Oreose ja Ritz Crackersi tootja Mondelez International on lahendanud hagi oma küberkindlustusandja vastu pärast seda, kui pakkuja keeldus katmast mitme miljoni dollari suurust puhastusarvet, mis tulenes 2017. aastal laialivalguvast NotPetya lunavararünnakust.
Algselt suupistehiiglane tõi ülikonna Zürich American Insurance'i vastu 2018. aastal, pärast seda, kui NotPetya oli lõpetanud ülemaailmsete suurte rahvusvaheliste korporatsioonide küberrüüstamise ja juhtum on sellest ajast peale kohtus kinni seotud. Tehingu tingimusi ei ole avalikustatud, kuid "kokkulepe" viitaks kompromisslahendusele, mis näitab, kui keerulised võivad olla küberkindlustuse välistamisklauslid.
NotPetya: sõjaakt?
Kohtuasi põhines küberkindlustuspoliisis sisalduvatel lepingutingimustel – täpsemalt sõjategevusest põhjustatud kahjude väljajätmisel.
Mitte Petya, mille USA valitsus 2018. aastal nimetas "ajaloo kõige hävitavamaks ja kulukamaks küberrünnakuks", mis sai alguse Ukraina sihtmärkide kompromiteerimisest, enne kui levis ülemaailmselt, mõjutades lõpuks ettevõtteid 65 riigis ja makstes miljardeid kahjusid. See levis kiiresti tänu kasutamisele EternalBlue ussirohi ründeahelas, mis on lekkinud NSA relv, mis võimaldab pahavaral ise levida süsteemist süsteemi, kasutades Microsofti SMB failijagamisi. Rünnaku märkimisväärsed ohvrid olid paljude teiste seas FedEx, laevandusmass Maersk ja farmaatsiahiiglane Merck.
Mondelezi puhul lukustas pahavara 1,700 selle serverit ja jahmatavad 24,000 100 sülearvutit, muutes ettevõtte töövõimetuks ja vaevlema enam kui XNUMX miljoni dollari suuruse kahju, seisaku, saamata jäänud kasumi ja heastamiskulude tõttu.
Justkui see ei oleks piisavalt raske alla neelata, leidis toidukahuna end peagi lämbumas Zürich Americani vastusest, kui ta esitas küberkindlustusnõude: kindlustusandjal polnud kavatsust kulusid katta, viidates ülalmainitud välistamisklauslile, mis sisaldas keel "valitsuse või suveräänse võimu vaenulik või sõjakas tegevus rahu või sõja ajal".
Tänu sellele, et maailma valitsused omistasid NotPetya Vene riigile ja rünnaku algsele ülesandele tabada Moskva tuntud kineetilist vastast, oli Zürich Americanil juhtum – hoolimata asjaolust, et Mondelezi rünnak oli kindlasti tahtmatu kaaskahju.
Mondelez aga väitis, et Zürich Americani leping jättis lauale justkui vaidlusaluseid puru, kuna selguse puudumine selles, mida saab ja mida mitte rünnakul katta. Täpsemalt oli kindlustuspoliis selgelt kirjas, et see katab "kõik füüsilise kaotuse või kahju riskid" - rõhuasetus "kõikidele" - "elektroonilistele andmetele, programmidele või tarkvarale, sealhulgas masinkoodi pahatahtlikust sisestamisest põhjustatud kadu või kahju. või juhis." See on olukord, mida NotPetya suurepäraselt kehastab.
Caroline Thompson, väike- ja keskmise suurusega ettevõtete küberkindlustuse pakkuja Cowbell Cyberi kindlustusjuht, märgib, et selge küberkindlustuspoliisi sõnastuse puudumine jättis Mondelezi apellatsiooniks ukse lahti – ja see peaks toimima hoiatussõnumina. teistele, kes peavad läbirääkimisi katvuse üle.
"Katvuse ulatus ja sõja välistamise kohaldamine on kindlustusandjate jaoks endiselt üks keerulisemaid valdkondi, kuna küberohud arenevad jätkuvalt, ettevõtted suurendavad oma sõltuvust digitaalsetest operatsioonidest ja geopoliitilistel pingetel on jätkuvalt laialdane mõju," räägib ta Darkile. Lugemine. "Kindlustusandjate jaoks on ülimalt oluline olla kursis oma poliisi tingimustega ja otsida vajaduse korral selgitusi, kuid valida ka kaasaegsed küberpoliitikad, mis võivad areneda ja kohaneda nende riskide ja riskide tempos."
Sõja välistused
Küberkindlustuse jaoks sõjavälistuste kehtestamisel on üks silmatorkav probleem: tal on raskusi tõestada, et rünnakud on tõepoolest "sõjaaktid" – see on koorem, mis nõuab üldiselt otsustamist, kelle nimel need läbi viiakse.
Parimal juhul on omistamine rohkem kunst kui teadus, kusjuures iga enesekindla näpuga näitamise aluseks on muutuv kriteeriumide kogum. Täiustatud püsiva ohu (APT) omistamise põhjused põhinevad sageli palju enamal kui mõõdetavatel tehnoloogilistel artefaktidel või infrastruktuuri ja tööriistade kattumisel teadaolevate ohtudega.
Squishier kriteeriumid võivad sisaldada selliseid aspekte nagu viktimoloogia (st kas eesmärgid on kooskõlas riigi huvide ja poliitiliste eesmärkidega?; teema sotsiaalinseneri peibutised; kodeerimiskeel; keerukuse tase (kas ründaja peab olema hästi varustatud? Kas nad kasutasid kallist nullpäeva?); ja motiiv (kas rünnak on suunatud spionaaž, hävitaminevõi rahalist kasu?). Samuti on küsimus valelipu toimingud, kus üks vastane manipuleerib nende hoobadega rivaali või vastase raamimiseks.
"Minu jaoks on šokeeriv idee kontrollida, kas neid rünnakuid saab põhjendatult seostada riigiga – kuidas?" ütleb Philippe Humeau, CrowdSeci tegevjuht ja kaasasutaja. "On hästi teada, et korralike oskustega küberkurjategijate tegevusbaasi on vaevalt võimalik jälgida, kuna nende tegevuste õhulõhe on nende mänguraamatu esimene rida. Teiseks ei ole valitsused valmis tunnistama, et pakuvad oma riigis küberkurjategijatele katet. Kolmas, küberkurjategijad on paljudes maailma paikades tavaliselt mingi segu korsaaridest ja palgasõduritest, kes on truud mis tahes üksusele/rahvusriigile, kes neid rahastab, kuid on täiesti laiendatavad ja eitavad, kui nende kuuluvuse kohta tekib küsimusi.
Sellepärast, kui valitsus ei võtaks terrorismirühmituste rünnaku eest vastutust, hoiatavad enamik ohuluurefirmasid riigi toetatud omistamist selliste fraasidega nagu "me teeme väikese/mõõduka/suure kindlustundega kindlaks, et rünnaku taga on XYZ" ja , võivad erinevad ettevõtted määrata iga rünnaku jaoks erinevad allikad. Kui professionaalsetel küberohtude jahtijatel on nii raske süüdlasi tabada, siis kujutage ette, kui raske on küberkindlustuse kohandajatel, kes tegutsevad murdosa oskustega.
Kui sõjaakti tõendamise standardiks on valitsuse lai konsensus, tekitab see samuti probleeme, ütleb Humeau.
"Rünnakute täpne omistamine rahvusriikidele nõuaks riikidevahelist õigusalast koostööd, mis on ajalooliselt osutunud nii keeruliseks kui ka aeglaseks," ütleb Humeau. "Seega jätab idee omistada need rünnakud rahvusriikidele, kes sellele kunagi ei tunnista, õiguslikult liiga palju kahtlustele."
Eksistentsiaalne oht küberkindlustusele?
Thompsoni sõnul on tänapäeva keskkonna üheks reaalsuseks ringluses oleva riigi rahastatud kübertegevuse tohutu hulk. Andmeturbeettevõtte Theon Technology advokaat ja nõustamisnõukogu liige Bryan Cunningham märgib, et kui üha rohkem kindlustusandjaid lihtsalt eitab kõiki sellisest tegevusest tulenevaid nõudeid, võib väljamakseid olla väga vähe. Ja lõpuks ei pruugi ettevõtted küberkindlustusmakseid enam väärt olla.
"Kui märkimisväärne hulk kohtunikke hakkab tegelikult lubama vedajatel küberrünnakute eest kaitset välistada vaid väitel, et tegemist on rahvusriigiga, on see küberkindlustuse ökosüsteemile sama laastav kui 9. septembril (ajutiselt) kommertskinnisvarale. ," ta ütleb. "Selle tulemusena ei usu ma, et paljud kohtunikud seda ostavad ja igal juhul on tõestamine peaaegu alati keeruline."
Teisest küljest märgib ImmuniWebi peaarhitekt ja tegevjuht Ilia Kolotšenko, et küberkurjategijad leiavad võimaluse kasutada välistusi enda kasuks – alandades poliitika väärtust veelgi.
"Probleem tuleneb tuntud küberohu osalejate võimalikust esinemisest," ütleb ta. "Näiteks kui küberkurjategijad, kes pole seotud ühegi osariigiga, soovivad oma ohvritele tekitatud kahju võimendada, välistades võimaliku kindlustuskaitse, võivad nad lihtsalt proovida kehastuda kuulsa riigi toetatud häkkimisrühmana oma sissetungi ajal. See õõnestab usaldust küberkindlustusturu vastu, kuna igasugune kindlustus võib muutuda mõttetuks kõige tõsisematel juhtudel, mis tegelikult nõuavad kindlustuskaitset ja õigustavad makstud kindlustusmakseid.
Väljajätmise küsimus jääb lahendamata
Kuigi Mondelez-Zürich Ameerika kokkulepe näib viitavat sellele, et kindlustusandjal õnnestus vähemalt osaliselt oma seisukoht välja tuua (või võib-olla ei olnud kummalgi poolel kõht täiendavate kohtukulude kandmiseks), on vastuoluline juriidiline pretsedent.
Teine NotPetya juhtum vahel Merck ja ACE American Insurance sama küsimus pandi voodisse jaanuaris, kui New Jersey ülemkohus otsustas, et sõjategevuse välistused laienevad ainult reaalsele füüsilisele sõjapidamisele, mille tulemusel maksab kindlustusandja nõuete lahendamiseks kuhjaga 1.4 miljardit dollarit.
Vaatamata piirkonna rahutusele on mõned küberkindlustusandjad seda läheb edasi sõja välistustega, eriti Londoni Lloyd's. Augustis teatas turustaja oma sündikaatidele, et nad peavad välistama kindlustuskatte riigi toetatud küberrünnakute eest, mis algavad 2023. aasta aprillist. Memos märgiti, et idee on kaitsta kindlustusfirmasid ja nende kindlustusandjaid katastroofiliste kahjude eest.
Sellegipoolest on sellise poliitika edu ees ootamas.
"Lloyd's ja teised vedajad töötavad selle nimel, et sellised välistused oleksid tugevamad ja absoluutsed, kuid ma arvan, et ka see ebaõnnestub, sest küberkindlustussektor ei suuda tõenäoliselt selliseid muutusi kaua üle elada," ütleb Theon's Cunningham.
