Mondelez International, pembuat Oreos dan Ritz Crackers, telah menyelesaikan gugatan terhadap perusahaan asuransi sibernya setelah penyedia tersebut menolak untuk menutupi tagihan pembersihan jutaan dolar yang berasal dari serangan ransomware NotPetya yang meluas pada tahun 2017.
Raksasa camilan awalnya membawa jas terhadap Zurich American Insurance pada tahun 2018, setelah NotPetya menyelesaikan penggeledahan dunia maya secara global terhadap perusahaan multinasional besar, dan kasus tersebut telah ditangani sejak saat itu. diikat di pengadilan. Ketentuan kesepakatan belum diungkapkan, tetapi "penyelesaian" akan menunjukkan resolusi kompromi - yang menggambarkan betapa sulitnya masalah klausul pengecualian asuransi cyber.
NotPetya: Aksi Perang?
Gugatan itu bergantung pada ketentuan kontrak dalam polis asuransi siber — khususnya, pengecualian untuk kerusakan yang disebabkan oleh tindakan perang.
NotPetya, yang oleh pemerintah AS pada tahun 2018 disebut sebagai “serangan siber paling merusak dan paling mahal dalam sejarah,” dimulai dengan mengorbankan target Ukraina sebelum menyebar secara global, yang pada akhirnya berdampak pada perusahaan di 65 negara dan menyebabkan kerugian miliaran. Ini menyebar dengan cepat berkat penggunaan Eksploitasi cacing EternalBlue dalam rantai serangan, yang merupakan senjata NSA bocor yang memungkinkan malware menyebar sendiri dari sistem ke sistem menggunakan pembagian file Microsoft SMB. Korban terkenal dari serangan itu termasuk FedEx, raksasa pengiriman Maersk, dan raksasa farmasi Merck, di antara banyak lainnya.
Dalam kasus Mondelez, malware mengunci 1,700 servernya dan 24,000 laptop yang mengejutkan, membuat perusahaan lumpuh dan terhuyung-huyung dari lebih dari $100 juta dalam bentuk kerusakan, waktu henti, kehilangan keuntungan, dan biaya perbaikan.
Seolah-olah itu tidak cukup sulit untuk ditelan, kahuna makanan segera menemukan dirinya tersedak oleh tanggapan dari Zurich American ketika mengajukan klaim asuransi cyber: Penjamin emisi tidak berniat menutupi biaya, mengutip klausul pengecualian yang disebutkan di atas yang mencakup bahasa "tindakan bermusuhan atau suka berperang di masa damai atau perang" oleh "pemerintah atau kekuatan berdaulat."
Berkat atribusi pemerintah dunia NotPetya ke negara Rusia, dan misi asli serangan untuk menyerang musuh kinetik yang diketahui Moskow, Zurich American memiliki kasus — terlepas dari fakta bahwa serangan Mondelez tentu saja merupakan kerusakan tambahan yang tidak disengaja.
Namun, Mondelez berargumen bahwa kontrak Zurich American meninggalkan beberapa remah yang disengketakan di atas meja, seolah-olah, mengingat kurangnya kejelasan tentang apa yang bisa dan tidak bisa ditutupi dalam serangan. Secara khusus, polis asuransi dengan jelas menyatakan bahwa itu akan mencakup “semua risiko kehilangan atau kerusakan fisik” — penekanan pada “semua” — “untuk data elektronik, program, atau perangkat lunak, termasuk kehilangan atau kerusakan yang disebabkan oleh pengenalan kode mesin yang berbahaya. atau instruksi.” Ini adalah situasi yang diwujudkan dengan sempurna oleh NotPetya.
Caroline Thompson, kepala penjaminan di Cowbell Cyber, penyedia asuransi siber untuk usaha kecil dan menengah (UKM), mencatat bahwa kurangnya kata-kata polis asuransi siber yang jelas membuat pintu terbuka untuk banding Mondelez — dan harus bertindak sebagai pesan peringatan kepada orang lain yang menegosiasikan liputan.
“Cakupan cakupan, dan penerapan pengecualian perang, tetap menjadi salah satu area yang paling menantang bagi perusahaan asuransi karena ancaman dunia maya terus berkembang, bisnis meningkatkan ketergantungan mereka pada operasi digital, dan ketegangan geopolitik terus berdampak luas,” katanya kepada Dark Membaca. “Sangat penting bagi perusahaan asuransi untuk memahami ketentuan kebijakan mereka dan mencari klarifikasi jika diperlukan, tetapi juga memilih kebijakan cyber modern yang dapat berkembang dan beradaptasi dengan kecepatan yang dilakukan oleh risiko dan eksposur mereka.”
Pengecualian Perang
Ada satu masalah mencolok dalam membuat pengecualian perang tetap berlaku untuk asuransi cyber: ia kesulitan membuktikan bahwa serangan memang "tindakan perang" — beban yang umumnya membutuhkan penentuan atas nama siapa serangan itu dilakukan.
Dalam kasus terbaik, atribusi lebih merupakan seni daripada sains, dengan serangkaian kriteria yang berubah-ubah yang mendukung setiap penunjukan jari yang percaya diri. Alasan untuk atribusi ancaman persisten tingkat lanjut (APT) sering kali mengandalkan jauh lebih banyak daripada artefak teknologi yang dapat diukur, atau tumpang tindih dalam infrastruktur dan peralatan dengan ancaman yang diketahui.
Kriteria squishier dapat mencakup aspek-aspek seperti viktimologi (yaitu, apakah target konsisten dengan kepentingan negara dan tujuan kebijakan?; pokok bahasan umpan rekayasa sosial; bahasa pengkodean; tingkat kecanggihan (apakah penyerang harus memiliki sumber daya yang baik? Apakah mereka menggunakan zero day yang mahal?); dan motif (apakah serangan itu ditujukan spionase, pengrusakan, atau keuntungan finansial?). Ada juga masalah operasi bendera palsu, di mana satu musuh memanipulasi tuas ini untuk membingkai saingan atau musuh.
“Apa yang mengejutkan saya adalah gagasan untuk memverifikasi bahwa serangan ini dapat dikaitkan secara wajar dengan suatu negara — bagaimana caranya?” kata Philippe Humeau, CEO dan salah satu pendiri CrowdSec. “Sudah diketahui dengan baik bahwa Anda hampir tidak dapat melacak basis operasi penjahat dunia maya yang terampil, karena operasi mereka adalah baris pertama dari pedoman mereka. Kedua, pemerintah tidak mau mengakui bahwa mereka menyediakan perlindungan bagi para penjahat dunia maya di negara mereka. Tiga, penjahat dunia maya di banyak bagian dunia biasanya merupakan campuran dari corsair dan tentara bayaran, setia pada entitas/negara-bangsa apa pun yang mendanai mereka, tetapi benar-benar dapat diperluas dan disangkal jika ada pertanyaan tentang afiliasi mereka.”
Itu sebabnya, tanpa pemerintah yang bertanggung jawab atas serangan ala kelompok terorisme, sebagian besar firma intelijen ancaman akan memperingatkan atribusi yang disponsori negara dengan frasa seperti, "kami menentukan dengan keyakinan rendah/sedang/tinggi bahwa XYZ berada di balik serangan itu," dan , untuk boot, perusahaan yang berbeda dapat menentukan sumber yang berbeda untuk setiap serangan yang diberikan. Jika sulit bagi pemburu ancaman siber profesional untuk menemukan pelakunya, bayangkan betapa sulitnya bagi pengatur asuransi siber yang beroperasi dengan sebagian kecil dari keterampilan.
Jika standar untuk pembuktian suatu tindakan perang adalah konsensus pemerintah yang luas, ini juga menimbulkan masalah, kata Humeau.
“Menghubungkan serangan secara akurat ke negara-bangsa akan membutuhkan kerja sama hukum lintas negara, yang secara historis terbukti sulit dan lambat,” kata Humeau. “Jadi gagasan untuk menghubungkan serangan-serangan ini dengan negara-bangsa yang tidak akan pernah 'mengakuinya meninggalkan terlalu banyak ruang untuk keraguan, secara hukum.”
Ancaman Eksistensial terhadap Asuransi Cyber?
Menurut Thompson, salah satu realitas di lingkungan saat ini adalah banyaknya aktivitas dunia maya yang disponsori negara yang beredar. Bryan Cunningham, pengacara dan anggota dewan penasihat di perusahaan keamanan data Theon Technology, mencatat bahwa jika semakin banyak perusahaan asuransi yang menolak semua klaim yang berasal dari aktivitas semacam itu, mungkin hanya ada sedikit pembayaran. Dan, pada akhirnya, perusahaan mungkin tidak lagi menganggap premi asuransi siber sepadan.
“Jika sejumlah besar hakim benar-benar mulai mengizinkan operator untuk mengecualikan cakupan untuk serangan siber hanya atas klaim bahwa negara-bangsa terlibat, ini akan sama menghancurkan ekosistem asuransi siber seperti 9/11 (sementara) terhadap real estat komersial. ," dia berkata. “Akibatnya, saya tidak berpikir banyak hakim akan membeli ini, dan pembuktian, dalam hal apa pun, hampir selalu sulit.”
Dalam nada yang berbeda, Ilia Kolochenko, kepala arsitek dan CEO ImmuniWeb, mencatat bahwa penjahat dunia maya akan menemukan cara untuk menggunakan pengecualian untuk keuntungan mereka — mengurangi nilai memiliki kebijakan lebih jauh.
“Masalahnya berasal dari kemungkinan peniruan identitas aktor-aktor ancaman dunia maya yang terkenal,” katanya. “Misalnya, jika penjahat dunia maya — yang tidak terkait dengan negara bagian mana pun — ingin memperbesar kerusakan yang ditimbulkan pada korban mereka dengan mengecualikan pertanggungan asuransi akhirnya, mereka mungkin hanya mencoba untuk meniru kelompok peretasan yang didukung negara selama intrusi mereka. Ini akan merusak kepercayaan di pasar asuransi cyber, karena asuransi apa pun dapat menjadi sia-sia dalam kasus paling serius yang sebenarnya membutuhkan pertanggungan dan membenarkan premi yang dibayarkan.”
Pertanyaan tentang Pengecualian Tetap Belum Diselesaikan
Meskipun penyelesaian Mondelez-Zurich Amerika tampaknya menunjukkan bahwa perusahaan asuransi berhasil setidaknya sebagian membuat maksudnya (atau mungkin tidak ada pihak yang mau mengeluarkan biaya hukum lebih lanjut), ada preseden hukum yang saling bertentangan.
Kasus NotPetya lainnya antara Asuransi Merck dan ACE Amerika atas masalah yang sama diajukan ke tempat tidur pada bulan Januari, ketika Pengadilan Tinggi New Jersey memutuskan bahwa tindakan pengecualian perang hanya berlaku untuk perang fisik dunia nyata, yang mengakibatkan penjamin membayar sejumlah $ 1.4 miliar porsi penyelesaian klaim.
Terlepas dari sifat daerah yang tidak menentu, beberapa perusahaan asuransi cyber maju dengan pengecualian perang, terutama Lloyd's of London. Pada bulan Agustus, pendukung pasar mengatakan kepada sindikatnya bahwa mereka akan diminta untuk mengecualikan cakupan untuk serangan siber yang didukung negara mulai April 2023. Idenya, catat memo itu, adalah untuk melindungi perusahaan asuransi dan penjamin emisi mereka dari kerugian bencana.
Meski begitu, keberhasilan kebijakan tersebut masih harus dilihat.
"Lloyd's, dan operator lainnya, sedang bekerja untuk membuat pengecualian tersebut lebih kuat dan mutlak, tapi saya pikir ini juga, pada akhirnya akan gagal karena industri asuransi cyber kemungkinan tidak bisa bertahan lama perubahan seperti itu," kata Theon's Cunningham.
