después de un evento de malware destructivo.

Una mejor prueba de responsabilidad para el próximo NotPetya

El registro de MERCK sugiere una lista de verificación práctica para organizaciones con roles de producción críticos. Primero, mapear las rutas de actualización de confianza. M.E.Doc era una aplicación de confianza en el registro judicial. Una ruta de confianza puede convertirse en una ruta de atacante si se ve comprometida aguas arriba. Las empresas deben saber qué sistemas de actualización de terceros tienen alcance de red y qué entornos pueden tocar. Segundo, mapear el radio de explosión.

¿Hasta dónde pueden transportar el malware las credenciales, la confianza del dominio, la administración remota, el almacenamiento compartido y las herramientas de gestión de endpoints antes de que la segmentación lo ralentice? Tercero, mapear la operación mínima viable. ¿Qué funciones de fabricación, liberación, investigación, ventas y envío deben continuar, y qué sistemas limpios pueden respaldarlas?

Cuarto, ensayar la preservación de evidencia. Los registros de incidentes, las copias de seguridad restauradas, los registros de reconstrucción, las notas de impacto en la producción, los efectos en el inventario, la cartera de pedidos de ventas y las aprobaciones de gastos adicionales deben poder recopilarse sin retrasar la recuperación urgente. Quinto, alinear el lenguaje del seguro con la realidad técnica. Si se espera que las pólizas de propiedad cubran la corrupción de datos, la restauración del sistema, los gastos adicionales y la interrupción del negocio por malware, esa expectativa debe ser explícita.

Si las aseguradoras tienen la intención de excluir eventos cibernéticos destructivos respaldados por estados, esa exclusión debe ser lo suficientemente explícita para que las juntas directivas puedan entender el riesgo retenido antes de la pérdida. Sexto, mantener acotadas las declaraciones públicas. Las presentaciones de MERCK hicieron esto mejor que muchas empresas al usar cifras específicas y revisar las expectativas.

El público también necesita mejores distinciones. Una declaración de atribución gubernamental no es lo mismo que una exclusión de póliza. Un fallo de primera instancia o apelación no es lo mismo que un fallo del tribunal supremo. Un acuerdo no es una admisión pública de responsabilidad. Un efecto en las ventas no es lo mismo que una pérdida asegurada. El nombre de una familia de malware no es lo mismo que una causa raíz completa. Un centro de fabricación restaurado no es lo mismo que un impacto aguas abajo borrado. Tratar esos términos con cuidado no es un tecnicismo legal; es cómo la rendición de cuentas permanece vinculada a la evidencia.

El registro de NotPetya de MERCK sigue siendo uno de los ejemplos más claros de cómo el riesgo cibernético se convierte en riesgo empresarial, de interés público y de seguro al mismo tiempo. La empresa controló partes de la resiliencia empresarial y la recuperación operativa. Las aseguradoras controlaron la redacción de las pólizas y las posiciones de cobertura. Los tribunales controlaron la interpretación de la redacción impugnada. Los gobiernos controlaron las declaraciones públicas de atribución.

Pacientes, proveedores, distribuidores, empleados y contrapartes más pequeñas vivieron con consecuencias que no pudieron diagnosticar de forma independiente.

Por eso el caso sigue siendo importante después del acuerdo. El acuerdo cerró la lucha pública, pero no borró la lección operativa. Un evento de malware destructivo puede pasar de una actualización de software de confianza a decenas de miles de máquinas en minutos, interrumpir la fabricación y las ventas farmacéuticas, generar cientos de millones de dólares en efectos cuantificados y dejar a partes sofisticadas discutiendo durante años sobre si se aplica el viejo lenguaje de guerra. La próxima organización no debería esperar a esa discusión para descubrir lo que realmente significan sus redes, planes de recuperación y palabras de seguro.

Tipografía

La tipografía es el arte y la técnica de disponer los tipos para hacer que el lenguaje escrito sea legible, legible y visualmente atractivo. Implica seleccionar tipografías, tamaños de punto, longitudes de línea, espaciado entre líneas y espaciado entre letras.

  • La tipografía se originó con la invención de los tipos móviles por Johannes Gutenberg en el siglo XV.
  • Los elementos clave incluyen la selección de fuentes, el kerning, el tracking y el interlineado.
  • Una buena tipografía mejora la legibilidad y transmite el estado de ánimo o el tono en el diseño.