Mondelez International، سازنده Oreos و Ritz Crackers، پس از اینکه ارائهدهنده از پرداخت صورتحساب پاکسازی چند میلیون دلاری ناشی از حمله گسترده باجافزار NotPetya در سال 2017 خودداری کرد، شکایتی را علیه بیمهگر سایبری خود حل و فصل کرد.
غول تنقلات در اصل کت و شلوار را آورد علیه بیمه زوریخ آمریکا در سال 2018، پس از اینکه NotPetya غارت سایبری جهانی خود را از شرکتهای بزرگ چند ملیتی کامل کرد و این پرونده از آن زمان تاکنون ادامه دارد. در دادگاه گره خورده است. شرایط معامله فاش نشده است، اما "تسویه حساب" نشان دهنده یک راه حل سازش است - نشان می دهد که بندهای محرومیت بیمه سایبری چقدر می توانند مشکل ساز باشند.
NotPetya: Act of War؟
این شکایت به شرایط قرارداد در بیمه نامه سایبری بستگی داشت - به طور خاص، یک استثنا برای خسارات ناشی از اعمال جنگ.
نه پتیاکه دولت ایالات متحده در سال 2018 آن را «مخربترین و پرهزینهترین حمله سایبری تاریخ» نامید، با به خطر انداختن اهداف اوکراینی قبل از انتشار در سطح جهانی آغاز شد و در نهایت بر شرکتها در 65 کشور تأثیر گذاشت و میلیاردها خسارت به بار آورد. به لطف استفاده از آن به سرعت گسترش یافت سوء استفاده از کرم EternalBlue در زنجیره حمله، که یک سلاح افشا شده NSA است که به بدافزار اجازه میدهد با استفاده از اشتراکگذاری فایل SMB مایکروسافت، از سیستمی به سیستم دیگر منتشر شود. قربانیان قابل توجه این حمله شامل فدرال اکسپرس، غول کشتیرانی مرسک، و غول دارویی مرک و بسیاری دیگر بودند.
در مورد Mondelez، بدافزار 1,700 سرور و 24,000 لپتاپ را قفل کرد و شرکت را ناتوان کرد و بیش از 100 میلیون دلار خسارت، خرابی، سود از دست رفته و هزینههای تعمیر را متحمل شد.
گویی که آنقدر سخت نیست که بلعیده شود، کاهونای غذا به زودی خود را از پاسخ زوریخ آمریکایی در هنگام ارائه یک ادعای بیمه سایبری خفه کرد: پذیره نویس هیچ قصدی برای پوشش هزینه ها نداشت، با استناد به بند استثنای فوق الذکر که شامل موارد ذکر شده بود. زبان "اقدام خصمانه یا جنگ طلبانه در زمان صلح یا جنگ" توسط "دولت یا قدرت حاکم".
به لطف انتساب NotPetya توسط دولت های جهانی به دولت روسیه، و ماموریت اصلی حمله برای ضربه زدن به دشمن جنبشی شناخته شده مسکو، زوریخ امریکن یک مورد داشت – علیرغم این واقعیت که حمله Mondelez مطمئناً آسیب جانبی ناخواسته بود.
با این حال، موندلز استدلال کرد که قرارداد زوریخ امریکن با توجه به عدم شفافیت در مورد آنچه میتوان و نمیتوان در یک حمله پوشانده شد، خردههای بحث برانگیز روی میز باقی گذاشت. به طور خاص، بیمه نامه به صراحت بیان می کرد که "همه خطرات ناشی از ضرر یا خسارت فیزیکی" - تاکید بر "همه" - "داده ها، برنامه ها یا نرم افزارهای الکترونیکی، از جمله از دست دادن یا آسیب ناشی از معرفی مخرب یک کد ماشینی" را پوشش می دهد. یا دستورالعمل.» این موقعیتی است که NotPetya کاملاً تجسم می کند.
کارولین تامپسون، رئیس پذیرهنویسی در Cowbell Cyber، ارائهدهنده بیمه سایبری برای کسبوکارهای کوچک و متوسط (SMB)، خاطرنشان میکند که فقدان متنبندی واضح بیمهنامه سایبری درها را برای درخواستهای Mondelez باز کرده است - و باید به عنوان یک پیام هشدار دهنده عمل کند. به دیگرانی که در حال مذاکره برای پوشش هستند.
او به Dark میگوید: «حوزه پوشش و اعمال محرومیتهای جنگی، همچنان یکی از چالشبرانگیزترین حوزهها برای بیمهگران است، زیرا تهدیدات سایبری همچنان در حال تکامل هستند، کسبوکارها وابستگی خود را به عملیات دیجیتال افزایش میدهند و تنشهای ژئوپلیتیکی همچنان تأثیرات گستردهای دارند». خواندن. برای بیمهگران بسیار مهم است که با شرایط بیمهنامه خود آشنا باشند و در صورت نیاز به دنبال شفافسازی باشند، اما همچنین سیاستهای سایبری مدرنی را انتخاب کنند که میتواند با سرعتی که در معرض خطرات و خطرات آنها است، تکامل یافته و سازگار شود.
محرومیت های جنگی
یک مسئله آشکار در چسباندن محرومیتهای جنگ به بیمه سایبری وجود دارد: او در اثبات اینکه حملات واقعاً «اعمال جنگی» هستند - مشکلی که معمولاً مستلزم تعیین اینکه از طرف چه کسی انجام میشوند، وجود دارد.
در بهترین موارد، انتساب بیشتر یک هنر است تا یک علم، با مجموعه متغیرهایی از معیارها که زیربنای هر گونه انگشت اشاره مطمئنی است. دلایل منطقی برای تخصیص تهدید دائمی پیشرفته (APT) اغلب به چیزی بیشتر از مصنوعات فناوری قابل سنجش یا همپوشانی در زیرساخت و ابزار با تهدیدات شناخته شده متکی است.
معیار Squishier می تواند شامل جنبه هایی مانند قربانی شناسی (یعنی آیا اهداف با منافع دولت و اهداف سیاست سازگار است؟؛ موضوع فریب های مهندسی اجتماعی; زبان کدنویسی؛ سطح پیچیدگی (آیا مهاجم نیاز به منابع خوبی دارد؟ آیا آنها از یک روز صفر گران استفاده کرده اند؟) و انگیزه (این است که حمله به آن خم شده است جاسوسی, تخریبیا سود مالی؟). همچنین این موضوع وجود دارد عملیات با پرچم کاذب، جایی که یکی از حریف ها این اهرم ها را دستکاری می کند تا رقیب یا حریف را بسازد.
"آنچه برای من تکان دهنده است این است که تأیید کنم این حملات را می توان به طور منطقی به یک دولت نسبت داد - چگونه؟" فیلیپ هومو، مدیرعامل و یکی از بنیانگذاران CrowdSec می گوید. "به خوبی شناخته شده است که شما به سختی می توانید پایگاه عملیات یک مجرم سایبری ماهر را ردیابی کنید، زیرا عملیات شکاف هوایی اولین خط کتاب بازی آنها است. دوم، دولتها واقعاً حاضر نیستند بپذیرند که برای مجرمان سایبری در کشورهایشان پوشش میدهند. سوم، مجرمان سایبری در بسیاری از نقاط جهان معمولاً ترکیبی از جنگجویان و مزدوران هستند، وفادار به هر نهاد/ملت-دولتی که ممکن است آنها را تأمین مالی کند، اما اگر سؤالی در مورد وابستگی آنها وجود داشته باشد کاملاً قابل گسترش و انکار است.
به همین دلیل است که در غیاب دولتی که مسئولیت حمله به گروههای تروریستی را بر عهده نگیرد، بیشتر شرکتهای اطلاعاتی تهدید، نسبت به اسناد دولتی با عباراتی مانند «ما با اطمینان کم/متوسط/بالا تعیین میکنیم که XYZ پشت این حمله است» و برای راه اندازی، شرکت های مختلف ممکن است منابع مختلفی را برای هر حمله مشخص تعیین کنند. اگر برای شکارچیان حرفهای تهدیدات سایبری شناسایی مقصران بسیار دشوار است، تصور کنید که برای تعدیلکنندگان بیمه سایبری که با کسری از مهارتها کار میکنند چقدر دشوار است.
هیمو میگوید: اگر معیار اثبات یک عمل جنگی، اجماع گسترده دولتی باشد، این نیز مشکلاتی را ایجاد میکند.
هیمو می گوید: «انتساب دقیق حملات به دولت-ملت ها مستلزم همکاری حقوقی بین کشوری است، که از نظر تاریخی ثابت شده است که هم دشوار و هم کند است». بنابراین، ایده نسبت دادن این حملات به دولتهای ملتی که هرگز به آن اعتراف نخواهند کرد، از نظر قانونی، جای زیادی برای تردید باقی میگذارد.
یک تهدید وجودی برای بیمه سایبری؟
به نظر تامپسون، یکی از واقعیتهای موجود در محیط امروز، حجم گسترده فعالیتهای سایبری تحت حمایت دولت در گردش است. برایان کانینگهام، وکیل و عضو شورای مشاور در شرکت امنیت داده Theon Technology، خاطرنشان میکند که اگر تعداد بیشتری از بیمهگذاران به سادگی تمام ادعاهای ناشی از چنین فعالیتهایی را رد کنند، ممکن است پرداختهای بسیار کمی وجود داشته باشد. و در نهایت، شرکت ها ممکن است دیگر حق بیمه های سایبری را ارزش آن را نبینند.
«اگر تعداد قابل توجهی از قضات در واقع به شرکتهای مخابراتی اجازه دهند که پوشش حملات سایبری را صرفاً با ادعای اینکه یک دولت-ملت درگیر بوده است را حذف کنند، این امر به همان اندازه برای اکوسیستم بیمه سایبری ویرانگر خواهد بود که 9 سپتامبر (به طور موقت) برای املاک تجاری (به طور موقت) او می گوید. در نتیجه، فکر نمیکنم بسیاری از داوران این را بخرند، و در هر صورت اثبات آن تقریباً همیشه دشوار خواهد بود.»
ایلیا کولوچنکو، معمار ارشد و مدیر عامل ImmuniWeb، در مسیری متفاوت، خاطرنشان میکند که مجرمان سایبری راهی برای استفاده از محرومیتها به نفع خود پیدا خواهند کرد - ارزش داشتن یک خطمشی را حتی بیشتر کاهش میدهند.
او می گوید: «مشکل از جعل هویت احتمالی بازیگران شناخته شده تهدیدات سایبری ناشی می شود. به عنوان مثال، اگر مجرمان سایبری – غیر مرتبط با هیچ ایالتی – بخواهند با حذف پوشش نهایی بیمه، خسارات وارده به قربانیان خود را افزایش دهند، ممکن است به سادگی سعی در جعل هویت یک گروه معروف هکری تحت حمایت دولت در طول نفوذ خود داشته باشند. این امر اعتماد به بازار بیمه سایبری را تضعیف می کند، زیرا هر بیمه ای ممکن است در جدی ترین مواردی که در واقع نیاز به پوشش دارد و حق بیمه پرداختی را توجیه می کند، بیهوده شود.
مسئله محرومیت ها حل نشده باقی مانده است
حتی اگر به نظر می رسد توافق آمریكایی موندلز-زوریخ نشان می دهد كه بیمه گر حداقل تا حدی در بیان نظر خود موفق بوده است (یا شاید هیچ یك از طرفین تمایلی برای متحمل شدن هزینه های قانونی بیشتر نداشته باشند)، سابقه حقوقی متناقضی وجود دارد.
یکی دیگر از موارد NotPetya بین بیمه مرک و ACE آمریکا در ماه ژانویه، زمانی که دادگاه عالی نیوجرسی حکم داد که محرومیتهای مربوط به جنگ فقط شامل جنگ فیزیکی در دنیای واقعی میشود که منجر به پرداخت مبلغ 1.4 میلیارد دلاری پرداخت خسارت توسط پذیرهنویس میشود، در ماه ژانویه مورد بررسی قرار گرفت.
علیرغم ماهیت نابسامان منطقه، برخی از بیمه گذاران سایبری هستند پیش رفتن با استثناهای جنگ، به ویژه لویید لندن. در ماه آگوست، بازار مستحکم به سندیکاهای خود گفت که آنها ملزم خواهند بود که پوشش حملات سایبری تحت حمایت دولت را که از آوریل 2023 آغاز می شود، حذف کنند. این یادداشت خاطرنشان کرد، ایده این است که از شرکت های بیمه و پذیره نویسان آنها در برابر ضررهای فاجعه بار محافظت شود.
با این وجود، موفقیت چنین سیاستهایی همچنان قابل مشاهده است.
تئون کانینگهام میگوید: «لویدز و سایر اپراتورها در حال کار بر روی قویتر و مطلقتر کردن چنین محرومیتهایی هستند، اما من فکر میکنم که این نیز در نهایت شکست خواهد خورد، زیرا صنعت بیمه سایبری احتمالاً نمیتواند برای مدت طولانی از چنین تغییراتی دوام بیاورد».