Mondelez International, produttore di Oreo e Ritz Crackers, ha risolto una causa contro il suo assicuratore informatico dopo che il fornitore si è rifiutato di coprire un conto di pulizia multimilionario derivante dal vasto attacco ransomware NotPetya nel 2017.
Il gigante degli snack in origine ha portato il vestito contro Zurich American Insurance nel 2018, dopo che NotPetya aveva completato il suo saccheggio informatico globale nei confronti di importanti società multinazionali, e da allora il caso è stato risolto legato in tribunale. I termini dell’accordo non sono stati resi noti, ma un “accordo” indicherebbe una soluzione di compromesso, illustrando quanto spinosa possa essere una questione relativa alle clausole di esclusione delle assicurazioni informatiche.
NotPetya: atto di guerra?
La causa era imperniata sui termini contrattuali della polizza assicurativa informatica, in particolare su un’esclusione per i danni causati da atti di guerra.
NotPetya, che il governo degli Stati Uniti nel 2018 ha soprannominato “l’attacco informatico più distruttivo e costoso della storia”, è iniziato compromettendo obiettivi ucraini prima di diffondersi a livello globale, colpendo infine aziende in 65 paesi e costando danni miliardi. Si diffuse rapidamente grazie all'utilizzo del Sfruttamento dei worm EternalBlue nella catena di attacco, che è un'arma della NSA trapelata che consente al malware di auto-propagarsi da un sistema all'altro utilizzando le condivisioni di file Microsoft SMB. Tra le vittime più importanti dell'attacco figurano FedEx, il colosso delle spedizioni Maersk e il colosso farmaceutico Merck, tra molti altri.
Nel caso di Mondelez, il malware ha bloccato 1,700 dei suoi server e l’incredibile cifra di 24,000 laptop, lasciando l’azienda incapace e vacillante per oltre 100 milioni di dollari in danni, tempi di inattività, perdita di profitti e costi di riparazione.
Come se ciò non fosse già abbastanza duro da digerire, il kahuna del cibo si è presto ritrovato a soffocare per la risposta di Zurich American quando ha presentato una richiesta di risarcimento ad un'assicurazione informatica: l'assicuratore non aveva intenzione di coprire i costi, citando la clausola di esclusione sopra menzionata che includeva il linguaggio “azione ostile o bellicosa in tempo di pace o di guerra” da parte di un “governo o potere sovrano”.
Grazie all’attribuzione di NotPetya allo Stato russo da parte dei governi mondiali e alla missione originaria dell’attacco di colpire un noto avversario cinetico di Mosca, Zurich American aveva ragione, nonostante il fatto che l’attacco di Mondelez fosse certamente un danno collaterale non intenzionale.
Tuttavia, Mondelez ha sostenuto che il contratto dello Zurich American ha lasciato, per così dire, alcune briciole controverse sul tavolo, data la mancanza di chiarezza su ciò che potrebbe e non potrebbe essere coperto da un attacco. Nello specifico, la polizza assicurativa affermava chiaramente che avrebbe coperto “tutti i rischi di perdita o danno fisico” – enfasi su “tutto” – “a dati elettronici, programmi o software, inclusa la perdita o il danno causato dall’introduzione malevola di un codice macchina o istruzioni." È una situazione che NotPetya incarna perfettamente.
Caroline Thompson, responsabile della sottoscrizione presso Cowbell Cyber, un fornitore di assicurazioni informatiche per piccole e medie imprese (PMI), osserva che la mancanza di una chiara formulazione della polizza di assicurazione informatica ha lasciato la porta aperta all'appello di Mondelez e dovrebbe fungere da messaggio di avvertimento ad altri che negoziano la copertura.
“L’ambito della copertura e l’applicazione delle esclusioni di guerra rimangono una delle aree più impegnative per gli assicuratori poiché le minacce informatiche continuano ad evolversi, le aziende aumentano la loro dipendenza dalle operazioni digitali e le tensioni geopolitiche continuano ad avere un impatto diffuso”, dice a Dark Lettura. “È fondamentale che gli assicuratori conoscano i termini della loro polizza e chiedano chiarimenti ove necessario, ma optino anche per moderne polizze informatiche che possano evolversi e adattarsi al ritmo dei loro rischi e delle loro esposizioni”.
Esclusioni di guerra
C’è un problema evidente nel far valere le esclusioni di guerra per l’assicurazione informatica: la difficoltà nel dimostrare che gli attacchi sono effettivamente “atti di guerra” – un onere che generalmente richiede di determinare per conto di chi vengono effettuati.
Nel migliore dei casi, l’attribuzione è più un’arte che una scienza, con una serie mutevole di criteri alla base di ogni sicura puntata del dito. Le motivazioni per l’attribuzione delle minacce avanzate persistenti (APT) spesso si basano su artefatti tecnologici molto più che quantificabili o su sovrapposizioni di infrastrutture e strumenti con minacce note.
I criteri più squishy possono includere aspetti come vittimologia (vale a dire, gli obiettivi sono coerenti con gli interessi statali e gli obiettivi politici?; l'oggetto di lusinghe dell’ingegneria sociale; linguaggio di codifica; livello di sofisticazione (l'aggressore deve disporre di risorse adeguate? Ha utilizzato un costoso zero day?); e il motivo (l'attacco è mirato spionaggio, distruzione, o guadagno finanziario?). C’è anche il problema di operazioni false flag, dove un avversario manipola queste leve per incastrare un rivale o un avversario.
“Ciò che mi sconvolge è l’idea di verificare che questi attacchi possano essere ragionevolmente attribuiti a uno Stato: come?” afferma Philippe Humeau, CEO e co-fondatore di CrowdSec. “È risaputo che difficilmente è possibile tracciare la base operativa di un criminale informatico adeguatamente qualificato, dal momento che bloccare le sue operazioni è la prima linea del suo programma. In secondo luogo, i governi non sono disposti ad ammettere effettivamente di fornire copertura ai criminali informatici nei loro paesi. Tre, i criminali informatici in molte parti del mondo sono solitamente un mix di corsari e mercenari, fedeli a qualunque entità/stato nazionale possa finanziarli, ma totalmente espandibili e negabili se ci sono mai dubbi sulla loro affiliazione”.
Ecco perché, in assenza di un governo che si assume la responsabilità di un attacco alla stregua dei gruppi terroristici, la maggior parte delle società di intelligence sulle minacce metterà in guardia sull'attribuzione sponsorizzata dallo stato con frasi del tipo: "determiniamo con una sicurezza bassa/moderata/alta che XYZ è dietro l'attacco" e Inoltre, aziende diverse possono determinare fonti diverse per un determinato attacco. Se è così difficile per i cacciatori professionisti di minacce informatiche individuare i colpevoli, immagina quanto sia difficile per i periti assicurativi informatici che operano con una frazione delle competenze.
Se lo standard per la prova di un atto di guerra è un ampio consenso governativo, anche questo pone dei problemi, dice Humeau.
“Attribuire con precisione gli attacchi agli stati-nazione richiederebbe una cooperazione giuridica tra paesi, che storicamente si è rivelata difficile e lenta”, afferma Humeau. “Quindi l’idea di attribuire questi attacchi a stati-nazione che non lo confesseranno mai lascia troppo spazio ai dubbi, dal punto di vista giuridico”.
Una minaccia esistenziale per la cyber assicurazione?
Secondo Thompson, una delle realtà dell’ambiente odierno è l’enorme volume di attività informatica in circolazione sponsorizzata dallo stato. Bryan Cunningham, avvocato e membro del consiglio consultivo della società di sicurezza dei dati Theon Technology, osserva che se sempre più assicuratori si limitassero a negare tutte le richieste derivanti da tale attività, i pagamenti potrebbero essere davvero pochissimi. E, alla fine, le aziende potrebbero non ritenere più validi i premi delle assicurazioni informatiche.
“Se un numero significativo di giudici iniziasse effettivamente a consentire alle compagnie assicurative di escludere la copertura per attacchi informatici solo dopo aver affermato che è coinvolto uno stato-nazione, ciò sarebbe altrettanto devastante per l’ecosistema delle assicurazioni informatiche quanto lo è stato (temporaneamente) l’9 settembre per il settore immobiliare commerciale. ," lui dice. “Di conseguenza, non credo che molti giudici lo crederanno, e le prove, in ogni caso, saranno quasi sempre difficili”.
In modo diverso, Ilia Kolochenko, capo architetto e CEO di ImmuniWeb, osserva che i criminali informatici troveranno un modo per utilizzare le esclusioni a proprio vantaggio, minando ulteriormente il valore di avere una politica.
"Il problema deriva da una possibile imitazione di noti attori di minacce informatiche", afferma. “Ad esempio, se i criminali informatici – estranei a qualsiasi stato – desiderano amplificare il danno causato alle loro vittime escludendo l’eventuale copertura assicurativa, potrebbero semplicemente provare a impersonare un famoso gruppo di hacker sostenuto dallo stato durante la loro intrusione. Ciò minerà la fiducia nel mercato delle assicurazioni informatiche, poiché qualsiasi assicurazione potrebbe diventare inutile nei casi più gravi che richiedono effettivamente la copertura e giustificano i premi pagati”.
La questione delle esclusioni rimane irrisolta
Anche se l'accordo americano Mondelez-Zurich sembra indicare che l'assicuratore è riuscito almeno in parte a far valere la sua tesi (o forse nessuna delle due parti ha avuto il coraggio di sostenere ulteriori spese legali), esistono precedenti legali contrastanti.
Un altro caso NotPetya in mezzo Merck e ACE American Insurance la stessa questione è stata messa a tacere a gennaio, quando la Corte Superiore del New Jersey ha stabilito che le esclusioni per atto di guerra si estendono solo alla guerra fisica nel mondo reale, con il risultato che il sottoscrittore ha pagato una quota enorme di 1.4 miliardi di dollari per la liquidazione dei sinistri.
Nonostante la natura instabile dell’area, alcuni assicuratori informatici lo sono andando avanti con esclusioni di guerra, in particolare Lloyd's di Londra. Ad agosto il sostenitore del mercato ha detto ai suoi sindacati che saranno tenuti a escludere la copertura per gli attacchi informatici sostenuti dallo Stato a partire dall’aprile 2023. L’idea, osserva la nota, è quella di proteggere le compagnie assicurative e i loro sottoscrittori da perdite catastrofiche.
Anche così, il successo di tali politiche resta da vedere.
“Lloyd’s e altri vettori stanno lavorando per rendere tali esclusioni più forti e assolute, ma penso che anche questo alla fine fallirà perché il settore delle assicurazioni informatiche probabilmente non potrebbe sopravvivere a lungo a tali cambiamenti”, afferma Cunningham di Theon.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
