Η Oreo Giant Mondelez διακανονίζει την ασφάλιση NotPetya «Act of War».

Η Mondelez International, κατασκευαστής Oreos και Ritz Crackers, έχει διευθετήσει μια αγωγή κατά της ασφαλιστικής της στον κυβερνοχώρο, αφού ο πάροχος αρνήθηκε να καλύψει έναν λογαριασμό καθαρισμού πολλών εκατομμυρίων δολαρίων που προέκυψε από την τεράστια επίθεση ransomware NotPetya το 2017.

Ο γίγαντας του σνακ αρχικά έφερε το κοστούμι εναντίον της Zurich American Insurance το 2018, αφού η NotPetya είχε ολοκληρώσει την παγκόσμια κυβερνολεηλάτηση μεγάλων πολυεθνικών εταιρειών και η υπόθεση έκτοτε έχει δεμένο στο δικαστήριο. Οι όροι της συμφωνίας δεν έχουν αποκαλυφθεί, αλλά μια «διευθέτηση» θα υποδείκνυε μια συμβιβαστική λύση - καταδεικνύοντας πόσο ακανθώδες μπορεί να είναι ένα ζήτημα οι ρήτρες αποκλεισμού της κυβερνοασφάλισης.

NotPetya: Act of War;

Η μήνυση εξαρτιόταν από τους όρους της σύμβασης στο ασφαλιστήριο συμβόλαιο κυβερνοασφάλισης — συγκεκριμένα, μια εξαίρεση για ζημιές που προκαλούνται από πολεμικές πράξεις.

ΌχιPetya, την οποία η αμερικανική κυβέρνηση το 2018 ονόμασε την «πιο καταστροφική και δαπανηρή κυβερνοεπίθεση στην ιστορία», ξεκίνησε ως διακυβεύοντας στόχους της Ουκρανίας προτού εξαπλωθεί παγκοσμίως, επηρεάζοντας τελικά εταιρείες σε 65 χώρες και κοστίζοντας ζημιές δισεκατομμυρίων. Εξαπλώθηκε γρήγορα χάρη στη χρήση του Εκμετάλλευση σκουληκιών EternalBlue στην αλυσίδα επίθεσης, που είναι ένα όπλο της NSA που διέρρευσε και επιτρέπει στο κακόβουλο λογισμικό να αυτοδιαδίδεται από σύστημα σε σύστημα χρησιμοποιώντας κοινόχρηστα αρχεία Microsoft SMB. Σημαντικά θύματα της επίθεσης ήταν η FedEx, η ναυτιλιακή μεγαθήρια Maersk και ο φαρμακευτικός γίγαντας Merck, μεταξύ πολλών άλλων.

Στην περίπτωση της Mondelez, το κακόβουλο λογισμικό κλείδωσε 1,700 διακομιστές του και 24,000 φορητούς υπολογιστές, αφήνοντας την εταιρεία ανίκανη και ταλαιπωρημένη από ζημιές άνω των 100 εκατομμυρίων δολαρίων, διακοπές λειτουργίας, χαμένα κέρδη και κόστος αποκατάστασης.

Σαν να μην ήταν αρκετά σκληρό για να το καταπιεί, το φαγητό kahuna σύντομα βρέθηκε να πνίγεται από την απάντηση της Zurich American όταν υπέβαλε αξίωση για την ασφάλεια στον κυβερνοχώρο: Ο ασφαλιστής δεν είχε καμία πρόθεση να καλύψει το κόστος, επικαλούμενος την προαναφερθείσα ρήτρα αποκλεισμού που περιελάμβανε γλώσσα «εχθρική ή πολεμική ενέργεια σε καιρό ειρήνης ή πολέμου» από μια «κυβέρνηση ή κυρίαρχη εξουσία».

Χάρη στην απόδοση του NotPetya από τις παγκόσμιες κυβερνήσεις στο ρωσικό κράτος και την αρχική αποστολή της επίθεσης να χτυπήσει έναν γνωστό κινητικό αντίπαλο της Μόσχας, η Zurich American είχε μια υπόθεση — παρά το γεγονός ότι η επίθεση Mondelez ήταν σίγουρα ακούσια παράπλευρη ζημιά.

Ωστόσο, ο Mondelez υποστήριξε ότι το συμβόλαιο της Zurich American άφησε κάποια αμφισβητούμενα ψίχουλα στο τραπέζι, δεδομένης της έλλειψης σαφήνειας σχετικά με το τι θα μπορούσε και τι δεν μπορούσε να καλυφθεί σε μια επίθεση. Συγκεκριμένα, το ασφαλιστήριο συμβόλαιο δήλωνε ξεκάθαρα ότι θα κάλυπτε «όλους τους κινδύνους φυσικής απώλειας ή ζημιάς» — έμφαση σε «όλα» — «σε ηλεκτρονικά δεδομένα, προγράμματα ή λογισμικό, συμπεριλαμβανομένης της απώλειας ή ζημίας που προκλήθηκε από κακόβουλη εισαγωγή κωδικού μηχανής ή οδηγία." Είναι μια κατάσταση που το NotPetya ενσαρκώνει τέλεια.

Η Caroline Thompson, επικεφαλής αναδοχής στην Cowbell Cyber, έναν πάροχο ασφάλισης στον κυβερνοχώρο για μικρές και μεσαίες επιχειρήσεις (SMBs), σημειώνει ότι η έλλειψη σαφούς διατύπωσης του ασφαλιστηρίου συμβολαίου στον κυβερνοχώρο άφησε την πόρτα ανοιχτή για την έκκληση της Mondelez - και θα πρέπει να λειτουργεί ως προειδοποιητικό μήνυμα σε άλλους που διαπραγματεύονται την κάλυψη.

«Το εύρος της κάλυψης και η εφαρμογή των πολεμικών αποκλεισμών, παραμένει ένας από τους πιο απαιτητικούς τομείς για τους ασφαλιστές, καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, οι επιχειρήσεις αυξάνουν την εξάρτησή τους από τις ψηφιακές λειτουργίες και οι γεωπολιτικές εντάσεις συνεχίζουν να έχουν εκτεταμένο αντίκτυπο», λέει στο Dark. ΑΝΑΓΝΩΣΗ. «Είναι πρωταρχικής σημασίας για τους ασφαλιστές να είναι εξοικειωμένοι με τους όρους του συμβολαίου τους και να αναζητούν διευκρινίσεις όπου χρειάζεται, αλλά και να επιλέγουν σύγχρονες κυβερνοπολιτικές που μπορούν να εξελιχθούν και να προσαρμοστούν με τον ρυθμό που κάνουν οι κίνδυνοι και οι εκθέσεις τους».

Πολεμικοί Αποκλεισμοί

Υπάρχει ένα κραυγαλέο ζήτημα στο να επιμείνουν οι αποκλεισμοί πολέμου για την ασφάλεια στον κυβερνοχώρο: η δυσκολία να αποδειχθεί ότι οι επιθέσεις είναι πράγματι «πράξεις πολέμου» — ένα βάρος που γενικά απαιτεί να καθοριστεί για λογαριασμό ποιου εκτελούνται.

Στην καλύτερη των περιπτώσεων, η απόδοση είναι περισσότερο μια τέχνη παρά μια επιστήμη, με ένα μεταβαλλόμενο σύνολο κριτηρίων που στηρίζουν κάθε σίγουρη δακτυλοδειχτή. Οι λόγοι για την απόδοση προηγμένης επίμονης απειλής (APT) βασίζονται συχνά σε πολύ περισσότερα από μετρήσιμα τεχνουργήματα τεχνολογίας ή σε επικαλύψεις στην υποδομή και τα εργαλεία με γνωστές απειλές.

Τα κριτήρια Squishier μπορούν να περιλαμβάνουν πτυχές όπως θυματολογία (δηλαδή, είναι οι στόχοι συνεπείς με τα κρατικά συμφέροντα και τους στόχους πολιτικής; το αντικείμενο του κοινωνικά-μηχανικά θέλγητρα; Γλώσσα κωδικοποίησης? επίπεδο πολυπλοκότητας (χρειάζεται ο εισβολέας να διαθέτει επαρκείς πόρους; Χρησιμοποίησε μια ακριβή μηδενική ημέρα;); και το κίνητρο (είναι στραμμένη η επίθεση κατασκοπεία, καταστροφήή οικονομικό κέρδος;). Υπάρχει επίσης το θέμα του λειτουργίες ψευδούς σημαίας, όπου ένας αντίπαλος χειρίζεται αυτούς τους μοχλούς για να πλαισιώσει έναν αντίπαλο ή αντίπαλο.

«Αυτό που με σοκάρει είναι η ιδέα να επαληθεύσω ότι αυτές οι επιθέσεις μπορούν εύλογα να αποδοθούν σε ένα κράτος — πώς;» λέει ο Philippe Humeau, Διευθύνων Σύμβουλος και συνιδρυτής της CrowdSec. «Είναι γνωστό ότι δύσκολα μπορείς να παρακολουθήσεις τη βάση επιχειρήσεων ενός αξιοπρεπώς καταρτισμένου εγκληματία στον κυβερνοχώρο, αφού το air-gapping είναι η πρώτη γραμμή του βιβλίου παιχνιδιού τους. Δεύτερον, οι κυβερνήσεις δεν είναι πρόθυμες να παραδεχτούν ότι παρέχουν κάλυψη στους κυβερνοεγκληματίες στις χώρες τους. Τρίτον, οι εγκληματίες του κυβερνοχώρου σε πολλά μέρη του κόσμου είναι συνήθως ένα μείγμα κουρσάρων και μισθοφόρων, πιστοί σε όποια οντότητα/έθνος-κράτος μπορεί να τους χρηματοδοτεί, αλλά εντελώς επεκτάσιμοι και αμφισβητούμενοι αν υπάρχουν ποτέ ερωτήματα σχετικά με τη συμμετοχή τους».

Γι' αυτό, απουσία μιας κυβέρνησης να αναλάβει την ευθύνη για τρομοκρατικές τρομοκρατικές επιθέσεις, οι περισσότερες εταιρείες πληροφοριών απειλών θα προειδοποιήσουν την απόδοση που χορηγείται από το κράτος με φράσεις όπως, "καθορίζουμε με χαμηλή/μέτρια/υψηλή εμπιστοσύνη ότι η XYZ βρίσκεται πίσω από την επίθεση" και , για την εκκίνηση, διαφορετικές εταιρείες μπορούν να προσδιορίσουν διαφορετικές πηγές για κάθε δεδομένη επίθεση. Αν είναι τόσο δύσκολο για τους επαγγελματίες κυνηγούς απειλών στον κυβερνοχώρο να εντοπίσουν τους ενόχους, φανταστείτε πόσο δύσκολο είναι για τους ρυθμιστές κυβερνοασφάλισης που λειτουργούν με ένα κλάσμα των δεξιοτήτων.

Εάν το πρότυπο για την απόδειξη μιας πολεμικής πράξης είναι η ευρεία κυβερνητική συναίνεση, αυτό θέτει επίσης προβλήματα, λέει ο Humeau.

«Η ακριβής απόδοση επιθέσεων σε έθνη-κράτη θα απαιτούσε νομική συνεργασία μεταξύ των χωρών, η οποία ιστορικά έχει αποδειχθεί δύσκολη και αργή», λέει ο Humeau. «Επομένως, η ιδέα να αποδοθούν αυτές οι επιθέσεις σε έθνη-κράτη που ποτέ δεν θα το «ομολογήσουν» αφήνει πάρα πολλά περιθώρια αμφιβολίας, νομικά μιλώντας».

Υπαρξιακή απειλή για την ασφάλεια στον κυβερνοχώρο;

Κατά την άποψη του Thompson, μία από τις πραγματικότητες στο σημερινό περιβάλλον είναι ο τεράστιος όγκος της κυβερνο-δραστηριότητας που χορηγείται από το κράτος σε κυκλοφορία. Ο Bryan Cunningham, δικηγόρος και μέλος συμβουλευτικού συμβουλίου στην εταιρεία ασφάλειας δεδομένων Theon Technology, σημειώνει ότι εάν όλο και περισσότεροι ασφαλιστές απλώς αρνηθούν όλες τις αξιώσεις που προκύπτουν από μια τέτοια δραστηριότητα, θα μπορούσαν πράγματι να υπάρξουν πολύ λίγες πληρωμές. Και, σε τελική ανάλυση, οι εταιρείες μπορεί να μην βλέπουν πλέον τα ασφάλιστρα για την ασφάλεια στον κυβερνοχώρο.

«Εάν ένας σημαντικός αριθμός δικαστών αρχίσει πράγματι να επιτρέπει στους αερομεταφορείς να αποκλείουν την κάλυψη για κυβερνοεπιθέσεις μόνο με τον ισχυρισμό ότι εμπλέκεται ένα έθνος-κράτος, αυτό θα είναι τόσο καταστροφικό για το οικοσύστημα ασφάλισης στον κυβερνοχώρο όσο η 9η Σεπτεμβρίου ήταν (προσωρινά) στα εμπορικά ακίνητα ," αυτος λεει. «Ως αποτέλεσμα, δεν νομίζω ότι πολλοί κριτές θα το αγοράσουν και η απόδειξη, σε κάθε περίπτωση, θα είναι σχεδόν πάντα δύσκολη».

Με διαφορετικό τρόπο, ο Ilia Kolochenko, επικεφαλής αρχιτέκτονας και Διευθύνων Σύμβουλος της ImmuniWeb, σημειώνει ότι οι κυβερνοεγκληματίες θα βρουν έναν τρόπο να χρησιμοποιήσουν τους αποκλεισμούς προς όφελός τους — υποτιμώντας ακόμη περισσότερο την αξία μιας πολιτικής.

«Το πρόβλημα προέρχεται από μια πιθανή πλαστοπροσωπία γνωστών ηθοποιών που απειλούν τον κυβερνοχώρο», λέει. «Για παράδειγμα, εάν οι εγκληματίες του κυβερνοχώρου — που δεν σχετίζονται με κανένα κράτος — επιθυμούν να ενισχύσουν τη ζημιά που προκλήθηκε στα θύματά τους αποκλείοντας την ενδεχόμενη ασφαλιστική κάλυψη, μπορεί απλώς να προσπαθήσουν να μιμηθούν μια διάσημη ομάδα hacking που υποστηρίζεται από το κράτος κατά τη διάρκεια της εισβολής τους. Αυτό θα υπονομεύσει την εμπιστοσύνη στην αγορά ασφάλισης στον κυβερνοχώρο, καθώς οποιαδήποτε ασφάλιση μπορεί να καταστεί μάταιη στις πιο σοβαρές περιπτώσεις που απαιτούν πραγματικά την κάλυψη και δικαιολογούν τα καταβληθέντα ασφάλιστρα».

Το ζήτημα των αποκλεισμών παραμένει άλυτο

Παρόλο που ο αμερικανικός διακανονισμός Mondelez-Zurich φαίνεται να δείχνει ότι ο ασφαλιστής πέτυχε τουλάχιστον εν μέρει να υποστηρίξει τη θέση του (ή ίσως καμία πλευρά δεν είχε το στομάχι να επιβαρυνθεί με περαιτέρω νομικά έξοδα), υπάρχει αντικρουόμενο νομικό προηγούμενο.

Μια άλλη περίπτωση NotPetya μεταξύ Merck και ACE American Insurance για το ίδιο ζήτημα τέθηκε στο κρεβάτι τον Ιανουάριο, όταν το Ανώτατο Δικαστήριο του Νιου Τζέρσεϋ έκρινε ότι οι εξαιρέσεις για πράξεις πολέμου επεκτείνονται μόνο στον πραγματικό σωματικό πόλεμο, με αποτέλεσμα ο ασφαλιστής να πληρώσει μια σωρεία μερίδας 1.4 δισεκατομμυρίων δολαρίων διευθέτησης αξιώσεων.

Παρά την άστατη φύση της περιοχής, ορισμένοι κυβερνοασφαλιστές είναι πηγαίνοντας μπροστά με πολεμικούς αποκλεισμούς, κυρίως Lloyd's του Λονδίνου. Τον Αύγουστο, το δυναμικό της αγοράς είπε στα συνδικάτα του ότι θα τους ζητηθεί να αποκλείσουν την κάλυψη για κυβερνοεπιθέσεις που υποστηρίζονται από το κράτος ξεκινώντας τον Απρίλιο του 2023. Η ιδέα, σημειώνεται στο σημείωμα, είναι να προστατευθούν οι ασφαλιστικές εταιρείες και οι ασφαλιστές τους από καταστροφικές απώλειες.

Ακόμα κι έτσι, η επιτυχία τέτοιων πολιτικών μένει να φανεί.

«Η Lloyd's και άλλοι αερομεταφορείς εργάζονται για να κάνουν τέτοιες εξαιρέσεις ισχυρότερες και απόλυτες, αλλά νομίζω ότι και αυτό τελικά θα αποτύχει επειδή ο κλάδος της κυβερνοασφάλισης πιθανότατα δεν θα μπορούσε να επιβιώσει για πολύ τέτοιες αλλαγές», λέει ο Theon's Cunningham.