Mondelez International, producent af Oreos og Ritz Crackers, har afgjort en retssag mod sit cyberforsikringsselskab, efter at udbyderen nægtede at dække en oprydningsregning på flere millioner dollar, der stammede fra det vidtstrakte NotPetya ransomware-angreb i 2017.
Snackgiganten oprindeligt bragte dragten mod Zurich American Insurance tilbage i 2018, efter at NotPetya havde afsluttet sin globale cyberransackning af store multinationale selskaber, og sagen har siden været bundet i retten. Betingelserne for aftalen er ikke blevet afsløret, men et "forlig" ville indikere en kompromisløsning - der illustrerer, hvor vanskeligt et problem cyberforsikringsudelukkelsesklausuler kan være.
NotPetya: Act of War?
Retssagen var afhængig af kontraktvilkårene i cyberforsikringspolicen - specifikt en udelukkelse for skader forårsaget af krigshandlinger.
NotPetya, som den amerikanske regering i 2018 kaldte det "mest destruktive og dyreste cyberangreb i historien", startede med at kompromittere ukrainske mål, før de spredte sig globalt, hvilket i sidste ende påvirkede virksomheder i 65 lande og kostede milliarder i skade. Det spredte sig hurtigt takket være brugen af EternalBlue ormeudnyttelse i angrebskæden, som er et lækket NSA-våben, der tillader malware at sprede sig selv fra system til system ved hjælp af Microsoft SMB-filshares. Bemærkelsesværdige ofre for angrebet omfattede blandt andet FedEx, shippingbehemoth Maersk og medicinalgiganten Merck.
I tilfældet med Mondelez låste malwaren 1,700 af sine servere og svimlende 24,000 bærbare computere, hvilket efterlod virksomheden uarbejdsdygtig og nød mere end $100 millioner i skader, nedetid, tabt fortjeneste og afhjælpningsomkostninger.
Som om det ikke var svært nok at sluge, fandt madkahuna sig hurtigt i kvælning af svaret fra Zurich American, da det indgav et krav om cyberforsikring: Underwriteren havde ikke til hensigt at dække omkostningerne, idet han citerede den førnævnte eksklusionsklausul, der indeholdt sproget "fjendtlig eller krigslignende handling i tid med fred eller krig" af en "regering eller suveræn magt."
Takket være verdensregeringers tilskrivning af NotPetya til den russiske stat og angrebets oprindelige mission for at ramme en kendt kinetisk modstander af Moskva, havde Zurich American en sag – på trods af at Mondelez-angrebet bestemt var utilsigtet sideskade.
Mondelez argumenterede dog for, at Zurich Americans kontrakt efterlod nogle omstridte krummer på bordet, så at sige, givet den manglende klarhed i, hvad der kunne og ikke kunne dækkes i et angreb. Specifikt erklærede forsikringspolicen klart, at den ville dække "alle risici for fysisk tab eller beskadigelse" - vægt på "alle" - "på elektroniske data, programmer eller software, herunder tab eller skade forårsaget af ondsindet indførelse af en maskinkode eller instruktion." Det er en situation, som NotPetya perfekt legemliggør.
Caroline Thompson, chef for underwriting hos Cowbell Cyber, en cyberforsikringsudbyder til små og mellemstore virksomheder (SMB'er), bemærker, at manglen på en klar ordlyd af cyberforsikringspolice lod døren stå åben for Mondelez' appel – og bør fungere som en advarselsmeddelelse til andre, der forhandler om dækning.
"Omfanget af dækning og anvendelsen af krigsudelukkelser er fortsat et af de mest udfordrende områder for forsikringsselskaber, efterhånden som cybertrusler fortsætter med at udvikle sig, virksomheder øger deres afhængighed af digitale operationer, og geopolitiske spændinger fortsætter med at have udbredt indflydelse," siger hun til Dark Læsning. "Det er altafgørende for forsikringsselskaber at være bekendt med vilkårene i deres politik og søge afklaring, hvor det er nødvendigt, men også vælge moderne cyberpolitikker, der kan udvikle sig og tilpasse sig i det tempo, deres risiko og eksponeringer gør."
Krigsudelukkelser
Der er et iøjnefaldende problem med at få krigsekskluderinger til at holde sig til cyberforsikring: han har svært ved at bevise, at angreb faktisk er "krigshandlinger" - en byrde, der generelt kræver at bestemme, på hvis vegne de udføres.
I de bedste tilfælde er tilskrivning mere en kunst end en videnskab, med et skiftende sæt kriterier, der understøtter enhver sikker fingerpegning. Begrundelser for tilskrivning af avanceret vedvarende trussel (APT) er ofte afhængig af langt mere end kvantificerbare teknologiartefakter eller overlapninger i infrastruktur og værktøjer med kendte trusler.
Squishier kriterier kan omfatte aspekter som f.eks viktimologi (dvs. er målene i overensstemmelse med statens interesser og politiske mål?; emnet for socialteknisk lokker; kodesprog; niveau af sofistikering (skal angriberen have gode ressourcer? Brugte de en dyr nuldag?); og motiv (er angrebet rettet mod spionage, ødelæggelseeller økonomisk gevinst?). Der er også spørgsmålet om falsk-flag operationer, hvor en modstander manipulerer disse håndtag for at ramme en rival eller modstander.
"Det, der er chokerende for mig, er ideen om at verificere, at disse angreb med rimelighed kan tilskrives en stat - hvordan?" siger Philippe Humeau, CEO og medstifter af CrowdSec. ”Det er velkendt, at man næppe kan spore en anstændigt dygtig cyberkriminelles operationsbase, eftersom luftgab deres operationer er den første linje i deres playbook. For det andet er regeringer ikke villige til faktisk at indrømme, at de yder dækning for cyberkriminelle i deres lande. For det tredje er cyberkriminelle i mange dele af verden sædvanligvis en blanding af korsarer og lejesoldater, trofaste over for enhver enhed/nationalstat, der finansierer dem, men fuldstændigt udvidelige og benægtelige, hvis der nogensinde er spørgsmål om deres tilknytning."
Det er derfor, hvis en regering ikke tager ansvar for et angreb a la terrorgrupper, vil de fleste trusselsefterretningsfirmaer tage forbehold for statssponsoreret tilskrivning med sætninger som "vi fastslår med lav/moderat/høj tillid, at XYZ står bag angrebet" og For at starte op kan forskellige firmaer bestemme forskellige kilder til et givet angreb. Hvis det er så svært for professionelle cybertrusseljægere at finde frem til de skyldige, så forestil dig, hvor svært det er for cyberforsikringstilpassere, der arbejder med en brøkdel af færdighederne.
Hvis standarden for bevis for en krigshandling er bred statslig konsensus, giver dette også problemer, siger Humeau.
"Nøjagtig at tilskrive angreb til nationalstater ville kræve juridisk samarbejde på tværs af lande, hvilket historisk har vist sig at være både vanskeligt og langsomt," siger Humeau. "Så ideen om at tilskrive disse angreb til nationalstater, som aldrig vil 'feje op til det, efterlader for meget plads til tvivl, juridisk set."
En eksistentiel trussel mod cyberforsikring?
Til Thompsons pointe er en af realiteterne i nutidens miljø den store mængde statssponsoreret cyberaktivitet i omløb. Bryan Cunningham, advokat og rådgivende rådsmedlem hos datasikkerhedsfirmaet Theon Technology, bemærker, at hvis flere og flere forsikringsselskaber blot nægter alle krav, der stammer fra en sådan aktivitet, kan der faktisk være meget få udbetalinger. Og i sidste ende ser virksomhederne muligvis ikke cyberforsikringspræmier som det værd længere.
"Hvis et betydeligt antal dommere faktisk begynder at tillade luftfartsselskaber at udelukke dækning for cyberangreb blot efter en påstand om, at en nationalstat var involveret, vil dette være lige så ødelæggende for cyberforsikringsøkosystemet, som 9/11 var (midlertidigt) for erhvervsejendomme ," han siger. "Som et resultat tror jeg ikke, at mange dommere vil købe dette, og beviser vil under alle omstændigheder næsten altid være vanskelige."
På en anden måde bemærker Ilia Kolochenko, chefarkitekt og administrerende direktør for ImmuniWeb, at cyberkriminelle vil finde en måde at bruge udelukkelserne til deres fordel - hvilket underbyder værdien af at have en politik endnu mere.
"Problemet stammer fra en mulig efterligning af velkendte cybertrusselaktører," siger han. "For eksempel, hvis cyberkriminelle - uden relation til nogen stat - ønsker at forstærke skaden på deres ofre ved at udelukke den eventuelle forsikringsdækning, kan de simpelthen prøve at efterligne en berømt statsstøttet hackergruppe under deres indtrængen. Dette vil undergrave tilliden til cyberforsikringsmarkedet, da enhver forsikring kan blive forgæves i de mest alvorlige tilfælde, der faktisk kræver dækningen og retfærdiggør de betalte præmier."
Spørgsmålet om udelukkelser forbliver uafklaret
Selvom det amerikanske forlig Mondelez-Zürich synes at indikere, at det lykkedes forsikringsselskabet i det mindste delvist at gøre sin pointe (eller måske ingen af parterne havde mave til at pådrage sig yderligere sagsomkostninger), er der modstridende juridisk præcedens.
Endnu en NotPetya-sag mellem Merck og ACE American Insurance over det samme spørgsmål blev lagt på sengen i januar, da Superior Court i New Jersey afgjorde, at krigsudelukkelser kun omfatter fysisk krigsførelse i den virkelige verden, hvilket resulterede i, at forsikringsgiveren betalte en bunke $1.4 mia.
På trods af områdets uafklarede natur er nogle cyberforsikringsselskaber det fremadrettet med krigsudelukkelser, især Lloyd's fra London. I august fortalte markedslederen sine syndikater, at de vil blive forpligtet til at udelukke dækning for statsstøttede cyberangreb begyndende i april 2023. Ideen, bemærkede notatet, er at beskytte forsikringsselskaber og deres forsikringsselskaber mod katastrofale tab.
Alligevel er succes for sådanne politikker endnu uvist.
"Lloyd's og andre luftfartsselskaber arbejder på at gøre sådanne udelukkelser stærkere og absolutte, men jeg tror også, at dette i sidste ende vil mislykkes, fordi cyberforsikringsindustrien sandsynligvis ikke kunne overleve sådanne ændringer længe," siger Theons Cunningham.
