A Mondelez International, az Oreos és a Ritz Crackers gyártója pert rendezett kiberbiztosítója ellen, miután a szolgáltató megtagadta a 2017-ben elterjedt NotPetya ransomware támadásból származó több millió dolláros takarítási számlát.
A snack óriás eredetileg hozta az öltönyt a Zurich American Insurance ellen 2018-ban, miután a NotPetya befejezte a nagy multinacionális vállalatok globális kiberrohanását, és az ügyet azóta megkötözték a bíróságon. Az ügylet feltételeit nem hozták nyilvánosságra, de az „egyezség” kompromisszumos megoldást jelentene – jól illusztrálva, hogy a kiberbiztosítási kizárási záradékok milyen bonyolultak lehetnek.
NotPetya: Háborús aktus?
A per a kiberbiztosítási kötvény szerződési feltételein alapult – konkrétan a háborús cselekmények által okozott károk kizárására.
Nem Petya, amelyet az Egyesült Államok kormánya 2018-ban a „történelem legpusztítóbb és legköltségesebb kibertámadásának” nevezett, az ukrán célpontok kompromittálójaként indult, mielőtt globálisan elterjedt, végül 65 ország vállalataira volt hatással, és milliárdos károkat okozott. Használatának köszönhetően gyorsan elterjedt EternalBlue féreghajtás a támadási láncban, amely egy kiszivárgott NSA-fegyver, amely lehetővé teszi a rosszindulatú programok önterjedését rendszerről rendszerre Microsoft SMB fájlmegosztások segítségével. A támadás jelentős áldozatai többek között a FedEx, a behemót Maersk és a Merck gyógyszeripari óriás.
A Mondelez esetében a rosszindulatú program 1,700 szerverét és elképesztően 24,000 100 laptopját zárolta le, így a vállalat működésképtelenné vált, és több mint XNUMX millió dolláros kártól, leállástól, elmaradt haszontól és kármentesítési költségektől szenvedett.
Mintha ezt nem lenne elég nehéz lenyelni, az élelmiszer-kahuna hamarosan azon kapta magát, hogy megfulladt a zürichi amerikai válaszától, amikor kiberbiztosítási keresetet nyújtott be: A biztosítónak nem állt szándékában fedezni a költségeket, hivatkozva a fent említett kizárási záradékra, amely magában foglalta a egy „kormány vagy szuverén hatalom ellenséges vagy háborús fellépése béke vagy háború idején” nyelvezet.
Köszönhetően annak, hogy a világ kormányai a NotPetya-t az orosz államnak tulajdonították, és a támadás eredeti küldetésének, hogy Moszkva ismert kinetikus ellenfelét csapja le, a zürichi amerikainak esete volt – annak ellenére, hogy a Mondelez-támadás minden bizonnyal nem szándékos járulékos kár volt.
Mondelez azonban azzal érvelt, hogy a zürichi amerikai szerződése mintegy vitatott morzsákat hagyott az asztalon, mivel nem világos, hogy mit lehet és mit nem lehet fedezni egy támadásban. Konkrétan a biztosítási kötvény egyértelműen kimondta, hogy fedezi „a fizikai veszteség vagy sérülés minden kockázatát” – a hangsúly az „minden” – „elektronikus adatokra, programokra vagy szoftverekre, beleértve a gépi kód rosszindulatú bevezetése által okozott veszteséget vagy kárt is. vagy utasítást.” Ez egy olyan helyzet, amelyet NotPetya tökéletesen megtestesít.
Caroline Thompson, a kis- és középvállalkozások (KKV-k) kiberbiztosítási szolgáltatója, a Cowbell Cyber biztosítási vezetője megjegyzi, hogy a kiberbiztosítási kötvény egyértelmű megfogalmazásának hiánya nyitva hagyta az ajtót Mondelez fellebbezése előtt – és figyelmeztető üzenetként kell működnie. másoknak, akik a fedezetről tárgyalnak.
„A lefedettség hatóköre és a háborús kizárások alkalmazása továbbra is az egyik legnagyobb kihívást jelentő terület a biztosítók számára, mivel a kiberfenyegetések folyamatosan fejlődnek, a vállalkozások egyre jobban függenek a digitális műveletektől, és a geopolitikai feszültségek továbbra is széleskörű hatást gyakorolnak” – mondja Dark. Olvasás. „A biztosítók számára kiemelten fontos, hogy ismerjék kötvényük feltételeit, és szükség esetén pontosításokat keressenek, ugyanakkor olyan modern kiberpolitikákat is választanak, amelyek a kockázataik és kitettségeik ütemében fejlődhetnek és alkalmazkodnak.”
Háborús kizárások
Van egy kirívó probléma a háborús kizárások érvényesítésében a kiberbiztosításban: nehezen tudja bizonyítani, hogy a támadások valóban „háborús cselekmények” – ez a teher általában megköveteli annak meghatározását, hogy kinek a nevében hajtják végre.
A legjobb esetben az attribúció inkább művészet, mint tudomány, változó kritériumrendszerrel, amely alátámaszt minden magabiztos ujjal mutogatást. A fejlett állandó fenyegetések (APT) hozzárendelésének indoklása gyakran sokkal többre támaszkodik, mint a számszerűsíthető technológiai műtermékekre, vagy az infrastruktúra és az eszközök átfedésére az ismert fenyegetésekkel.
Squishier kritériumok tartalmazhatnak olyan szempontokat, mint pl viktimológia (vagyis a célok összhangban vannak-e az állami érdekekkel és politikai célokkal?; tárgya társadalommérnöki csalik; kódoló nyelv; a kifinomultság szintje (a támadónak kellő erőforrással kell rendelkeznie? Drága nulladik napot használt?); és indítéka (a támadás irányult-e kémkedés, pusztítás, vagy anyagi haszon?). Ott van az is, hogy hamis zászló műveletek, ahol az egyik ellenfél manipulálja ezeket a karokat, hogy keretbe állítsa a riválisát vagy ellenfelét.
"Számomra megdöbbentő az a gondolat, hogy ellenőrizni kell, hogy ezek a támadások ésszerűen betudhatók-e egy állapotnak – hogyan?" mondja Philippe Humeau, a CrowdSec vezérigazgatója és társalapítója. „Köztudott, hogy aligha lehet nyomon követni egy tisztességesen képzett kiberbűnözők műveleti bázisát, mivel a műveleteik légrésszelése a játékkönyvük első sora. Másodszor, a kormányok nem hajlandók beismerni, hogy fedezetet nyújtanak a kiberbűnözők számára országukban. Harmadszor, a világ számos részén a kiberbűnözők rendszerint korzárok és zsoldosok keveréke, hűségesek bármilyen entitáshoz/nemzetállamhoz, amely finanszírozza őket, de teljes mértékben kiterjeszthetők és tagadhatók, ha kérdések merülnek fel a hovatartozásukkal kapcsolatban.”
Ezért van az, hogy ha a kormány nem vállal felelősséget a terrorcsoportok támadásáért, a legtöbb fenyegetés-felderítő cég olyan kifejezésekkel zárja ki az államilag szponzorált tulajdonítást, mint: „alacsony/közepes/nagy biztonsággal megállapítjuk, hogy XYZ áll a támadás mögött”, és A rendszerindításhoz a különböző cégek különböző forrásokat határozhatnak meg egy adott támadáshoz. Ha a professzionális kiberfenyegetés-vadászok számára olyan nehéz megtalálni a tetteseket, képzelje el, milyen nehéz a kiberbiztosítási kiigazítóknak, akik a tudás töredékével dolgoznak.
Ha a háborús cselekmény bizonyításának mércéje a széles körű kormányzati konszenzus, ez is problémákat vet fel, mondja Humeau.
„A támadások nemzetállamokhoz való pontos hozzárendeléséhez országok közötti jogi együttműködésre lenne szükség, amely történelmileg nehéznek és lassúnak bizonyult” – mondja Humeau. „Tehát az az ötlet, hogy ezeket a támadásokat olyan nemzetállamoknak tulajdonítsák, amelyek soha nem fognak „becsengetni”, jogilag túl sok kételyt hagy maga után.
Egzisztenciális veszély a kiberbiztosításra?
Thompson szerint a mai környezetben az egyik realitás a forgalomban lévő, államilag támogatott kibertevékenység puszta mennyisége. Bryan Cunningham, a Theon Technology adatbiztonsági vállalat ügyvédje és tanácsadó testületének tagja megjegyzi, hogy ha egyre több biztosító egyszerűen megtagadna minden ilyen tevékenységből származó követelést, akkor valóban nagyon kevés kifizetésre kerülhet sor. És végső soron a vállalatok már nem látják megérinek a kiberbiztosítási díjakat.
„Ha a bírók jelentős része ténylegesen megengedi a fuvarozóknak, hogy kizárják a kibertámadások fedezetét pusztán arra hivatkozva, hogy egy nemzetállam érintett, az ugyanolyan pusztító lesz a kiberbiztosítási ökoszisztémára, mint szeptember 9-e (átmenetileg) a kereskedelmi ingatlanokra. ," mondja. "Ennek eredményeként nem hiszem, hogy sok bíró megveszi ezt, és a bizonyítás mindenesetre szinte mindig nehéz lesz."
Más értelemben Ilia Kolochenko, az ImmuniWeb főépítésze és vezérigazgatója megjegyzi, hogy a kiberbűnözők megtalálják a módját, hogy a kizárásokat a maguk javára fordítsák – ami még tovább csökkenti a politika értékét.
„A probléma a jól ismert kiberfenyegetés szereplőinek esetleges megszemélyesítéséből fakad” – mondja. „Például, ha a kiberbûnözõk – semmilyen államhoz nem kötõdve – az esetleges biztosítási fedezet kizárásával fel akarják erõsíteni az áldozataiknak okozott kárt, akkor behatolásuk során egyszerûen megpróbálnak kiadni egy híres, állami támogatású hackercsoportot. Ez aláássa a kiberbiztosítási piacba vetett bizalmat, hiszen minden biztosítás hiábavalóvá válhat a legsúlyosabb esetekben, amelyek fedezetet igényelnek és indokolják a befizetett díjakat.”
A kizárások kérdése továbbra is tisztázatlan
Annak ellenére, hogy a Mondelez-Zurich amerikai egyezség azt jelezné, hogy a biztosítónak legalább részben sikerült kifejtenie álláspontját (vagy talán egyik félnek sem volt gyomra további jogi költségek viselésére), ellentmondó jogi precedens van.
Egy másik NotPetya-ügy között Merck és ACE American Insurance Ugyanezt a kérdést januárban ágyazták le, amikor a New Jersey-i Legfelsőbb Bíróság kimondta, hogy a háborús cselekmények kizárása csak a valós fizikai hadviselésre terjed ki, aminek eredményeként az aláíró 1.4 milliárd dollárnyi kárrendezést fizet.
A terület nyugtalansága ellenére néhány kiberbiztosító igen előre menni háborús kizárásokkal, leginkább Lloyd's of London. Augusztusban a piacvezető közölte szindikátusaival, hogy kötelesek lesznek kizárni a fedezetet a 2023 áprilisától kezdődő állami támogatású kibertámadásokra. A feljegyzés szerint az ötlet az, hogy megvédjék a biztosítótársaságokat és biztosítóikat a katasztrofális veszteségektől.
Ennek ellenére az ilyen politikák sikere még várat magára.
„A Lloyd's és más szolgáltatók azon dolgoznak, hogy az ilyen kizárásokat erősebbé és abszolútabbá tegyék, de úgy gondolom, hogy ez is végül kudarcot vall, mert a kiberbiztosítási ágazat valószínűleg nem sokáig tudná túlélni az ilyen változásokat” – mondja Theon's Cunningham.
