Mondelez International, maker van Oreos en Ritz Crackers, heeft een rechtszaak aangespannen tegen zijn cyberverzekeraar nadat de provider weigerde een opruimingsrekening van miljoenen dollars te dekken als gevolg van de uitgestrekte NotPetya-ransomware-aanval in 2017.
Oorspronkelijk de snackgigant bracht het pak tegen Zurich American Insurance in 2018, nadat NotPetya zijn wereldwijde cyberplundering van grote multinationale ondernemingen had voltooid, en de zaak is sindsdien vastgebonden in de rechtbank. De voorwaarden van de deal zijn niet bekendgemaakt, maar een "schikking" zou wijzen op een compromisoplossing - wat illustreert hoe netelig een probleem kan zijn met uitsluitingsclausules voor cyberverzekeringen.
NotPetya: Oorlogsdaad?
De rechtszaak hing af van de contractvoorwaarden in de cyberverzekeringspolis, met name een uitsluiting van uitsluiting voor schade veroorzaakt door oorlogshandelingen.
NotPetya, die de Amerikaanse regering in 2018 de "meest destructieve en duurste cyberaanval in de geschiedenis" noemde, begon als het compromitteren van Oekraïense doelen voordat het zich wereldwijd verspreidde, uiteindelijk gevolgen had voor bedrijven in 65 landen en miljarden schade kostte. Het verspreidde zich snel dankzij het gebruik van de EternalBlue ontwormingsuitbuiting in de aanvalsketen, een gelekt NSA-wapen waarmee malware zichzelf van systeem naar systeem kan verspreiden met behulp van Microsoft SMB-bestandsshares. Opmerkelijke slachtoffers van de aanval waren onder meer FedEx, scheepvaartgigant Maersk en farmaceutische gigant Merck.
In het geval van Mondelez blokkeerde de malware 1,700 van zijn servers en maar liefst 24,000 laptops, waardoor het bedrijf onbekwaam bleef en meer dan $ 100 miljoen aan schade, downtime, gederfde winst en herstelkosten moest betalen.
Alsof dat nog niet moeilijk genoeg was om te slikken, stikte de voedselkahuna al snel in het antwoord van Zurich American toen het een cyberverzekeringsclaim indiende: de verzekeraar was niet van plan de kosten te dekken, daarbij verwijzend naar de bovengenoemde uitsluitingsclausule die de taal "vijandige of oorlogszuchtige actie in tijd van vrede of oorlog" door een "regering of soevereine macht".
Dankzij de toeschrijving van NotPetya door wereldregeringen aan de Russische staat en de oorspronkelijke missie van de aanval om een bekende kinetische tegenstander van Moskou te treffen, had Zurich American een zaak - ondanks het feit dat de Mondelez-aanval zeker onbedoelde nevenschade was.
Mondelez betoogde echter dat het contract van Zurich American als het ware wat omstreden kruimels op tafel liet liggen, gezien het gebrek aan duidelijkheid over wat wel en niet gedekt kon worden in een aanval. De verzekeringspolis verklaarde met name duidelijk dat deze "alle risico's van fysiek verlies of fysieke schade" zou dekken - nadruk op "alle" - "tot elektronische gegevens, programma's of software, inclusief verlies of schade veroorzaakt door de kwaadaardige introductie van een machinecode of instructie.” Het is een situatie die NotPetya perfect belichaamt.
Caroline Thompson, hoofd acceptatie bij Cowbell Cyber, een aanbieder van cyberverzekeringen voor het midden- en kleinbedrijf (MKB), merkt op dat het gebrek aan duidelijke bewoordingen van cyberverzekeringen de deur open heeft gelaten voor het beroep van Mondelez — en zou moeten dienen als een waarschuwende boodschap aan anderen die over dekking onderhandelen.
"De reikwijdte van de dekking en de toepassing van oorlogsuitsluitingen blijft een van de meest uitdagende gebieden voor verzekeraars, aangezien cyberdreigingen zich blijven ontwikkelen, bedrijven hun afhankelijkheid van digitale activiteiten vergroten en geopolitieke spanningen een wijdverbreide impact blijven hebben", vertelt ze aan Dark. Lezing. "Het is van het grootste belang dat verzekeraars bekend zijn met de voorwaarden van hun polis en waar nodig opheldering zoeken, maar ook kiezen voor moderne cyberpolissen die kunnen evolueren en zich aanpassen aan het tempo van hun risico's en blootstellingen."
Oorlogsuitsluitingen
Er is één in het oog springend probleem bij het maken van oorlogsuitsluitingen voor cyberverzekeringen: de moeilijkheid om te bewijzen dat aanvallen inderdaad 'oorlogsdaden' zijn - een last die over het algemeen vereist dat moet worden bepaald namens wie ze worden uitgevoerd.
In de beste gevallen is attributie meer een kunst dan een wetenschap, met een verschuivende reeks criteria die elk zelfverzekerd vingerwijzen ondersteunen. Redenen voor de attributie van geavanceerde persistente dreigingen (APT) zijn vaak afhankelijk van veel meer dan kwantificeerbare technologische artefacten, of overlappingen in infrastructuur en tools met bekende bedreigingen.
Squishier-criteria kunnen aspecten omvatten zoals: victimologie (dwz zijn de doelen in overeenstemming met de staatsbelangen en beleidsdoelen?; het onderwerp van kunstaas voor sociale engineering; codeertaal; niveau van verfijning (moet de aanvaller over voldoende middelen beschikken? Hebben ze een dure zero-day gebruikt?); en motief (is de aanval gericht op) spionage, vernietiging, of financieel gewin?) Er is ook de kwestie van valse vlag operaties, waarbij een tegenstander deze hefbomen manipuleert om een rivaal of tegenstander te omlijsten.
"Wat voor mij schokkend is, is het idee om te verifiëren dat deze aanvallen redelijkerwijs kunnen worden toegeschreven aan een staat - hoe?" zegt Philippe Humeau, CEO en mede-oprichter van CrowdSec. “Het is algemeen bekend dat je de operationele basis van een fatsoenlijk bekwame cybercrimineel nauwelijks kunt volgen, aangezien het luchtgapen van hun operaties de eerste regel van hun playbook is. Ten tweede zijn regeringen niet bereid toe te geven dat ze wel degelijk dekking bieden aan de cybercriminelen in hun land. Ten derde zijn cybercriminelen in veel delen van de wereld meestal een mix van zeerovers en huurlingen, trouw aan de entiteit/natiestaat die hen financiert, maar volledig uitbreidbaar en te ontkennen als er ooit vragen zijn over hun aansluiting.
Dat is de reden waarom, bij afwezigheid van een regering die de verantwoordelijkheid neemt voor een aanval à la terreurgroepen, de meeste dreigingsinlichtingenbedrijven een door de staat gesponsorde attributie zullen verzwijgen met zinnen als: "we bepalen met een laag/gematigd/hoog vertrouwen dat XYZ achter de aanval zit", en Bovendien kunnen verschillende bedrijven verschillende bronnen voor een bepaalde aanval bepalen. Als het voor professionele cyberbedreigingenjagers zo moeilijk is om de boosdoeners op te sporen, stel je dan eens voor hoe moeilijk het is voor cyberverzekeringsexperts die met een fractie van de vaardigheden werken.
Als de norm voor het bewijs van een oorlogsdaad een brede regeringsconsensus is, levert dit ook problemen op, zegt Humeau.
"Het nauwkeurig toeschrijven van aanvallen aan natiestaten zou juridische samenwerking tussen landen vereisen, wat in het verleden zowel moeilijk als langzaam is gebleken", zegt Humeau. "Dus het idee om deze aanvallen toe te schrijven aan natiestaten die het nooit zullen toegeven, laat juridisch gezien te veel ruimte voor twijfel."
Een existentiële bedreiging voor cyberverzekeringen?
Volgens Thompson is een van de realiteiten in de huidige omgeving de enorme hoeveelheid door de staat gesponsorde cyberactiviteit die in omloop is. Bryan Cunningham, advocaat en lid van de adviesraad bij databeveiligingsbedrijf Theon Technology, merkt op dat als steeds meer verzekeraars alle claims die voortvloeien uit dergelijke activiteiten eenvoudigweg ontkennen, er inderdaad maar heel weinig uitbetalingen zullen zijn. En uiteindelijk zien bedrijven de premies voor cyberverzekeringen misschien niet meer als de moeite waard.
“Als een aanzienlijk aantal rechters daadwerkelijk begint toe te staan dat vervoerders dekking voor cyberaanvallen uitsluiten alleen op basis van een bewering dat er een natiestaat bij betrokken was, zal dit net zo verwoestend zijn voor het cyberverzekeringsecosysteem als 9/11 (tijdelijk) was voor commercieel onroerend goed ," hij zegt. “Als gevolg daarvan denk ik niet dat veel rechters dit zullen kopen, en bewijs zal in ieder geval bijna altijd moeilijk zijn.”
In een andere geest merkt Ilia Kolochenko, hoofdarchitect en CEO van ImmuniWeb, op dat de cybercriminelen een manier zullen vinden om de uitsluitingen in hun voordeel te gebruiken - waardoor de waarde van het hebben van een beleid nog verder wordt ondermijnd.
"Het probleem komt voort uit een mogelijke imitatie van bekende cyberbedreigingsactoren", zegt hij. “Als cybercriminelen – die geen verband houden met welke staat dan ook – de schade aan hun slachtoffers willen vergroten door de eventuele verzekeringsdekking uit te sluiten, kunnen ze tijdens hun inbraak gewoon proberen zich voor te doen als een beroemde door de staat gesteunde hackgroep. Dit zal het vertrouwen in de cyberverzekeringsmarkt ondermijnen, aangezien elke verzekering zinloos kan worden in de meest ernstige gevallen die de dekking daadwerkelijk vereisen en de betaalde premies rechtvaardigen.”
De kwestie van uitsluitingen blijft onzeker
Ook al lijkt de Amerikaanse schikking tussen Mondelez-Zürich erop te wijzen dat de verzekeraar er in ieder geval gedeeltelijk in is geslaagd zijn punt te maken (of misschien had geen van beide partijen het lef om verdere juridische kosten te maken), is er een tegenstrijdig juridisch precedent.
Nog een NotPetya-zaak tussen Merck en ACE American Insurance over dezelfde kwestie werd in januari naar bed gebracht, toen het Superior Court van New Jersey oordeelde dat uitsluitingen van oorlogshandelingen alleen gelden voor fysieke oorlogsvoering in de echte wereld, wat ertoe leidde dat de verzekeraar maar liefst 1.4 miljard dollar aan schaderegeling betaalde.
Ondanks het onrustige karakter van het gebied, zijn sommige cyberverzekeraars vooruit gaan met oorlogsuitsluitingen, met name Lloyd's of London. In augustus vertelde de standvastige markt zijn syndicaten dat ze vanaf april 2023 de dekking voor door de staat gesteunde cyberaanvallen moeten uitsluiten. Het idee, aldus de memo, is om verzekeringsmaatschappijen en hun verzekeraars te beschermen tegen catastrofale verliezen.
Toch valt het succes van een dergelijk beleid nog te bezien.
"Lloyd's en andere vervoerders werken eraan om dergelijke uitsluitingen sterker en absoluut te maken, maar ik denk dat ook dit uiteindelijk zal mislukken omdat de cyberverzekeringssector dergelijke veranderingen waarschijnlijk niet lang zal overleven", zegt Theon's Cunningham.
