Oreos and Ritz Crackers의 제조사인 Mondelez International은 2017년에 대규모 NotPetya 랜섬웨어 공격으로 인해 수백만 달러의 정리 비용을 지불하는 것을 공급자가 거부한 후 사이버 보험사를 상대로 한 소송을 해결했습니다.
원래 스낵 거인 양복을 가져왔다 NotPetya가 주요 다국적 기업에 대한 글로벌 사이버 검색을 완료한 후 2018년에 Zurich American Insurance를 상대로 소송이 제기되었습니다. 법정에 묶인. 거래 조건은 공개되지 않았지만 "화해"는 타협 해결을 의미하며 사이버 보험 제외 조항이 얼마나 어려운 문제인지를 보여줍니다.
NotPetya: 전쟁의 행위?
소송은 사이버 보험 정책의 계약 조건, 특히 전쟁 행위로 인한 손해에 대한 배제 개척에 달려 있습니다.
NotPetya2018년 미국 정부가 "역사상 가장 파괴적이고 비용이 많이 드는 사이버 공격"이라고 명명한 이 공격은 우크라이나 대상을 손상시키는 것으로 시작하여 전 세계로 확산되어 궁극적으로 65개국의 기업에 영향을 미치고 수십억 달러의 피해를 입혔습니다. 사용으로 인해 빠르게 확산되었습니다. EternalBlue 웜 익스플로잇 맬웨어가 Microsoft SMB 파일 공유를 사용하여 시스템에서 시스템으로 자가 전파되도록 하는 유출된 NSA 무기인 공격 체인에서. 공격의 주목할만한 희생자로는 FedEx, 운송 대기업 Maersk, 제약 대기업 Merck 등이 있습니다.
Mondelez의 경우 이 멀웨어는 서버 1,700대와 노트북 24,000대를 잠그고 회사를 무력화시키고 100억 달러 이상의 피해, 가동 중지 시간, 이익 손실 및 복구 비용으로 고통을 겪고 있습니다.
그것이 삼키기에 충분히 힘들지 않은 것처럼 food kahuna는 사이버 보험 청구를 제기했을 때 Zurich American의 응답에 곧 질식했습니다. 보험자는 비용을 충당할 의사가 없었습니다. "정부 또는 주권 국가"에 의한 "평화 또는 전쟁 시기에 적대적이거나 호전적인 행동"이라는 언어.
세계 정부가 NotPetya를 러시아 국가로 지정하고 모스크바의 알려진 운동적 적을 공격하는 공격의 원래 임무 덕분에 Mondelez 공격이 확실히 의도하지 않은 부수적 피해였음에도 불구하고 취리히 아메리칸은 사례를 얻었습니다.
그러나 Mondelez는 취리히 아메리칸의 계약이 공격에서 커버할 수 있는 것과 없는 것이 명확하지 않은 점을 감안할 때, 말하자면 논쟁의 여지가 있는 일부 부스러기를 테이블에 남겼다고 주장했습니다. 특히, 보험 정책은 기계 코드의 악의적인 도입으로 인한 손실 또는 손상을 포함하여 "전자 데이터, 프로그램 또는 소프트웨어에 대한 모든 물리적 손실 또는 손상의 모든 위험"("모든" 강조)을 보장한다고 분명히 명시했습니다. 또는 지시." NotPetya가 완벽하게 구현한 상황입니다.
중소기업(SMB)을 위한 사이버 보험 제공업체인 Cowbell Cyber의 보험 책임자인 Caroline Thompson은 명확한 사이버 보험 정책 문구가 없기 때문에 Mondelez가 항소할 수 있는 여지가 열려 있으며 경고 메시지 역할을 해야 한다고 말합니다. 커버리지를 협상하는 다른 사람들에게.
그녀는 Dark에 "보상 범위와 전쟁 제외 적용은 사이버 위협이 계속 진화하고 기업이 디지털 운영에 대한 의존도를 높이고 지정학적 긴장이 계속 광범위한 영향을 미치면서 보험사에게 가장 어려운 영역 중 하나로 남아 있습니다."라고 말했습니다. 독서. "보험사가 보험 약관을 숙지하고 필요한 경우 설명을 찾는 동시에 위험과 노출에 따라 진화하고 적응할 수 있는 현대적인 사이버 정책을 선택하는 것이 가장 중요합니다."
전쟁 제외
전쟁 제외를 사이버 보험에 적용하는 데 있어 한 가지 눈에 띄는 문제가 있습니다. 그는 공격이 실제로 "전쟁 행위"임을 입증하는 데 어려움을 겪습니다. 일반적으로 누구를 대신하여 공격을 수행하는지 결정해야 하는 부담입니다.
최선의 경우 귀인은 과학이라기보다 예술에 가깝습니다. 자신감 있는 손가락 지적을 뒷받침하는 일련의 기준이 바뀝니다. APT(Advanced Persistent Threat) 속성에 대한 이론적 근거는 종종 정량화할 수 있는 기술 아티팩트 이상에 의존하거나 알려진 위협과 인프라 및 도구의 겹침에 의존합니다.
Squishier 기준에는 다음과 같은 측면이 포함될 수 있습니다. 피해자학 (즉, 목표가 국가 이익 및 정책 목표와 일치합니까? 사회 공학 미끼; 코딩 언어; 정교함 수준(공격자가 충분한 자원을 확보해야 합니까? 값비싼 제로 데이를 사용했습니까?); 그리고 동기(공격이 스파이 활동, 파괴, 또는 재정적 이득?). 의 문제도 있다 거짓 플래그 작업, 한 적수가 이러한 레버를 조작하여 라이벌이나 적의 틀을 잡습니다.
"나에게 충격적인 것은 이러한 공격이 합리적으로 국가에 기인할 수 있는지 확인한다는 아이디어입니다. 어떻게?" CrowdSec의 CEO이자 공동 설립자인 Philippe Humeau는 말합니다. “공중 작전이 그들의 플레이북의 첫 번째 줄이기 때문에 능숙하게 숙련된 사이버 범죄자의 작전 기반을 거의 추적할 수 없다는 것은 잘 알려져 있습니다. 둘째, 정부는 자국의 사이버 범죄자를 보호하고 있다는 사실을 인정하지 않습니다. 세 번째, 세계 여러 지역의 사이버 범죄자는 일반적으로 해적과 용병이 혼합되어 있으며, 자금을 지원하는 모든 주체/국가 국가에 충실하지만 소속에 대해 질문이 있는 경우 완전히 확장 가능하고 부인할 수 있습니다.”
그렇기 때문에 정부가 테러 단체의 공격에 대해 책임을 지지 않는 한 대부분의 위협 정보 회사는 "우리는 XYZ가 공격의 배후에 있다고 낮은/중간/높은 확신으로 결정합니다"와 같은 문구로 국가 후원 속성에 경고합니다. , 부팅하기 위해 다른 회사는 주어진 공격에 대해 다른 소스를 결정할 수 있습니다. 전문 사이버 위협 사냥꾼이 범인을 찾아내는 것이 그렇게 어려운 일이라면, 일부 기술로 운영되는 사이버 보험 조정자가 얼마나 어려운 일인지 상상해 보십시오.
전쟁 행위의 증거에 대한 표준이 정부의 폭넓은 합의라면 이것도 문제가 된다고 휴모는 말합니다.
"국가에 대한 공격의 원인을 정확히 파악하려면 국가 간 법적 협력이 필요하며 이는 역사적으로 어렵고 느린 것으로 입증되었습니다."라고 Humeau는 말합니다. "따라서 이러한 공격을 결코 '최대한'까지 하지 않을 민족 국가의 탓으로 돌리는 아이디어는 법적으로 말해서 의심의 여지가 너무 많습니다."
사이버 보험에 대한 실존적 위협?
Thompson의 말에 따르면 오늘날 환경의 현실 중 하나는 국가가 후원하는 사이버 활동이 유통되고 있다는 것입니다. 데이터 보안 회사인 Theon Technology의 변호사이자 자문 위원회 위원인 Bryan Cunningham은 점점 더 많은 보험사가 이러한 활동으로 인한 모든 청구를 거부한다면 실제로 지불금이 거의 없을 것이라고 말합니다. 그리고 궁극적으로 기업은 사이버 보험료가 더 이상 가치가 없다고 생각할 수 있습니다.
“상당한 수의 판사가 국민국가가 연루되었다는 주장만으로 통신업체가 사이버 공격에 대한 보장을 제외하도록 실제로 허용하기 시작하면 9/11이 상업용 부동산에 (일시적으로) 발생한 것처럼 사이버 보험 생태계에 파괴적일 것입니다. "라고 그는 말한다. "결과적으로 많은 판사가 이것을 사지 않을 것이며 어떤 경우에도 증거는 거의 항상 어려울 것입니다."
다른 맥락에서 ImmuniWeb의 수석 설계자이자 CEO인 Ilia Kolochenko는 사이버 범죄자들이 배제를 활용하여 정책을 더욱 강화하는 가치를 약화시킬 방법을 찾을 것이라고 말합니다.
"문제는 잘 알려진 사이버 위협 행위자의 사칭 가능성에서 비롯됩니다."라고 그는 말합니다. “예를 들어, 어떤 주와도 관련이 없는 사이버 범죄자가 최종 보험 적용 범위를 제외하여 피해자의 피해를 확대하려는 경우 침입하는 동안 국가가 지원하는 유명한 해킹 그룹을 가장하려고 할 수 있습니다. 이는 실제로 보험이 필요하고 지불한 보험료를 정당화하는 가장 심각한 경우에는 어떤 보험도 무용지물이 될 수 있기 때문에 사이버 보험 시장에 대한 신뢰를 약화시킬 것입니다.”
배제 문제는 여전히 풀리지 않고 있다
Mondelez-Zurich American 화해는 보험사가 적어도 부분적으로 자신의 주장을 하는 데 성공했음을 나타내는 것처럼 보이지만(또는 어느 쪽도 추가 법적 비용을 부담할 용기가 없었을 수도 있음) 상충되는 법적 판례가 있습니다.
사이의 또 다른 NotPetya 사례 머크와 ACE 미국 보험 같은 문제에 대해 1.4월에 뉴저지 고등 법원이 전쟁 배제 행위가 실제 물리적 전쟁에만 적용된다는 판결을 내렸을 때, 보험업자는 XNUMX억 달러의 청구 합의에 대해 지불해야 했습니다.
불안정한 지역 특성에도 불구하고 일부 사이버 보험사는 앞으로 특히 전쟁 제외와 함께 런던의 로이드. 2023월에 시장의 충실한 회사는 신디케이트에 XNUMX년 XNUMX월부터 국가 지원 사이버 공격에 대한 보장을 제외해야 한다고 말했습니다. 메모에 따르면 이 아이디어는 보험 회사와 보험사를 치명적인 손실로부터 보호하는 것입니다.
그럼에도 불구하고 그러한 정책의 성공 여부는 아직 지켜봐야 합니다.
Theon's Cunningham은 "Lloyd's와 다른 통신사들은 이러한 배제를 더욱 강력하고 절대적으로 만들기 위해 노력하고 있지만 사이버 보험 산업이 이러한 변화에서 오랫동안 살아남을 수 없을 가능성이 높기 때문에 이 역시 궁극적으로 실패할 것이라고 생각합니다."라고 말했습니다.
