A Merck chegou a um acordo com o consórcio de resseguradoras que havia recorrido de um recurso de apelação favorável à farmacêutica alemã, em maio de 2023, resultado de uma ação em que pedia de US$ 1,4 bilhão por danos causados pelo ciberataque NotPetya de que foi alvo em 2017.
Em janeiro de 2022, o Tribunal Superior de Nova Jersey decidiu a favor da Merck. O juiz do caso afirmou em sua sentença que a cláusula de exclusão da guerra não se aplicava e que “não tendo conseguido alterar a linguagem política, a Merck tinha todo o direito de antecipar que a exclusão se aplicava apenas às formas tradicionais de guerra”.
As seguradoras recorreram, mas em maio de 2023, o Tribunal de Nova Jersey manteve a decisão original, dizendo que o ataque NotPetya “não está suficientemente ligado a uma ação ou objetivo militar, pois foi um ataque cibernético não militar contra um fornecedor de software de contabilidade”.
A ação teve como motivo o ataque cibernético à filial ucraniana da Merck pelo grupo de hackers NotPetya, supostamente vinculado ao governo da Rússia. As seguradoras alegavam que a farmacêutica não tinha seguro cibernético e os danos foram excluídos pela cláusula padrão de exclusão de guerra, que exclui especificamente a cobertura para atos de guerra, tais como invasões, insurreições, revoluções, golpes militares e terrorismo.
O tribunal recusou-se especificamente a discutir a relação entre ataques cibernéticos e exclusões bélicas. “Portanto, recusamos o pedido das seguradoras para delinear o âmbito exato de quais ataques cibernéticos podem ser abrangidos pela exclusão hostil/bélica”, disseram os juízes da Divisão de Apelação de Nova Jersey.
Mas as seguradoras recorreram novamente e agora chegaram a um acordo com a Merck. Pode-se considerar que a Merck venceu a discussão, embora os detalhes do acordo não tenham sido divulgados. Uma definição legal de guerra cibernética e a sua relação com a guerra cinética, no entanto, foi retirada do texto do acordo entre a Merck e as suas seguradoras sobre os danos causados pelo NotPetya.
O ataque do grupo NotPetya foi atribuído à Rússia como parte de um esforço para atingir a Ucrânia. Para a maioria dos especialistas, este foi um ato de guerra cibernética contra a Ucrânia. O seu efeito espalhou-se por todo o mundo, causando milhares de milhões de dólares em danos adicionais que, à primeira vista, parecem ser danos colaterais decorrentes de um ato de guerra cibernética.
Veja isso
NotPetya: Merck vence ação de US$ 1,4 bilhão contra seguradoras
Disputa entre Mondelēz e Zurich gera apreensão sobre ciberseguro
Outra ação semelhante e que resultou em acordo foi o da Mondelez, gigante multinacional de alimentos e bebidas, dona das marcas Oreo, Nabisco, Ritz, Cadbury e Tang, que encerrou o processo aberto contra a seguradora Zurich, por esta ter se recusado a cobrir mais de US$ 100 milhões em danos à companhia após a paralisação de suas operações em razão de um ataque cibernético do NotPetya, também ocorrido em 2017.
No ataque de ransomware, cerca de 1.700 servidores e 24 mil laptops da Mondelez foram inutilizados. Além da perda de hardware, a empresa também sofreu interrupções nos seus canais de fornecimento e distribuição, pedidos de clientes não atendidos e até mesmo roubo de credenciais de vários usuários.
No entanto, a seguradora indicou em 2018 que a cobertura para mais de US$ 100 milhões em despesas de recuperação de ataques cibernéticos seria negada devido a mesma cláusula de exclusão de guerra no caso Merck. Isso levou a gigante alimentos a processar a companhia de seguros para procurar reparação por violações de obrigações contratuais e a alegar que a Zurich não cumpriu as suas promessas.
Desde então, o caso tem sido considerado um exemplo da potencial lacuna nas políticas cibernéticas. Esta é a peça central de falha de legislação e gira em torno de duas questões que são calorosamente debatidas na segurança cibernética: como atribuir definitivamente a origem de um ataque de malware; e quando um incidente cibernético se torna um ato de guerra. Com agências de notícias internacionais.