2017 সালে বিস্তৃত NotPetya র্যানসমওয়্যার আক্রমণ থেকে উদ্ভূত মাল্টিমিলিয়ন ডলারের ক্লিন-আপ বিল কভার করতে অস্বীকার করার পরে ওরিওস এবং রিটজ ক্র্যাকার্সের নির্মাতা মন্ডেলেজ ইন্টারন্যাশনাল, তার সাইবার বীমাকারীর বিরুদ্ধে একটি মামলা নিষ্পত্তি করেছে৷
মূলত স্ন্যাক জায়ান্ট স্যুট এনেছে 2018 সালে জুরিখ আমেরিকান ইন্স্যুরেন্সের বিরুদ্ধে, নোটপেটিয়া বড় বহুজাতিক কর্পোরেশনগুলির বৈশ্বিক সাইবার-ছিনতাই শেষ করার পরে, এবং মামলাটি তখন থেকে আদালতে বাঁধা. চুক্তির শর্তাদি প্রকাশ করা হয়নি, তবে একটি "মীমাংসা" একটি আপস রেজোলিউশন নির্দেশ করবে - সাইবার-বীমা বর্জন ধারাগুলি একটি সমস্যা কতটা কাঁটাযুক্ত হতে পারে তা চিত্রিত করে৷
NotPetya: যুদ্ধের আইন?
মামলাটি সাইবার বীমা পলিসিতে চুক্তির শর্তাবলীর উপর নির্ভর করে - বিশেষত, যুদ্ধের কারণে সৃষ্ট ক্ষতির জন্য একটি বর্জন খোদাই করা।
নটপেট্যা, যাকে 2018 সালে মার্কিন সরকার "ইতিহাসের সবচেয়ে ধ্বংসাত্মক এবং ব্যয়বহুল সাইবার আক্রমণ" বলে অভিহিত করেছে, যা বিশ্বব্যাপী ছড়িয়ে পড়ার আগে ইউক্রেনীয় লক্ষ্যে আপোস করা শুরু করে, শেষ পর্যন্ত 65টি দেশের কোম্পানিকে প্রভাবিত করে এবং বিলিয়ন বিলিয়ন ক্ষতির সম্মুখীন হয়। এটি ব্যবহারের কারণে দ্রুত ছড়িয়ে পড়ে ইটার্নাল ব্লু ওয়ার্মিং শোষণ আক্রমণ শৃঙ্খলে, যা একটি ফাঁস হওয়া NSA অস্ত্র যা ম্যালওয়্যারকে মাইক্রোসফ্ট এসএমবি ফাইল শেয়ার ব্যবহার করে সিস্টেম থেকে সিস্টেমে স্ব-প্রচার করতে দেয়। আক্রমণের উল্লেখযোগ্য শিকারদের মধ্যে FedEx, শিপিং বেহেমথ মের্স্ক এবং ফার্মাসিউটিক্যাল জায়ান্ট মার্ক সহ আরও অনেকের অন্তর্ভুক্ত।
মন্ডেলেজের ক্ষেত্রে, ম্যালওয়্যারটি তার 1,700 সার্ভার এবং একটি বিস্ময়কর 24,000 ল্যাপটপ লক আপ করে, কর্পোরেশনকে অক্ষম করে ফেলে এবং $100 মিলিয়নেরও বেশি ক্ষতি, ডাউনটাইম, হারানো লাভ এবং প্রতিকারের খরচ থেকে রেহাই পায়৷
যেন এটি গিলতে যথেষ্ট শক্ত ছিল না, খাদ্য কাহুনা শীঘ্রই জুরিখ আমেরিকান থেকে একটি সাইবার বীমা দাবি দাখিল করার প্রতিক্রিয়ায় নিজেকে দমবন্ধ করতে দেখা যায়: আন্ডাররাইটারের খরচগুলি কভার করার কোনও ইচ্ছা ছিল না, উপরে উল্লিখিত বর্জন ধারাটি উল্লেখ করে যেটিতে অন্তর্ভুক্ত ছিল একটি "সরকার বা সার্বভৌম শক্তি" দ্বারা "শান্তি বা যুদ্ধের সময় বৈরী বা যুদ্ধের মতো পদক্ষেপ" ভাষা।
নটপেটিয়াকে রাশিয়ান রাষ্ট্রের প্রতি বিশ্ব সরকারগুলি দায়ী করার জন্য এবং মস্কোর পরিচিত গতির প্রতিপক্ষকে আঘাত করার জন্য আক্রমণের মূল মিশনের জন্য ধন্যবাদ, জুরিখ আমেরিকান একটি মামলা ছিল — যদিও মন্ডেলেজ আক্রমণটি অবশ্যই অনিচ্ছাকৃত সমান্তরাল ক্ষতি ছিল।
যাইহোক, মন্ডেলেজ যুক্তি দিয়েছিলেন যে জুরিখ আমেরিকান চুক্তিটি টেবিলে কিছু বিতর্কিত টুকরো রেখেছিল, যেমনটি ছিল, আক্রমণে কী কভার করা যায় এবং কী করা যায় না সে বিষয়ে স্পষ্টতার অভাবের কারণে। বিশেষত, বীমা পলিসি স্পষ্টভাবে বলেছে যে এটি "শারীরিক ক্ষতি বা ক্ষতির সমস্ত ঝুঁকি" কভার করবে - "সমস্ত" - "ইলেকট্রনিক ডেটা, প্রোগ্রাম বা সফ্টওয়্যারের উপর জোর দেয়, যার মধ্যে একটি মেশিন কোডের দূষিত প্রবর্তনের কারণে ক্ষতি বা ক্ষতি হয়। বা নির্দেশ।" এটি এমন একটি পরিস্থিতি যা NotPetya পুরোপুরি মূর্ত করে তোলে।
ক্যারোলিন থম্পসন, কাউবেল সাইবার-এর আন্ডাররাইটিং প্রধান, ছোট এবং মাঝারি আকারের ব্যবসার (এসএমবি) জন্য একটি সাইবার বীমা প্রদানকারী, নোট করেছেন যে স্পষ্ট সাইবার বীমা নীতি-শব্দের অভাব মন্ডেলেজের আবেদনের জন্য দরজা খোলা রেখেছিল - এবং একটি সতর্কতামূলক বার্তা হিসাবে কাজ করা উচিত অন্যদের কভারেজ আলোচনা.
"কভারেজের সুযোগ, এবং যুদ্ধ বর্জনের প্রয়োগ, বীমাকারীদের জন্য সবচেয়ে চ্যালেঞ্জিং ক্ষেত্রগুলির মধ্যে একটি হিসাবে রয়ে গেছে কারণ সাইবার হুমকিগুলি ক্রমাগত বিকশিত হচ্ছে, ব্যবসাগুলি ডিজিটাল অপারেশনগুলির উপর তাদের নির্ভরতা বাড়াচ্ছে এবং ভূ-রাজনৈতিক উত্তেজনা ব্যাপক প্রভাব ফেলছে," তিনি ডার্ককে বলেন পড়া। "বীমাকারীদের জন্য তাদের নীতির শর্তাবলীর সাথে পরিচিত হওয়া এবং যেখানে প্রয়োজন সেখানে স্পষ্টীকরণের সন্ধান করা সর্বোত্তম, তবে আধুনিক সাইবার-নীতিগুলিও বেছে নেওয়া যা তাদের ঝুঁকি এবং এক্সপোজারের গতিতে বিকশিত এবং মানিয়ে নিতে পারে।"
যুদ্ধ বর্জন
সাইবার ইন্স্যুরেন্সের জন্য যুদ্ধ বর্জন করার ক্ষেত্রে একটি স্পষ্ট সমস্যা রয়েছে: আক্রমণগুলি প্রকৃতপক্ষে "যুদ্ধের কাজ" - এটি প্রমাণ করতে তার অসুবিধা হয় - একটি বোঝা যা সাধারণত কার পক্ষে করা হয় তা নির্ধারণ করা প্রয়োজন৷
সর্বোত্তম ক্ষেত্রে, অ্যাট্রিবিউশন একটি বিজ্ঞানের চেয়ে একটি শিল্পের বেশি, যে কোনও আত্মবিশ্বাসী আঙ্গুলের নির্দেশকে ভিত্তি করে মানদণ্ডের একটি পরিবর্তনশীল সেট। অ্যাডভান্সড পারসিসটেন্ট থ্রেট (এপিটি) অ্যাট্রিবিউশনের যুক্তিগুলি প্রায়শই পরিমাপযোগ্য প্রযুক্তির নিদর্শনগুলির চেয়ে অনেক বেশি নির্ভর করে, বা পরিচিত হুমকির সাথে পরিকাঠামো এবং টুলিংয়ের উপর ওভারল্যাপ করে।
Squishier মানদণ্ড যেমন দিক অন্তর্ভুক্ত করতে পারে শিকারবিদ্যা (অর্থাৎ, লক্ষ্যগুলি কি রাষ্ট্রীয় স্বার্থ এবং নীতির লক্ষ্যগুলির সাথে সামঞ্জস্যপূর্ণ?; এর বিষয়বস্তু সামাজিক-প্রকৌশলী লোভ; কোডিং ভাষা; পরিশীলিততার স্তর (আক্রমণকারীর কি ভালভাবে রিসোর্সড হওয়া দরকার? তারা কি একটি ব্যয়বহুল শূন্য দিন ব্যবহার করেছে?); এবং উদ্দেশ্য (আক্রমণ নিচু হয় গুপ্তচরবৃত্তি, ধ্বংস, নাকি আর্থিক লাভ?) এর সমস্যাও আছে মিথ্যা পতাকা অপারেশন, যেখানে একজন প্রতিপক্ষ প্রতিদ্বন্দ্বী বা প্রতিপক্ষকে ফ্রেম করার জন্য এই লিভারগুলিকে ম্যানিপুলেট করে।
"এই আক্রমণগুলিকে যুক্তিসঙ্গতভাবে একটি রাষ্ট্রকে দায়ী করা যেতে পারে তা যাচাই করার ধারণাটি আমার কাছে হতবাক - কীভাবে?" CrowdSec এর সিইও এবং সহ-প্রতিষ্ঠাতা ফিলিপ হিউমিউ বলেছেন। “এটা সুপরিচিত যে আপনি খুব কমই একটি শালীনভাবে দক্ষ সাইবার অপরাধীর অপারেশনের ভিত্তি ট্র্যাক করতে পারেন, যেহেতু তাদের অপারেশনগুলিকে এয়ার-গ্যাপ করা তাদের প্লেবুকের প্রথম লাইন। দুই, সরকার আসলে স্বীকার করতে ইচ্ছুক নয় যে তারা তাদের দেশে সাইবার অপরাধীদের জন্য কভার প্রদান করে। তিন, বিশ্বের অনেক অংশে সাইবার অপরাধীরা সাধারণত কর্সেয়ার এবং ভাড়াটেদের মিশ্রিত হয়, যে কোনো সত্তা/জাতি-রাষ্ট্র তাদের অর্থায়ন করতে পারে তার প্রতি বিশ্বস্ত, তবে তাদের অধিভুক্তি সম্পর্কে কখনও প্রশ্ন থাকলে তা সম্পূর্ণভাবে প্রসারিত এবং অস্বীকারযোগ্য।"
এই কারণেই, সন্ত্রাসবাদী গোষ্ঠীর আক্রমণের দায় নেওয়ার সরকার অনুপস্থিত, বেশিরভাগ হুমকি-গোয়েন্দা সংস্থাগুলি রাষ্ট্র-স্পনসর্ড অ্যাট্রিবিউশনকে এই ধরনের বাক্যাংশ দিয়ে সতর্ক করবে, "আমরা কম/মধ্যম/উচ্চ আত্মবিশ্বাসের সাথে নির্ধারণ করি যে XYZ হামলার পিছনে রয়েছে," এবং , বুট করার জন্য, বিভিন্ন সংস্থাগুলি যে কোনও আক্রমণের জন্য বিভিন্ন উত্স নির্ধারণ করতে পারে। পেশাদার সাইবার-হুমকি-শিকারিদের পক্ষে অপরাধীদের চিহ্নিত করা যদি এতই কঠিন হয়, তবে কল্পনা করুন যে সাইবার-বীমা সামঞ্জস্যকারীদের দক্ষতার একটি অংশ নিয়ে কাজ করা কতটা কঠিন।
হিউমিউ বলেছেন, যুদ্ধের একটি কাজের প্রমাণের মান যদি ব্যাপক সরকারী ঐকমত্য হয় তবে এটিও সমস্যা তৈরি করে।
হিউমিউ বলেছেন, "জাতি-রাষ্ট্রগুলিতে আক্রমণগুলিকে সঠিকভাবে দায়ী করার জন্য ক্রস-কান্ট্রি আইনি সহযোগিতার প্রয়োজন হবে, যা ঐতিহাসিকভাবে কঠিন এবং ধীর উভয়ই প্রমাণিত হয়েছে।" "সুতরাং এই আক্রমণগুলিকে রাষ্ট্র-রাষ্ট্রের কাছে দায়ী করার ধারণা যারা কখনই 'এটা মেনে নেবে না, আইনিভাবে বলতে গেলে সন্দেহের জন্য খুব বেশি জায়গা ছেড়ে যায়।"
সাইবার বীমা একটি অস্তিত্ব হুমকি?
থম্পসনের কথায়, আজকের পরিবেশের একটি বাস্তবতা হল রাষ্ট্র-স্পন্সরকৃত সাইবার কার্যকলাপের প্রচলন। ব্রায়ান কানিংহাম, ডেটা সিকিউরিটি কোম্পানি থিওন টেকনোলজির অ্যাটর্নি এবং উপদেষ্টা পরিষদের সদস্য, নোট করেছেন যে যদি আরও বেশি সংখ্যক বীমাকারীরা এই ধরনের কার্যকলাপ থেকে উদ্ভূত সমস্ত দাবিকে কেবল অস্বীকার করে, তবে প্রকৃতপক্ষে খুব কম অর্থ প্রদান হতে পারে। এবং, শেষ পর্যন্ত, কোম্পানিগুলি সাইবার-বীমা প্রিমিয়ামগুলিকে আর মূল্যবান হিসাবে দেখতে পাবে না।
“যদি একটি জাতি-রাষ্ট্র জড়িত ছিল এমন দাবির ভিত্তিতে উল্লেখযোগ্য সংখ্যক বিচারক আসলে ক্যারিয়ারকে সাইবার আক্রমণের জন্য কভারেজ বাদ দেওয়ার অনুমতি দেওয়া শুরু করেন, তবে এটি সাইবার বীমা ইকোসিস্টেমের জন্য ততটাই ধ্বংসাত্মক হবে যেমনটি 9/11 (অস্থায়ীভাবে) বাণিজ্যিক রিয়েল এস্টেটের জন্য ছিল। ," তিনি বলেন. "ফলস্বরূপ, আমি মনে করি না যে অনেক বিচারক এটি কিনবেন, এবং প্রমাণ, যে কোনও ক্ষেত্রে, প্রায় সবসময়ই কঠিন হবে।"
ইমিউনিওয়েবের প্রধান আর্কিটেক্ট এবং সিইও ইলিয়া কোলোচেঙ্কো উল্লেখ করেছেন যে সাইবার অপরাধীরা তাদের সুবিধার জন্য বর্জন ব্যবহার করার একটি উপায় খুঁজে বের করবে — একটি নীতির মূল্য আরও কমিয়ে দেবে।
"সমস্যাটি সুপরিচিত সাইবার-হুমকি অভিনেতাদের সম্ভাব্য ছদ্মবেশ থেকে উদ্ভূত," তিনি বলেছেন। "উদাহরণস্বরূপ, যদি সাইবার অপরাধীরা - কোন রাষ্ট্রের সাথে সম্পর্কহীন - শেষ বীমা কভারেজ বাদ দিয়ে তাদের ক্ষতিগ্রস্থদের ক্ষতির পরিমাণ বাড়াতে চায়, তবে তারা তাদের অনুপ্রবেশের সময় একটি বিখ্যাত রাষ্ট্র-সমর্থিত হ্যাকিং গ্রুপের ছদ্মবেশী করার চেষ্টা করতে পারে। এটি সাইবার-বীমা বাজারের উপর আস্থাকে ক্ষুণ্ন করবে, কারণ যেকোনও বীমা সবচেয়ে গুরুতর ক্ষেত্রে নিরর্থক হয়ে যেতে পারে যার জন্য প্রকৃতপক্ষে কভারেজ প্রয়োজন এবং প্রিমিয়াম প্রদত্ত ন্যায্যতা প্রমাণ করতে পারে।"
বর্জনের প্রশ্নটি অমীমাংসিত রয়ে গেছে
যদিও মন্ডেলেজ-জুরিখ আমেরিকান বন্দোবস্ত ইঙ্গিত করে যে বীমাকারী অন্তত আংশিকভাবে তার বক্তব্য তুলে ধরতে সফল হয়েছে (বা সম্ভবত কোনও পক্ষই আরও আইনি খরচ বহন করতে পারেনি), সেখানে বিরোধপূর্ণ আইনি নজির রয়েছে।
এর মধ্যে আরেকটি NotPetya কেস মার্ক এবং ACE আমেরিকান ইন্স্যুরেন্স একই ইস্যুতে জানুয়ারিতে বিছানায় রাখা হয়েছিল, যখন নিউ জার্সির সুপিরিয়র কোর্ট রায় দিয়েছিল যে যুদ্ধ বর্জনের কাজটি কেবল বাস্তব-বিশ্বের শারীরিক যুদ্ধের জন্য প্রসারিত হয়, যার ফলে আন্ডাররাইটারকে দাবী নিষ্পত্তির জন্য $1.4 বিলিয়ন ডলারের স্তুপ পরিশোধ করতে হয়।
এলাকার অস্থির প্রকৃতি সত্ত্বেও, কিছু সাইবার-বীমাকারীরা এগিয়ে যাচ্ছে যুদ্ধ বাদ দিয়ে, সবচেয়ে উল্লেখযোগ্যভাবে লয়েডস লন্ডনের. অগাস্টে বাজারের স্টলওয়ার্ট তার সিন্ডিকেটকে বলেছিল যে তাদের 2023 সালের এপ্রিল থেকে শুরু হওয়া রাষ্ট্র-সমর্থিত সাইবার আক্রমণের জন্য কভারেজ বাদ দিতে হবে। ধারণাটি, মেমোতে উল্লেখ করা হয়েছে, বীমা কোম্পানি এবং তাদের আন্ডাররাইটারদের বিপর্যয়কর ক্ষতি থেকে রক্ষা করা।
তা সত্ত্বেও, এই জাতীয় নীতিগুলির সাফল্য দেখতে বাকি রয়েছে।
"লয়েডস, এবং অন্যান্য ক্যারিয়ারগুলি, এই ধরনের বর্জনগুলিকে আরও শক্তিশালী এবং নিখুঁত করার জন্য কাজ করছে, কিন্তু আমি মনে করি এটিও শেষ পর্যন্ত ব্যর্থ হবে কারণ সাইবার-বীমা শিল্প সম্ভবত এই ধরনের পরিবর্তনগুলি বেশিদিন টিকে থাকতে পারে না," থিওনের কানিংহাম বলেছেন৷
