قامت شركة Mondelez International ، الشركة المصنعة لـ Oreos و Ritz Crackers ، بتسوية دعوى قضائية ضد شركة التأمين الإلكترونية الخاصة بها بعد أن رفض المزود تغطية فاتورة تنظيف بملايين الدولارات ناتجة عن هجوم NotPetya ransomware المترامي الأطراف في عام 2017.
عملاق الوجبات الخفيفة في الأصل أحضر الدعوى ضد شركة Zurich American Insurance مرة أخرى في عام 2018 ، بعد أن أكملت NotPetya نهبها الإلكتروني العالمي للشركات الكبرى متعددة الجنسيات ، ومنذ ذلك الحين تم قيدوا في المحكمة. لم يتم الكشف عن شروط الصفقة ، ولكن "التسوية" قد تشير إلى حل وسط - يوضح فقط كيف يمكن أن تكون بنود استبعاد التأمين على الإنترنت مشكلة شائكة.
NotPetya: قانون الحرب؟
توقفت الدعوى القضائية على شروط العقد في بوليصة التأمين الإلكتروني - على وجه التحديد ، استبعاد مخصص للأضرار الناجمة عن أعمال الحرب.
NotPetya، التي وصفتها حكومة الولايات المتحدة في عام 2018 بأنها "أكثر الهجمات الإلكترونية تدميراً والأكثر تكلفة في التاريخ" ، بدأت باعتبارها تهديداً للأهداف الأوكرانية قبل أن تنتشر عالمياً ، مما أثر في النهاية على الشركات في 65 دولة وكلف الأضرار المليارات. انتشر بسرعة بفضل استخدام استغلال الديدان EternalBlue في سلسلة الهجوم ، وهو سلاح NSA تم تسريبه يسمح للبرامج الضارة بالانتشار الذاتي من نظام إلى نظام باستخدام مشاركات ملفات Microsoft SMB. ومن بين الضحايا البارزين للهجوم شركة FedEx ، وشركة الشحن العملاقة Maersk ، وشركة Merck العملاقة للأدوية ، وغيرها الكثير.
في حالة شركة Mondelez ، أغلقت البرامج الضارة 1,700 من خوادمها و 24,000 جهاز كمبيوتر محمول مذهلًا ، مما ترك الشركة عاجزة وتعاني من أكثر من 100 مليون دولار من الأضرار والتوقف عن العمل والأرباح الضائعة وتكاليف العلاج.
كما لو أن هذا لم يكن صعبًا بما يكفي لابتلاعه ، سرعان ما وجد مطعم kahuna نفسه يختنق برد فعل شركة Zurich American عندما قدم مطالبة تأمين إلكتروني: لم يكن لدى متعهد التأمين أي نية لتغطية التكاليف ، مستشهداً بشرط الاستبعاد المذكور أعلاه والذي تضمن اللغة "العمل العدائي أو الحربي في وقت السلم أو الحرب" من قبل "حكومة أو قوة ذات سيادة".
بفضل إسناد حكومات العالم لـ NotPetya إلى الدولة الروسية ، والمهمة الأصلية للهجوم لضرب خصم حركي معروف لموسكو ، كان لدى زيورخ الأمريكي قضية - على الرغم من حقيقة أن هجوم مونديليز كان بالتأكيد أضرارًا جانبية غير مقصودة.
ومع ذلك ، جادل مونديليز بأن عقد شركة زيورخ أمريكان ترك بعض الفتات المتنازع عليها على الطاولة ، كما هو الحال ، نظرًا لعدم وضوح ما يمكن وما لا يمكن تغطيته في الهجوم. على وجه التحديد ، نصت بوليصة التأمين بوضوح على أنها ستغطي "جميع مخاطر الخسارة أو الضرر المادي" - التركيز على "الكل" - "للبيانات أو البرامج أو البرامج الإلكترونية ، بما في ذلك الفقد أو التلف الناجم عن الإدخال الضار لرمز الجهاز أو تعليمات. " إنه موقف تجسده NotPetya تمامًا.
تشير كارولين طومسون ، رئيسة قسم الاكتتاب في Cowbell Cyber ، وهي شركة تأمين إلكتروني للشركات الصغيرة والمتوسطة الحجم (SMBs) ، إلى أن الافتقار إلى صياغة واضحة لسياسة التأمين الإلكتروني ترك الباب مفتوحًا أمام استئناف مونديليز - ويجب أن يكون بمثابة رسالة تحذيرية للآخرين الذين يتفاوضون على التغطية.
تقول دارك: "يظل نطاق التغطية ، وتطبيق استثناءات الحرب ، أحد أكثر المجالات صعوبة بالنسبة لشركات التأمين مع استمرار تطور التهديدات الإلكترونية ، وزيادة اعتماد الشركات على العمليات الرقمية ، واستمرار التوترات الجيوسياسية في التأثير على نطاق واسع". قراءة. "من الأهمية بمكان أن تكون شركات التأمين على دراية بشروط سياستها وتطلب التوضيح عند الحاجة ، ولكن أيضًا تختار السياسات الإلكترونية الحديثة التي يمكن أن تتطور وتتكيف مع وتيرة المخاطر والتعرض لها."
استثناءات الحرب
هناك قضية واحدة صارخة في جعل استثناءات الحرب ثابتة بالنسبة للتأمين الإلكتروني: صعوبة إثبات أن الهجمات هي بالفعل "أعمال حرب" - عبء يتطلب عمومًا تحديد من يتم تنفيذها نيابة عنهم.
في أفضل الحالات ، يعتبر الإسناد فنًا أكثر منه علمًا ، مع مجموعة متغيرة من المعايير التي تدعم أي توجيه ثقة. غالبًا ما تعتمد الأسباب المنطقية لإسناد التهديدات المستمرة المتقدمة (APT) على ما هو أكثر بكثير من الأدوات التكنولوجية القابلة للقياس الكمي ، أو التداخلات في البنية التحتية والأدوات مع التهديدات المعروفة.
يمكن أن تشمل المعايير الأسفنجية جوانب مثل بالضحايا (أي ، هل الأهداف متوافقة مع مصالح الدولة وأهداف السياسة ؟؛ موضوع إغراءات الهندسة الاجتماعية؛ لغة الترميز مستوى التطور (هل يحتاج المهاجم إلى موارد جيدة؟ هل استخدم يوم صفر باهظ الثمن؟) ؛ والدافع (هو الهجوم عازمًا عليه تجسس, تدمير، أو مكاسب مالية؟). هناك أيضًا مشكلة عمليات العلم الكاذب، حيث يتلاعب أحد الخصم بهذه الروافع لتأطير خصم أو خصم.
"ما يصدمني هو فكرة التحقق من أن هذه الهجمات يمكن أن تُنسب بشكل معقول إلى دولة - كيف؟" يقول فيليب هومو ، الرئيس التنفيذي والمؤسس المشارك لشركة CrowdSec. "من المعروف جيدًا أنه لا يمكنك تتبع قاعدة عمليات مجرمي الإنترنت ذوي المهارات اللائقة ، نظرًا لأن إجراء فجوات في عملياتهم هو السطر الأول من قواعد اللعبة الخاصة بهم. ثانيًا ، الحكومات ليست على استعداد للاعتراف فعليًا بأنها توفر غطاءً لمجرمي الإنترنت في بلدانهم. ثالثًا ، عادة ما يكون مجرمو الإنترنت في أجزاء كثيرة من العالم مزيجًا من القراصنة والمرتزقة ، المخلصين لأي كيان / دولة قومية قد تمولهم ، ولكن يمكن توسيعهم تمامًا ويمكن إنكارهم إذا كانت هناك أسئلة حول انتمائهم ".
لهذا السبب ، في غياب حكومة تتحمل المسؤولية عن هجوم على مجموعات إرهابية ، فإن معظم شركات استخبارات التهديدات ستحذر الإسناد الذي ترعاه الدولة بعبارات مثل ، "نحدد بثقة منخفضة / معتدلة / عالية أن XYZ وراء الهجوم ،" و للتمهيد ، قد تحدد الشركات المختلفة مصادر مختلفة لأي هجوم معين. إذا كان من الصعب على صائدي التهديدات السيبرانية المحترفين تحديد الجناة ، فتخيل مدى صعوبة ذلك بالنسبة لخبراء ضبط التأمين الإلكتروني الذين يعملون بجزء بسيط من المهارات.
يقول هومو إنه إذا كان معيار إثبات عمل الحرب هو الإجماع الحكومي الواسع ، فإن هذا يطرح أيضًا مشكلات.
يقول هومو: "إن عزو الهجمات بدقة إلى الدول القومية يتطلب تعاونًا قانونيًا عبر البلاد ، وهو ما ثبت تاريخيًا أنه صعب وبطيء في نفس الوقت". "لذا فإن فكرة عزو هذه الهجمات إلى الدول القومية التي لن" تعترف بها أبدًا "تترك مجالًا كبيرًا للشك ، من الناحية القانونية".
تهديد وجودي للتأمين السيبراني؟
حسب وجهة نظر طومسون ، فإن أحد الحقائق في بيئة اليوم هو الحجم الهائل للنشاط السيبراني المتداول الذي ترعاه الدولة. يلاحظ بريان كننغهام ، المحامي وعضو المجلس الاستشاري في شركة أمن البيانات ثيون تكنولوجي ، أنه إذا رفض المزيد والمزيد من شركات التأمين ببساطة جميع المطالبات الناشئة عن مثل هذا النشاط ، فقد يكون هناك القليل جدًا من المدفوعات بالفعل. وفي النهاية ، قد لا ترى الشركات أن أقساط التأمين الإلكتروني تستحق العناء بعد الآن.
"إذا بدأ عدد كبير من القضاة فعليًا في السماح لشركات الاتصالات باستبعاد التغطية للهجمات الإلكترونية بمجرد ادعاء أن دولة قومية متورطة ، فسيكون ذلك مدمرًا لنظام التأمين الإلكتروني كما حدث (مؤقتًا) في 9 سبتمبر على العقارات التجارية ،" هو يقول. "نتيجة لذلك ، لا أعتقد أن العديد من القضاة سيقبلون هذا ، والإثبات ، على أي حال ، سيكون دائمًا صعبًا."
في سياق مختلف ، يشير إيليا كولوشينكو ، كبير المهندسين المعماريين والرئيس التنفيذي لشركة ImmuniWeb ، إلى أن مجرمي الإنترنت سيجدون طريقة لاستخدام الاستثناءات لصالحهم - مما يقلل من قيمة وجود سياسة أكثر.
يقول: "تنبع المشكلة من انتحال محتمل لجهات فاعلة معروفة في مجال التهديد السيبراني". "على سبيل المثال ، إذا رغب مجرمو الإنترنت - غير المرتبطين بأي دولة - في تضخيم الضرر الذي يلحق بضحاياهم من خلال استبعاد التغطية التأمينية النهائية ، فقد يحاولون ببساطة انتحال شخصية مجموعة قرصنة مشهورة مدعومة من الدولة أثناء اقتحامهم. سيؤدي ذلك إلى تقويض الثقة في سوق التأمين الإلكتروني ، حيث قد يصبح أي تأمين غير مجدٍ في أكثر الحالات خطورة التي تتطلب بالفعل تغطية وتبرر الأقساط المدفوعة ".
يبقى سؤال الاستثناءات غير محسوم
على الرغم من أن تسوية مونديليز-زيورخ الأمريكية قد تشير إلى أن شركة التأمين قد نجحت على الأقل جزئيًا في توضيح وجهة نظرها (أو ربما لم يكن لدى أي من الطرفين الجرأة لتحمل المزيد من التكاليف القانونية) ، إلا أن هناك سابقة قانونية متضاربة.
حالة NotPetya أخرى بين ميرك وإيس الأمريكية للتأمين حول نفس القضية ، تم طرحه للنوم في يناير ، عندما قضت المحكمة العليا في نيوجيرسي بأن الاستثناءات من أعمال الحرب تمتد فقط إلى الحرب المادية في العالم الحقيقي ، مما أدى إلى قيام الضامن بدفع 1.4 مليار دولار لخدمة تسوية المطالبات.
على الرغم من الطبيعة غير المستقرة للمنطقة ، فإن بعض شركات التأمين عبر الإنترنت كذلك للمضي قدما مع استثناءات الحرب ، على الأخص لويدز في لندن. في أغسطس / آب ، أبلغت الشركة القوية في السوق النقابات التابعة لها أنه سيُطلب منها استبعاد تغطية الهجمات الإلكترونية المدعومة من الدولة التي تبدأ في أبريل 2023. وأشارت المذكرة إلى أن الفكرة هي حماية شركات التأمين وشركات التأمين التابعة لها من الخسائر الكارثية.
ومع ذلك ، فإن نجاح مثل هذه السياسات لا يزال غير واضح.
يقول ثيون كننغهام: "تعمل لويدز وشركات النقل الأخرى على جعل مثل هذه الاستثناءات أقوى ومطلقًا ، لكنني أعتقد أن هذا أيضًا سيفشل في النهاية لأن صناعة التأمين الإلكتروني لن تتمكن على الأرجح من البقاء على قيد الحياة مثل هذه التغييرات لفترة طويلة".
