Mondelez International, יצרנית Oreos ו-Ritz Crackers, קבעה תביעה נגד חברת ביטוח הסייבר שלה לאחר שהספק סירב לכסות חשבון ניקיון של מיליוני דולרים שנבע ממתקפת הכופר הנרחבת של NotPetya ב-2017.
ענקית החטיפים במקור הביא את התביעה נגד Zurich American Insurance ב-2018, לאחר ש-NotPetya השלימה את פריצת הסייבר הגלובלית שלה על תאגידים רב-לאומיים גדולים, ומאז התיק קשור בבית המשפט. תנאי העסקה לא נחשפו, אבל "הסדר" יעיד על פתרון פשרה - הממחיש עד כמה בעיה קוצנית יכולה להיות סעיפי אי-הכללה של ביטוחי סייבר.
NotPetya: מעשה מלחמה?
התביעה הייתה תלויה בתנאי ההתקשרות בפוליסת ביטוח הסייבר - ספציפית, חריגה לנזקים שנגרמו כתוצאה מפעולות מלחמה.
NotPetya, שממשלת ארה"ב כינתה ב-2018 "התקפת הסייבר ההרסנית והיקרה ביותר בהיסטוריה", התחילה כפגיעה ביעדים אוקראינים לפני שהתפשטה ברחבי העולם, ובסופו של דבר השפיעה על חברות ב-65 מדינות ועלתה נזק של מיליארדי דולרים. זה התפשט במהירות הודות לשימוש ב- ניצול תולעים של EternalBlue בשרשרת התקיפה, שהיא נשק NSA דלף המאפשר לתוכנות זדוניות להתפשט ממערכת למערכת באמצעות שיתופי קבצים של Microsoft SMB. הקורבנות הבולטים של המתקפה כללו את פדקס, מותג המשלוחים מארסק וענקית התרופות Merck, בין רבים אחרים.
במקרה של מונדלז, התוכנה הזדונית נעלה 1,700 מהשרתים שלה ו-24,000 מחשבים ניידים מדהימים, מה שהותיר את התאגיד חסר יכולת וסובל מנזקים של יותר מ-100 מיליון דולר, זמן השבתה, אובדן רווחים ועלויות שיקום.
כאילו זה לא היה קשה מספיק לבלוע, עד מהרה מצאה קהונת האוכל את עצמה נחנקת מהתגובה של ציריך אמריקאית כשהגישה תביעת ביטוח סייבר: לחתם לא הייתה כל כוונה לכסות את העלויות, תוך ציון סעיף ההחרגה הנ"ל שכלל את שפה "פעולה עוינת או מלחמתית בזמן שלום או מלחמה" על ידי "ממשלה או כוח ריבוני".
הודות לייחוס של ממשלות העולם של NotPetya למדינה הרוסית, והמשימה המקורית של המתקפה לפגוע ביריב קינטי ידוע של מוסקבה, היה בציריך אמריקאי מקרה - למרות העובדה שהתקפת מונדלז הייתה בהחלט נזק נלווה לא מכוון.
עם זאת, מונדלז טען כי החוזה של ציריך אמריקאי הותיר כמה פירורים שנויים במחלוקת על השולחן, כביכול, לאור חוסר הבהירות מה ניתן ומה לא ניתן לכסות בהתקפה. באופן ספציפי, פוליסת הביטוח קבעה בבירור שהיא תכסה את "כל הסיכונים של אובדן או נזק פיזי" - דגש על "הכל" - "לנתונים אלקטרוניים, תוכניות או תוכנה, לרבות אובדן או נזק שנגרמו כתוצאה מהחדרה זדונית של קוד מכונה. או הוראה." זה מצב ש-NotPetya מגלם בצורה מושלמת.
קרוליין תומפסון, ראש תחום חיתום ב-Cowbell Cyber, ספקית ביטוח סייבר לעסקים קטנים ובינוניים (SMBs), מציינת כי היעדר ניסוח ברור של פוליסת ביטוח סייבר הותיר את הדלת פתוחה בפנייה של מונדלז - ועליו לשמש כמסר אזהרה לאחרים מנהלים משא ומתן על כיסוי.
"היקף הכיסוי, והחלת החרגות מלחמה, נותרו אחד התחומים המאתגרים ביותר עבור חברות הביטוח, כאשר איומי הסייבר ממשיכים להתפתח, עסקים מגדילים את התלות שלהם בפעילות דיגיטלית, והמתחים הגיאופוליטיים ממשיכים להשפיע באופן נרחב", היא אומרת ל-Dark. קריאה. "חשוב ביותר שמבטחים יכירו את תנאי הפוליסה שלהם ויחפשו הבהרות במידת הצורך, אך גם יבחרו במדיניות סייבר מודרנית שיכולה להתפתח ולהתאים בקצב הסיכון והחשיפות שלהם".
החרגות מלחמה
יש בעיה אחת בולטת בהפיכת החרגות מלחמה לביטוח סייבר: הוא מתקשה להוכיח שהתקפות הן אכן "פעולות מלחמה" - נטל שבדרך כלל דורש לקבוע בשמו של מי הן מבוצעות.
במקרים הטובים ביותר, ייחוס הוא יותר אמנות מאשר מדע, עם סט קריטריונים משתנה המבסס כל הצבעת אצבע בטוחה. נימוקים לייחוס איום מתמשך (APT) מסתמכים לרוב על הרבה יותר מאשר חפצים טכנולוגיים הניתנים לכימות, או חפיפה בתשתית ובכלים עם איומים ידועים.
קריטריונים של Squishier יכולים לכלול היבטים כגון ויקטימולוגיה (כלומר, האם המטרות עולות בקנה אחד עם האינטרסים של המדינה ויעדי המדיניות?; הנושא של פתיונות הנדסיים חברתיים; שפת קידוד; רמת התחכום (האם התוקף צריך להיות בעל משאבים טובים? האם הוא השתמש ביום אפס יקר?); והמניע (האם ההתקפה נוטה ריגול, הרס, או רווח כספי?). יש גם את הנושא של פעולות דגל שווא, שבו יריב אחד מתמרן את המנופים האלה כדי להפליל יריב או יריב.
"מה שמזעזע אותי הוא הרעיון לוודא שניתן לייחס את ההתקפות הללו באופן סביר למדינה - איך?" אומר פיליפ הומאו, מנכ"ל ומייסד שותף של CrowdSec. "זה ידוע שכמעט ולא ניתן לעקוב אחר בסיס הפעילות של פושעי סייבר מיומנים בצורה הוגנת, מכיוון שהפעולה שלהם מרווחת היא השורה הראשונה בספר המשחקים שלהם. שנית, ממשלות לא מוכנות להודות באמת שהן מספקות כיסוי לפושעי הסייבר במדינותיהן. שלוש, פושעי סייבר בחלקים רבים של העולם הם בדרך כלל איזה תערובת של קורזירים ושכירי חרב, נאמנים לכל ישות/מדינת לאום שמממנת אותם, אבל ניתנים להרחבה לחלוטין וניתנת להכחשה אם יהיו אי פעם שאלות לגבי השתייכותם".
זו הסיבה, בהיעדר ממשלה שלוקחת אחריות על פיגוע א-לה קבוצות טרור, רוב חברות המודיעין לאיומים יסייגו ייחוס בחסות המדינה עם ביטויים כמו, "אנו קובעים בביטחון נמוך/בינוני/גבוה ש-XYZ עומד מאחורי המתקפה", ו כדי לאתחל, חברות שונות עשויות לקבוע מקורות שונים לכל מתקפה נתונה. אם כל כך קשה לציידי איומי סייבר מקצועיים להצביע על האשמים, תארו לעצמכם כמה קשה זה למתאמני ביטוחי סייבר הפועלים עם חלק קטן מהמיומנויות.
אם הסטנדרט להוכחה של מעשה מלחמה הוא קונצנזוס ממשלתי רחב, זה גם מעורר בעיות, אומר הומאו.
"ייחוס מדויק של התקפות למדינות לאום ידרוש שיתוף פעולה משפטי חוצה מדינות, שהוכח היסטורית כקשה וגם איטי", אומר הומאו. "לכן, הרעיון לייחס את ההתקפות הללו למדינות לאום שלעולם לא "ייעדו על כך משאיר יותר מדי מקום לספק, מבחינה משפטית".
איום קיומי על ביטוח סייבר?
לטענתו של תומפסון, אחת המציאות בסביבה של ימינו היא הנפח העצום של פעילות סייבר בחסות המדינה הנמצאת במחזור. בריאן קנינגהם, עורך דין וחבר מועצה מייעצת בחברת אבטחת המידע Theon Technology, מציין שאם יותר ויותר חברות ביטוח פשוט יכחישו את כל הטענות הנובעות מפעילות כזו, אכן עשויות להיות מעט מאוד תשלומים. ובסופו של דבר, ייתכן שחברות לא יראו את פרמיות ביטוח הסייבר כשוות יותר.
"אם מספר לא מבוטל של שופטים אכן יתחילו לאפשר לספקיות לא לכלול כיסוי למתקפות סייבר רק בטענה שמדינת לאום הייתה מעורבת, זה יהיה הרסני לאקוסיסטם ביטוח הסייבר כמו ש-9 בספטמבר היה (זמני) לנדל"ן מסחרי ," הוא אומר. "כתוצאה מכך, אני לא חושב שהרבה שופטים יקנו את זה, וההוכחה, בכל מקרה, כמעט תמיד תהיה קשה".
ברוח אחרת, איליה קולוצ'נקו, אדריכלית ראשית ומנכ"לית ImmuniWeb, מציינת כי פושעי הסייבר ימצאו דרך להשתמש בהחרגות לטובתם - ויפחיתו את הערך של קיום מדיניות עוד יותר.
"הבעיה נובעת מהתחזות אפשרית של שחקני איומי סייבר ידועים", הוא אומר. "לדוגמה, אם פושעי סייבר - שאינם קשורים למדינה כלשהי - רוצים להגביר את הנזק שנגרם לקורבנותיהם על ידי אי הכללת הכיסוי הביטוחי בסופו של דבר, הם עשויים פשוט לנסות להתחזות לקבוצת פריצה מפורסמת הנתמכת על ידי מדינה במהלך חדירתם. הדבר יערער את האמון בשוק ביטוחי הסייבר, שכן כל ביטוח עלול להפוך לחסר תועלת במקרים החמורים ביותר שדורשים למעשה את הכיסוי ומצדיקים את הפרמיות המשולמות".
שאלת ההדרות נותרה מעורערת
למרות שנראה שההסדר האמריקאי מונדלז-ציריך מצביע על כך שהמבטחת הצליחה לפחות חלקית להביע את עמדתה (או שאולי לאף אחד מהצדדים לא הייתה בטן לשאת בהוצאות משפטיות נוספות), יש תקדים משפטי סותר.
מקרה נוסף של NotPetya בין Merck ו-ACE American Insurance על אותה סוגיה הוכנסה למיטה בינואר, כאשר בית המשפט העליון של ניו ג'רזי קבע כי החרגות מעשה המלחמה מתרחבות רק ללוחמה פיזית בעולם האמיתי, וכתוצאה מכך החתם שילם סכום עצום של 1.4 מיליארד דולר להסדר תביעות.
למרות האופי המעורער של האזור, חלק ממבטחי הסייבר כן הולך קדימה עם החרגות מלחמה, בעיקר לוידס מלונדון. באוגוסט הודיע שומר השוק לסינדיקטים שלו שהם יידרשו להחריג כיסוי למתקפות סייבר הנתמכות על ידי המדינה החל מאפריל 2023. הרעיון, צוין בתזכיר, הוא להגן על חברות הביטוח והחתמים שלהן מפני אובדן קטסטרופלי.
למרות זאת, ההצלחה של מדיניות כזו נותרה לראות.
"לויד'ס, וחברות חברות אחרות, עובדות על הפיכת החרגות כאלה לחזקות ומוחלטות יותר, אבל אני חושב שגם זה ייכשל בסופו של דבר כי תעשיית ביטוח הסייבר כנראה לא תוכל לשרוד שינויים כאלה לאורך זמן", אומר קנינגהם של Theon.
