ओरेओस और रिट्ज क्रैकर्स के निर्माता मोंडेलेज़ इंटरनेशनल ने अपने साइबर बीमाकर्ता के खिलाफ मुकदमा सुलझा लिया है, क्योंकि प्रदाता ने 2017 में विशाल नोटपेट्या रैनसमवेयर हमले से उत्पन्न एक बहु-मिलियन डॉलर के क्लीन-अप बिल को कवर करने से इनकार कर दिया था।
स्नैक जायंट मूल रूप से सूट लाया 2018 में ज्यूरिख अमेरिकन इंश्योरेंस के खिलाफ, जब NotPetya ने प्रमुख बहुराष्ट्रीय निगमों की वैश्विक साइबर-तोड़फोड़ पूरी कर ली थी, और तब से मामला चल रहा है अदालत में बंधे. सौदे की शर्तों का खुलासा नहीं किया गया है, लेकिन एक "निपटान" एक समझौता समाधान का संकेत देगा - यह दर्शाता है कि साइबर-बीमा बहिष्करण खंड कितना कांटेदार हो सकता है।
नोटपेट्या: युद्ध का अधिनियम?
मुकदमा साइबर बीमा पॉलिसी में अनुबंध की शर्तों पर टिका है - विशेष रूप से, युद्ध के कृत्यों के कारण होने वाले नुकसान के लिए एक बहिष्करण नक्काशी।
NotPetya, जिसे 2018 में अमेरिकी सरकार ने "इतिहास में सबसे विनाशकारी और सबसे महंगा साइबर हमले" करार दिया, विश्व स्तर पर फैलने से पहले यूक्रेनी लक्ष्यों से समझौता करने के रूप में शुरू हुआ, अंततः 65 देशों में कंपनियों को प्रभावित किया और अरबों की क्षति हुई। के उपयोग के कारण यह तेजी से फैल गया इटरनलब्लू वर्मिंग शोषण आक्रमण श्रृंखला में, जो एक लीक हुआ एनएसए हथियार है जो मैलवेयर को माइक्रोसॉफ्ट एसएमबी फ़ाइल शेयरों का उपयोग करके सिस्टम से सिस्टम में स्वयं-प्रसार करने की अनुमति देता है। हमले के उल्लेखनीय पीड़ितों में फेडेक्स, शिपिंग बेहेमोथ मार्सक, और फार्मास्युटिकल विशाल मर्क, कई अन्य शामिल थे।
मोंडेलेज़ के मामले में, मैलवेयर ने अपने सर्वरों के 1,700 और चौंका देने वाले 24,000 लैपटॉप को बंद कर दिया, जिससे निगम अक्षम हो गया और नुकसान, डाउनटाइम, खोए हुए मुनाफे और उपचार लागत में $ 100 मिलियन से अधिक का नुकसान हुआ।
जैसे कि वह निगलने के लिए पर्याप्त कठिन नहीं थे, फूड कहुना ने जल्द ही ज्यूरिख अमेरिकन की प्रतिक्रिया पर खुद को घुटा हुआ पाया जब उसने साइबर बीमा दावा दायर किया: अंडरराइटर का लागत को कवर करने का कोई इरादा नहीं था, जिसमें उपरोक्त बहिष्करण खंड शामिल था "सरकार या संप्रभु शक्ति" द्वारा "शांति या युद्ध के समय में शत्रुतापूर्ण या युद्ध जैसी कार्रवाई" भाषा।
रूसी राज्य के लिए नोटपेट्या की विश्व सरकारों की विशेषता के लिए धन्यवाद, और मॉस्को के एक ज्ञात गतिज विरोधी पर हमला करने के लिए हमले के मूल मिशन, ज्यूरिख अमेरिकन के पास एक मामला था - इस तथ्य के बावजूद कि मोंडेलेज हमला निश्चित रूप से अनपेक्षित संपार्श्विक क्षति थी।
हालांकि, मोंडेलेज़ ने तर्क दिया कि ज्यूरिख अमेरिकन के अनुबंध ने कुछ विवादित टुकड़ों को मेज पर छोड़ दिया, जैसा कि यह था, एक हमले में क्या कवर किया जा सकता है और क्या नहीं किया जा सकता है में स्पष्टता की कमी को देखते हुए। विशेष रूप से, बीमा पॉलिसी में स्पष्ट रूप से कहा गया है कि यह "भौतिक हानि या क्षति के सभी जोखिमों" को कवर करेगी - "सभी" पर जोर - "इलेक्ट्रॉनिक डेटा, प्रोग्राम या सॉफ़्टवेयर के लिए, जिसमें मशीन कोड के दुर्भावनापूर्ण परिचय के कारण होने वाली हानि या क्षति शामिल है। या निर्देश। ” यह एक ऐसी स्थिति है जिसे NotPetya पूरी तरह से मूर्त रूप देता है।
छोटे और मध्यम आकार के व्यवसायों (एसएमबी) के लिए एक साइबर बीमा प्रदाता, काउबेल साइबर में हामीदारी के प्रमुख कैरोलिन थॉम्पसन ने नोट किया कि स्पष्ट साइबर बीमा पॉलिसी-शब्दावली की कमी ने मोंडेलेज़ की अपील के लिए दरवाजा खुला छोड़ दिया - और एक सतर्क संदेश के रूप में कार्य करना चाहिए कवरेज पर बातचीत करने वाले अन्य लोगों के लिए।
"कवरेज का दायरा, और युद्ध बहिष्करण का आवेदन, बीमाकर्ताओं के लिए सबसे चुनौतीपूर्ण क्षेत्रों में से एक बना हुआ है क्योंकि साइबर खतरे विकसित हो रहे हैं, व्यवसाय डिजिटल संचालन पर अपनी निर्भरता बढ़ाते हैं, और भू-राजनीतिक तनाव का व्यापक प्रभाव जारी है," वह डार्क को बताती है। पढ़ना। "बीमाकर्ताओं के लिए यह सर्वोपरि है कि वे अपनी नीति की शर्तों से परिचित हों और जहां आवश्यक हो स्पष्टीकरण मांगें, लेकिन आधुनिक साइबर-नीतियों का भी चयन करें जो उनके जोखिम और जोखिम की गति से विकसित और अनुकूलित हो सकें।"
युद्ध बहिष्करण
साइबर बीमा के लिए युद्ध बहिष्करण छड़ी बनाने में एक स्पष्ट मुद्दा है: उसे यह साबित करने में कठिनाई होती है कि हमले वास्तव में "युद्ध के कार्य" हैं - एक बोझ जिसे आम तौर पर यह निर्धारित करने की आवश्यकता होती है कि वे किसकी ओर से किए गए हैं।
सबसे अच्छे मामलों में, एट्रिब्यूशन एक विज्ञान की तुलना में एक कला से अधिक है, जिसमें किसी भी भरोसेमंद उंगली को इंगित करने वाले मानदंडों के स्थानांतरण सेट के साथ। उन्नत लगातार खतरे (APT) एट्रिब्यूशन के लिए तर्क अक्सर मात्रात्मक प्रौद्योगिकी कलाकृतियों की तुलना में कहीं अधिक पर निर्भर करते हैं, या बुनियादी ढांचे और ज्ञात खतरों के साथ टूलिंग में ओवरलैप होते हैं।
स्क्विशियर मानदंड में पहलू शामिल हो सकते हैं जैसे Victimology (अर्थात, क्या लक्ष्य राज्य के हितों और नीतिगत लक्ष्यों के अनुरूप हैं?; की विषय-वस्तु सोशल-इंजीनियरिंग लालच; कोडिंग भाषा; परिष्कार का स्तर (क्या हमलावर को अच्छी तरह से संसाधन की आवश्यकता है? क्या उन्होंने एक महंगे शून्य दिन का उपयोग किया?); और मकसद (क्या हमला झुक गया है जासूसी, विनाश, या वित्तीय लाभ?) का मुद्दा भी है झूठा झंडा संचालन, जहां एक विरोधी प्रतिद्वंद्वी या विरोधी को फंसाने के लिए इन लीवरों में हेरफेर करता है।
"मेरे लिए चौंकाने वाली बात यह है कि यह सत्यापित करने का विचार है कि इन हमलों को एक राज्य के लिए उचित रूप से जिम्मेदार ठहराया जा सकता है - कैसे?" क्राउडसेक के सीईओ और सह-संस्थापक फिलिप ह्यूमो कहते हैं। "यह सर्वविदित है कि आप शायद ही एक कुशल कुशल साइबर अपराधी के संचालन के आधार को ट्रैक कर सकते हैं, क्योंकि एयर-गैपिंग उनके ऑपरेशन उनकी प्लेबुक की पहली पंक्ति है। दूसरा, सरकारें वास्तव में यह स्वीकार करने को तैयार नहीं हैं कि वे अपने देशों में साइबर अपराधियों को सुरक्षा प्रदान करती हैं। तीसरा, दुनिया के कई हिस्सों में साइबर अपराधी आमतौर पर कोर्सर्स और भाड़े के सैनिकों के कुछ मिश्रण होते हैं, जो किसी भी संस्था / राष्ट्र-राज्य के प्रति वफादार होते हैं, लेकिन अगर उनकी संबद्धता के बारे में कोई सवाल हो तो पूरी तरह से विस्तार योग्य और नकारा जा सकता है।
इसलिए, एक आतंकवादी समूहों के हमले की ज़िम्मेदारी लेने वाली सरकार की अनुपस्थिति में, अधिकांश ख़तरनाक-खुफिया फर्म राज्य-प्रायोजित एट्रिब्यूशन को वाक्यांशों के साथ चेतावनी देंगी, जैसे "हम कम / मध्यम / उच्च विश्वास के साथ निर्धारित करते हैं कि XYZ हमले के पीछे है," और , बूट करने के लिए, विभिन्न फर्म किसी भी हमले के लिए अलग-अलग स्रोत निर्धारित कर सकते हैं। यदि पेशेवर साइबर-खतरों के शिकारियों के लिए अपराधियों को पकड़ना इतना मुश्किल है, तो कल्पना करें कि कौशल के एक अंश के साथ काम करने वाले साइबर-बीमा समायोजकों के लिए यह कितना मुश्किल है।
यदि युद्ध के एक अधिनियम के प्रमाण के लिए मानक व्यापक सरकारी सहमति है, तो यह भी मुद्दों का कारण बनता है, ह्यूमेउ कहते हैं।
ह्यूम्यू कहते हैं, "राष्ट्र-राज्यों पर हमलों को सटीक रूप से जिम्मेदार ठहराने के लिए क्रॉस-कंट्री कानूनी सहयोग की आवश्यकता होगी, जो ऐतिहासिक रूप से कठिन और धीमा दोनों साबित हुआ है।" "तो इन हमलों को राष्ट्र-राज्यों को जिम्मेदार ठहराने का विचार जो कभी भी 'इसका सामना नहीं करेंगे, कानूनी तौर पर बोलने पर संदेह के लिए बहुत अधिक जगह छोड़ देता है।"
साइबर बीमा के लिए एक मौजूदा खतरा?
थॉम्पसन के अनुसार, आज के परिवेश में वास्तविकताओं में से एक प्रचलन में राज्य प्रायोजित साइबर गतिविधि की भारी मात्रा है। डेटा सुरक्षा कंपनी थियोन टेक्नोलॉजी के वकील और सलाहकार परिषद के सदस्य ब्रायन कनिंघम ने नोट किया कि यदि अधिक से अधिक बीमाकर्ता ऐसी गतिविधि से उपजी सभी दावों से इनकार करते हैं, तो वास्तव में बहुत कम भुगतान हो सकते हैं। और, अंततः, कंपनियां साइबर-बीमा प्रीमियम को अब इसके लायक नहीं देख सकती हैं।
"यदि एक महत्वपूर्ण संख्या में न्यायाधीश वास्तव में वाहक को साइबर हमले के लिए कवरेज को बाहर करने की अनुमति देना शुरू करते हैं, तो यह दावा है कि एक राष्ट्र-राज्य शामिल था, यह साइबर बीमा पारिस्थितिकी तंत्र के लिए विनाशकारी होगा क्योंकि 9/11 वाणिज्यिक अचल संपत्ति के लिए (अस्थायी रूप से) था। ," वह कहते हैं। "परिणामस्वरूप, मुझे नहीं लगता कि कई न्यायाधीश इसे खरीद लेंगे, और सबूत, किसी भी घटना में, लगभग हमेशा मुश्किल होगा।"
एक अलग नस में, इम्मुनीवेब के मुख्य वास्तुकार और सीईओ, इलिया कोलोचेंको ने नोट किया कि साइबर अपराधियों को अपने लाभ के लिए बहिष्करण का उपयोग करने का एक तरीका मिल जाएगा - आगे भी एक नीति रखने के मूल्य को कम करके।
"समस्या प्रसिद्ध साइबर-खतरे वाले अभिनेताओं के संभावित प्रतिरूपण से उपजी है," वे कहते हैं। "उदाहरण के लिए, यदि साइबर अपराधी - किसी भी राज्य से असंबंधित - अंतिम बीमा कवरेज को छोड़कर अपने पीड़ितों को हुए नुकसान को बढ़ाना चाहते हैं, तो वे घुसपैठ के दौरान एक प्रसिद्ध राज्य समर्थित हैकिंग समूह का प्रतिरूपण करने का प्रयास कर सकते हैं। यह साइबर-बीमा बाजार में विश्वास को कमजोर करेगा, क्योंकि कोई भी बीमा सबसे गंभीर मामलों में निरर्थक हो सकता है, जिन्हें वास्तव में कवरेज की आवश्यकता होती है और भुगतान किए गए प्रीमियम को सही ठहराते हैं। ”
बहिष्करण का प्रश्न अनसुलझा रहता है
भले ही मोंडेलेज़-ज़्यूरिख अमेरिकी समझौता यह इंगित करता प्रतीत होता है कि बीमाकर्ता कम से कम आंशिक रूप से अपनी बात रखने में सफल रहा (या शायद किसी भी पक्ष के पास और कानूनी लागतों के लिए पेट नहीं था), परस्पर विरोधी कानूनी मिसाल है।
के बीच एक और NotPetya मामला मर्क और ऐस अमेरिकन इंश्योरेंस इसी मुद्दे पर जनवरी में बिस्तर पर डाल दिया गया था, जब न्यू जर्सी के सुपीरियर कोर्ट ने फैसला सुनाया कि युद्ध बहिष्करण का कार्य केवल वास्तविक दुनिया के भौतिक युद्ध तक विस्तारित होता है, जिसके परिणामस्वरूप हामीदार ने दावों के निपटारे के लिए $ 1.4 बिलियन का भारी भुगतान किया।
क्षेत्र की अस्थिर प्रकृति के बावजूद, कुछ साइबर-बीमाकर्ता हैं आगे जा रहा है युद्ध बहिष्करण के साथ, विशेष रूप से लंदन के लंदन. अगस्त में बाजार के दिग्गज ने अपने सिंडिकेट से कहा कि उन्हें अप्रैल 2023 से शुरू होने वाले राज्य समर्थित साइबर हमले के लिए कवरेज को बाहर करने की आवश्यकता होगी। ज्ञापन में उल्लेख किया गया है, यह विचार बीमा कंपनियों और उनके अंडरराइटर्स को विनाशकारी नुकसान से बचाने के लिए है।
फिर भी, ऐसी नीतियों की सफलता देखी जानी बाकी है।
"लॉयड्स, और अन्य वाहक, इस तरह के बहिष्करण को मजबूत और पूर्ण बनाने पर काम कर रहे हैं, लेकिन मुझे लगता है कि यह भी अंततः विफल हो जाएगा क्योंकि साइबर-बीमा उद्योग लंबे समय तक ऐसे बदलावों से बच नहीं सकता है," थियोन के कनिंघम कहते हैं।
