Mondelez International, produsent av Oreos og Ritz Crackers, har avgjort et søksmål mot sitt cyberforsikringsselskap etter at leverandøren nektet å dekke en oppryddingsregning på flere millioner dollar som stammet fra det omfattende NotPetya løsepengevareangrepet i 2017.
Snacksgiganten opprinnelig tok med seg drakten mot Zurich American Insurance tilbake i 2018, etter at NotPetya hadde fullført sin globale cyberransaking av store multinasjonale selskaper, og saken har siden vært bundet i retten. Vilkårene for avtalen er ikke avslørt, men et "oppgjør" vil indikere en kompromissløsning - som illustrerer hvor vanskelig et problem cyberforsikringseksklusjonsklausuler kan være.
NotPetya: Act of War?
Søksmålet var hengt på kontraktsvilkårene i nettforsikringspolisen - spesifikt en utelukkelse for skader forårsaket av krigshandlinger.
IkkePetya, som den amerikanske regjeringen i 2018 kalte det "mest destruktive og dyreste nettangrepet i historien," startet med å kompromittere ukrainske mål før de spredte seg globalt, og til slutt påvirket selskaper i 65 land og koste milliarder i skade. Det spredte seg raskt takket være bruken av EternalBlue ormebruk i angrepskjeden, som er et lekket NSA-våpen som lar skadevare forplante seg selv fra system til system ved hjelp av Microsoft SMB-fildelinger. Bemerkelsesverdige ofre for angrepet inkluderer blant annet FedEx, shippingbehemoth Maersk og farmasøytisk gigant Merck.
Når det gjelder Mondelez, låste skadevaren 1,700 av sine servere og svimlende 24,000 bærbare datamaskiner, noe som gjorde selskapet ufør og nøt etter mer enn $100 millioner i skader, nedetid, tapt fortjeneste og utbedringskostnader.
Som om det ikke var tøft nok å svelge, fant maten kahuna seg snart i å kvele av svaret fra Zurich American da den sendte inn et krav om cyberforsikring: Underwriteren hadde ingen intensjon om å dekke kostnadene, med henvisning til den nevnte eksklusjonsklausulen som inkluderte språk «fiendtlig eller krigersk handling i freds- eller krigstid» av en «regjering eller suveren makt».
Takket være verdensregjeringenes tilskrivning av NotPetya til den russiske staten, og det opprinnelige oppdraget til angrepet for å ramme en kjent kinetisk motstander av Moskva, hadde Zurich American en sak – til tross for at Mondelez-angrepet absolutt var utilsiktet sideskade.
Imidlertid hevdet Mondelez at Zurich Americans kontrakt etterlot noen omstridte smuler på bordet, så å si, gitt mangelen på klarhet i hva som kunne og ikke kunne dekkes i et angrep. Spesifikt sa forsikringspolisen tydelig at den ville dekke "alle risikoer for fysisk tap eller skade" - med vekt på "alle" - "på elektroniske data, programmer eller programvare, inkludert tap eller skade forårsaket av ondsinnet innføring av en maskinkode eller instruksjon." Det er en situasjon som NotPetya perfekt legemliggjør.
Caroline Thompson, sjef for underwriting hos Cowbell Cyber, en cyberforsikringsleverandør for små og mellomstore bedrifter (SMB), bemerker at mangelen på tydelig ordlyd av cyberforsikringspoliser lot døren stå åpen for Mondelez' appell - og bør fungere som en advarende melding til andre som forhandler om dekning.
"Omfanget av dekning, og anvendelsen av krigsekskluderinger, er fortsatt et av de mest utfordrende områdene for forsikringsselskaper ettersom cybertrusler fortsetter å utvikle seg, bedrifter øker avhengigheten av digitale operasjoner og geopolitiske spenninger fortsetter å ha omfattende innvirkning," sier hun til Dark Lesning. "Det er viktig for forsikringsselskapene å være kjent med vilkårene i deres policy og søke avklaring der det er nødvendig, men også velge moderne cyberpolitikk som kan utvikle seg og tilpasse seg i det tempoet deres risiko og eksponeringer gjør."
Krigsekskluderinger
Det er ett åpenbart problem med å få krigsekskluderinger til å holde seg for nettforsikring: han har vanskelig for å bevise at angrep faktisk er "krigshandlinger" - en byrde som vanligvis krever å bestemme på vegne av hvem de utføres.
I de beste tilfellene er attribusjon mer en kunst enn en vitenskap, med et skiftende sett med kriterier som underbygger enhver sikker fingerpeking. Begrunnelser for attribusjon av avansert vedvarende trussel (APT) er ofte avhengig av mye mer enn kvantifiserbare teknologiartefakter, eller overlapper i infrastruktur og verktøy med kjente trusler.
Squishier-kriterier kan inkludere aspekter som f.eks viktimologi (dvs. er målene i samsvar med statens interesser og politiske mål?; emnet for sosialtekniske lokker; kodespråk; nivå av sofistikering (trenger angriperen å ha gode ressurser? Brukte de en dyr nulldag?); og motiv (er angrepet bøyd på spionasje, ødeleggelse, eller økonomisk gevinst?). Det er også spørsmålet om falske flagg-operasjoner, der en motstander manipulerer disse spakene for å ramme en rival eller motstander.
"Det som er sjokkerende for meg er ideen om å bekrefte at disse angrepene med rimelighet kan tilskrives en stat - hvordan?" sier Philippe Humeau, administrerende direktør og medgründer av CrowdSec. "Det er velkjent at du knapt kan spore en anstendig dyktig nettkriminells operasjonsbase, siden luftgap deres operasjoner er den første linjen i håndboken deres. For det andre er ikke regjeringer villige til å faktisk innrømme at de gir dekning for nettkriminelle i deres land. Tre, cyberkriminelle i mange deler av verden er vanligvis en blanding av korsarer og leiesoldater, trofaste mot hvilken enhet/nasjonsstat som måtte finansiere dem, men fullstendig utvidbare og benektbare hvis det noen gang er spørsmål om deres tilknytning."
Det er derfor, i fravær av at en regjering tar ansvar for et angrep a la terrorgrupper, vil de fleste trusseletterretningsfirmaer ta forbehold om statssponsert attribusjon med setninger som "vi fastslår med lav/moderat/høy tillit at XYZ står bak angrepet," og For å starte opp, kan forskjellige firmaer finne forskjellige kilder for et gitt angrep. Hvis det er så vanskelig for profesjonelle cybertrusseljegere å finne de skyldige, forestill deg hvor vanskelig det er for nettforsikringstilpassere som opererer med en brøkdel av ferdighetene.
Hvis standarden for bevis på en krigshandling er bred statlig konsensus, byr dette også på problemer, sier Humeau.
"Nøyaktig å tilskrive angrep til nasjonalstater vil kreve juridisk samarbeid på tvers av land, noe som historisk har vist seg å være både vanskelig og sakte," sier Humeau. "Så ideen om å tilskrive disse angrepene til nasjonalstater som aldri vil "feise opp til det, gir for mye rom for tvil, juridisk sett."
En eksistensiell trussel mot cyberforsikring?
Til Thompsons poeng er en av realitetene i dagens miljø det store volumet av statsstøttet cyberaktivitet i omløp. Bryan Cunningham, advokat og rådgivende rådsmedlem i datasikkerhetsselskapet Theon Technology, bemerker at hvis flere og flere forsikringsselskaper rett og slett nekter for alle krav som stammer fra slik aktivitet, kan det faktisk være svært få utbetalinger. Og til syvende og sist kan det hende at selskapene ikke ser cyberforsikringspremier som verdt det lenger.
"Hvis et betydelig antall dommere faktisk begynner å tillate transportører å utelukke dekning for nettangrep bare etter en påstand om at en nasjonalstat var involvert, vil dette være like ødeleggende for cyberforsikringsøkosystemet som 9/11 var (midlertidig) for kommersiell eiendom. ," han sier. "Som et resultat tror jeg ikke mange dommere vil kjøpe dette, og bevis vil i alle fall nesten alltid være vanskelig."
På en annen måte, bemerker Ilia Kolochenko, sjefsarkitekt og administrerende direktør for ImmuniWeb, at nettkriminelle vil finne en måte å bruke ekskluderingene til sin fordel - og undergrave verdien av å ha en policy enda mer.
"Problemet stammer fra en mulig etterligning av kjente cybertrusselaktører," sier han. «For eksempel, hvis nettkriminelle – uten tilknytning til noen stat – ønsker å forsterke skaden påført ofrene deres ved å ekskludere den eventuelle forsikringsdekningen, kan de rett og slett prøve å etterligne en kjent statsstøttet hackergruppe under deres inntrenging. Dette vil undergrave tilliten til cyberforsikringsmarkedet, ettersom enhver forsikring kan bli nytteløs i de mest alvorlige tilfellene som faktisk krever dekning og rettferdiggjør premiene som betales.»
Spørsmålet om ekskluderinger forblir uavklart
Selv om det amerikanske forliket Mondelez-Zürich ser ut til å indikere at forsikringsselskapet i det minste delvis klarte å gjøre poenget sitt (eller kanskje ingen av sidene hadde mage til å pådra seg ytterligere saksomkostninger), er det motstridende juridisk presedens.
En annen NotPetya-sak mellom Merck og ACE American Insurance over det samme problemet ble lagt på sengen i januar, da Superior Court of New Jersey avgjorde at krigsekskluderinger bare strekker seg til fysisk krigføring i den virkelige verden, noe som resulterte i at forsikringsgiveren betalte en haugevis av 1.4 milliarder dollar i erstatningsoppgjør.
Til tross for den urolige naturen i området, er det noen cyberforsikringsselskaper fremover med krigsekskluderinger, spesielt Lloyd er i London. I august fortalte markedsaktørene sine syndikater at de vil bli pålagt å ekskludere dekning for statsstøttede nettangrep fra og med april 2023. Ideen, bemerket notatet, er å beskytte forsikringsselskaper og deres underwriters fra katastrofale tap.
Likevel gjenstår suksess for slik politikk å se.
"Lloyd's og andre operatører jobber med å gjøre slike ekskluderinger sterkere og absolutte, men jeg tror også dette til slutt vil mislykkes fordi cyberforsikringsbransjen sannsynligvis ikke kunne overleve slike endringer lenge," sier Theon's Cunningham.
