Oreos と Ritz Crackers のメーカーである Mondelez International は、2017 年の広範囲に及ぶ NotPetya ランサムウェア攻撃に起因する数百万ドルのクリーンアップ請求をプロバイダーがカバーすることを拒否した後、サイバー保険会社に対する訴訟で和解しました。
もともとスナックの巨人 スーツを持ってきた NotPetya が主要な多国籍企業に対するグローバルなサイバー ランサッキングを完了した後、2018 年に Zurich American Insurance に対して訴訟を起こしました。 法廷で縛られた. 契約の条件は明らかにされていませんが、「和解」は妥協の解決を示しており、サイバー保険の除外条項がいかに厄介な問題であるかを示しています.
NotPetya: 戦争行為?
この訴訟は、サイバー保険契約の契約条件、具体的には、戦争行為によって引き起こされた損害の除外除外にかかっていました。
NotPetya2018 年に米国政府が「史上最も破壊的で最もコストのかかるサイバー攻撃」と呼んだこの攻撃は、ウクライナの標的を侵害することから始まり、その後世界的に広がり、最終的に 65 か国の企業に影響を与え、数十億ドルの損害をもたらしました。 の使用のおかげで急速に広まりました。 EternalBlueワームエクスプロイト これは、リークされた NSA の武器であり、マルウェアが Microsoft SMB ファイル共有を使用してシステムからシステムへ自己伝播することを可能にします。 攻撃の注目すべき被害者には、FedEx、海運大手の Maersk、製薬大手の Merck などが含まれます。
Mondelez の場合、マルウェアは 1,700 台のサーバーと驚異的な 24,000 台のラップトップをロックし、企業を無力化させ、100 億ドル以上の損害、ダウンタイム、利益の損失、および修復費用をもたらしました。
それは飲み込むのに十分なほど厳しいものではなかったかのように、食品カフナは、サイバー保険の請求を提出したとき、チューリッヒ アメリカンからの応答にすぐに窒息していることに気付きました。 「政府または主権国家」による「平時または戦争時の敵対的または好戦的な行動」という表現。
世界政府による NotPetya のロシア国家への帰属と、モスクワの既知の動的敵対者を攻撃するという攻撃の当初の目的のおかげで、チューリッヒ アメリカンは、モンデリーズ攻撃が確かに意図しない巻き添え被害であったという事実にもかかわらず、訴訟を起こしました。
しかし、Mondelez は、チューリッヒ アメリカンの契約は、攻撃でカバーできるものとできないものが明確にされていないことを考えると、いわば論争の的となっているパンくずをテーブルに残したと主張した. 具体的には、保険証券は、機械コードの悪意のある導入によって引き起こされた損失または損害を含む、電子データ、プログラム、またはソフトウェアに対する「物理的な損失または損傷のすべてのリスク」(「すべて」を強調) をカバーすると明確に述べています。または指示。」 これは、NotPetya が完全に体現している状況です。
中堅・中小企業 (SMB) 向けのサイバー保険プロバイダーであるカウベル サイバーの保険引受責任者であるキャロライン トンプソン氏は、明確なサイバー保険契約の文言が欠如しているため、モンデリーズ氏の控訴の扉が開かれたままであり、警告メッセージとして機能する必要があると述べています。カバレッジを交渉している他の人に。
「サイバー脅威が進化し続け、企業がデジタル業務への依存度を高め、地政学的な緊張が広範囲に影響を与え続けているため、補償の範囲と戦争除外の適用は保険会社にとって最も困難な分野のXNUMXつであり続けています」と彼女はDarkに語った.読む。 「保険会社にとって、ポリシーの条件を熟知し、必要に応じて明確化を求めることが最も重要ですが、リスクとエクスポージャーのペースに合わせて進化および適応できる最新のサイバーポリシーを選択することも重要です。」
戦争の除外
戦争の除外をサイバー保険に適用することには、明らかな問題が XNUMX つあります。それは、攻撃が実際に「戦争行為」であることを証明するのが難しいということです。これは、攻撃が誰のために実行されたかを判断する必要がある一般的な負担です。
最良の場合、帰属は科学というよりも芸術であり、自信に満ちた非難を支える一連の基準が変化しています。 高度で持続的な脅威 (APT) の属性の根拠は、多くの場合、定量化可能なテクノロジ アーティファクトよりもはるかに多くの要素に依存しているか、インフラストラクチャとツールが既知の脅威と重複しています。
Squishierの基準には、次のような側面が含まれます。 被害者学 (すなわち、目標は国家の利益と政策目標と一致しているか?; ソーシャルエンジニアリングのルアー; コーディング言語; 巧妙さのレベル (攻撃者はリソースを十分に備えている必要がありますか? 高価なゼロデイを使用しましたか?); と動機(攻撃が傾いている スパイ, 破壊、または金銭的利益?)。 という問題もあります 偽旗作戦、ある敵がこれらのレバーを操作して、ライバルまたは敵を組み立てます。
「私にとって衝撃的なのは、これらの攻撃が国家に合理的に帰することができることを検証するという考えです - どのように?」 CrowdSec の CEO 兼共同創設者である Philippe Humeau は次のように述べています。 「サイバー犯罪者のオペレーションのエアギャップは戦略の最初の行であるため、熟練したサイバー犯罪者のオペレーション基盤を追跡することはほとんどできないことはよく知られています。 第 XNUMX に、政府は自国のサイバー犯罪者を保護していることを実際に認めようとはしません。 第三に、世界の多くの地域のサイバー犯罪者は、通常、海賊と傭兵の混合であり、彼らに資金を提供しているエンティティ/国家に忠実ですが、彼らの所属について疑問が生じた場合、完全に拡張可能で否定できます。」
そのため、政府がテロ組織のような攻撃の責任を負わない場合、ほとんどの脅威インテリジェンス企業は、「XYZ が攻撃の背後にあることを低/中/高の確信度で判断します」などのフレーズで、国家が後援する帰属を警告します。 、起動するには、さまざまな企業が特定の攻撃のさまざまなソースを決定する可能性があります。 プロのサイバー脅威ハンターが犯人を特定するのがそれほど難しいのであれば、サイバー保険の査定人がスキルのほんの一部で操作するのがどれほど難しいか想像してみてください.
戦争行為の証拠の基準が政府の幅広いコンセンサスである場合、これもまた問題を引き起こす、とユモーは言う。
「攻撃が国民国家に起因するものであると正確に特定するには、国境を越えた法的協力が必要になります。これは、歴史的に困難で時間のかかるものであることが証明されています」とユモーは言います。 「したがって、これらの攻撃を、決して「大騒ぎしない」国民国家に帰するという考えは、法的に言えば、疑いの余地が多すぎます。」
サイバー保険に対する実存的な脅威?
Thompson の指摘によれば、今日の環境における現実の XNUMX つは、国家が後援する膨大な量のサイバー活動が流通していることです。 データ セキュリティ会社 Theon Technology の弁護士兼諮問委員会のメンバーである Bryan Cunningham 氏は、このような活動に起因するすべての請求を単純に拒否する保険会社が増えれば、実際に支払われる金額は非常に少なくなる可能性があると述べています。 そして最終的には、企業はサイバー保険の保険料をもはや価値があるとは見なさないかもしれません。
「かなりの数の裁判官が、国家が関与したという主張だけで、実際に通信事業者がサイバー攻撃の補償を除外することを許可し始めた場合、9/11 が商業用不動産に (一時的に) 影響を与えたのと同じくらい、サイバー保険のエコシステムに壊滅的な打撃を与えることになるでしょう。 」と彼は言います。 「結果として、多くの裁判官がこれを受け入れるとは思わないし、証明は、いずれにせよ、ほとんどの場合困難になるだろう.」
別の言い方をすれば、ImmuniWeb のチーフ アーキテクト兼 CEO である Ilia Kolochenko は、サイバー犯罪者が除外を有利に利用する方法を見つけるだろうと述べています。
「この問題は、有名なサイバー脅威アクターのなりすましの可能性に起因しています」と彼は言います。 「たとえば、サイバー犯罪者が、どの国家とも関係なく、最終的な保険適用範囲を除外することで被害者に与える損害を拡大したいと考えている場合、侵入中に国家が支援する有名なハッキング グループになりすますことを試みる可能性があります。 これは、サイバー保険市場への信頼を損なうことになります。実際に補償が必要で、支払った保険料が正当化される最も深刻なケースでは、どんな保険も役に立たなくなる可能性があるからです。」
除外の問題は未解決のまま
モンデリーズとチューリッヒの米国の和解は、保険会社が少なくとも部分的にその主張をすることに成功したことを示しているように見えますが (または、おそらくどちらの側にもさらなる訴訟費用を負担する余裕がなかった)、相反する法的先例があります。
間の別の NotPetya ケース メルクとエース・アメリカン・インシュアランス ニュージャージー州の上級裁判所が、戦争行為の除外は現実世界の物理的な戦争にのみ適用されるとの判決を下した 1.4 月に、同じ問題に関する問題が解決されました。
この地域の不安定な性質にもかかわらず、一部のサイバー保険会社は 今後 戦争の除外で、最も顕著な ロンドンのロイズ. 2023月、市場の重鎮はシンジケートに対し、XNUMX年XNUMX月から始まる国家支援のサイバー攻撃の補償を除外する必要があると語った.メモは、その考えは、保険会社とその引受会社を壊滅的な損失から保護することである.
それでも、そのような政策の成功はまだ見られません。
「ロイズや他の通信事業者は、そのような除外をより強力かつ絶対的なものにするために取り組んでいますが、これも最終的には失敗に終わると思います。なぜなら、サイバー保険業界はそのような変化に長く耐えられない可能性が高いからです」と Theon の Cunningham 氏は言います。
