Oreo Giant Mondelez rozlicza się z ubezpieczenia NotPetya „Act of War”

Mondelez International, producent Oreos i Ritz Crackers, zakończył proces sądowy przeciwko swojemu ubezpieczycielowi cybernetycznemu po tym, jak dostawca odmówił pokrycia wielomilionowego rachunku za sprzątanie w wyniku rozległego ataku ransomware NotPetya w 2017 roku.

Gigant przekąsek pierwotnie przyniósł garnitur przeciwko Zurich American Insurance w 2018 r., po tym, jak NotPetya zakończyła globalne cyberprzeszukiwanie największych międzynarodowych korporacji. związany w sądzie. Warunki umowy nie zostały ujawnione, ale „ugoda” wskazywałaby na rozwiązanie kompromisowe – ilustrujące, jak drażliwe mogą być klauzule wykluczające cyberubezpieczenie.

NotPetya: Akt wojny?

Pozew opierał się na warunkach umowy zawartych w polisie ubezpieczenia cybernetycznego, a konkretnie na wyłączeniu z tytułu szkód spowodowanych działaniami wojennymi.

NotPetya, który rząd USA w 2018 roku nazwał „najbardziej destrukcyjnym i najkosztowniejszym cyberatakiem w historii”, zaczynał od kompromitowania celów ukraińskich, zanim rozprzestrzenił się na cały świat, ostatecznie wpływając na firmy w 65 krajach i kosztując miliardy strat. Szybko się rozprzestrzenia dzięki zastosowaniu Exploit EternalBlue w łańcuchu ataków, który jest nieszczelną bronią NSA, która umożliwia samodzielną propagację złośliwego oprogramowania z systemu do systemu przy użyciu udziałów plików Microsoft SMB. Znaczącymi ofiarami ataku byli między innymi FedEx, transportowiec Maersk i gigant farmaceutyczny Merck.

W przypadku Mondeleza złośliwe oprogramowanie zablokowało 1,700 serwerów i oszałamiające 24,000 100 laptopów, pozostawiając korporację ubezwłasnowolnioną i obciążoną ponad XNUMX milionami dolarów w postaci szkód, przestojów, utraconych zysków i kosztów naprawy.

Jakby to nie było wystarczająco trudne do przełknięcia, kahuna żywności wkrótce zakrztusiła się odpowiedzią z Zurich American, kiedy złożył wniosek o ubezpieczenie cybernetyczne: ubezpieczyciel nie miał zamiaru pokrywać kosztów, powołując się na wspomnianą klauzulę wykluczenia, która obejmowała język „wrogie lub wojenne działania w czasie pokoju lub wojny” ze strony „rządu lub suwerennej władzy”.

Dzięki przypisaniu przez rządy światowe NotPetya państwu rosyjskiemu i pierwotnej misji ataku polegającej na uderzeniu w znanego przeciwnika kinetycznego Moskwy, Zurich American miała sprawę – pomimo faktu, że atak Mondeleza był z pewnością niezamierzonym uszkodzeniem ubocznym.

Jednak Mondelez argumentował, że kontrakt Zurich American pozostawił na stole niejako sporne okruchy, biorąc pod uwagę brak jasności co do tego, co może, a co nie może być pokryte w ataku. W szczególności polisa ubezpieczeniowa jasno określała, że ​​pokryje „wszelkie ryzyko fizycznej utraty lub uszkodzenia” — nacisk na „wszystkie” — „dane elektroniczne, programy lub oprogramowanie, w tym straty lub szkody spowodowane złośliwym wprowadzeniem kodu maszynowego lub instrukcje”. To sytuacja, którą doskonale uosabia NotPetya.

Caroline Thompson, szefowa underwritingu w Cowbell Cyber, dostawcy ubezpieczeń cybernetycznych dla małych i średnich firm (MŚP), zauważa, że ​​brak jasnego sformułowania polisy ubezpieczenia cybernetycznego pozostawił otwarte drzwi dla odwołania Mondeleza – i powinien działać jako komunikat ostrzegawczy innym negocjującym zasięg.

„Zakres ubezpieczenia i stosowanie wykluczeń wojennych pozostaje jednym z najtrudniejszych obszarów dla ubezpieczycieli, ponieważ cyberzagrożenia wciąż ewoluują, firmy zwiększają swoją zależność od operacji cyfrowych, a napięcia geopolityczne nadal mają szeroki wpływ”, mówi Darkowi. Czytanie. „Najważniejsze jest, aby ubezpieczyciele zapoznali się z warunkami swojej polisy i szukali wyjaśnień w razie potrzeby, ale także wybrali nowoczesne polityki cybernetyczne, które mogą ewoluować i dostosowywać się w tempie ich ryzyka i narażenia”.

Wykluczenia wojenne

Jest jeden rażący problem, aby wykluczenia wojny były stosowane w ubezpieczeniach cybernetycznych: trudno mu udowodnić, że ataki są rzeczywiście „aktami wojny” – obciążeniem, które zazwyczaj wymaga ustalenia, w czyim imieniu są przeprowadzane.

W najlepszym przypadku atrybucja jest bardziej sztuką niż nauką, ze zmiennym zestawem kryteriów leżących u podstaw każdego pewnego wskazania palcem. Uzasadnienie atrybucji zaawansowanych trwałych zagrożeń (APT) często opiera się na znacznie więcej niż wymiernych artefaktach technologicznych lub na nakładaniu się infrastruktury i narzędzi ze znanymi zagrożeniami.

Kryteria Squishier mogą obejmować takie aspekty, jak: wiktymologia (tj. czy cele są zgodne z interesami państwa i celami polityki?; przedmiot: przynęty socjotechniczne; język kodowania; poziom zaawansowania (czy atakujący musi mieć dobre zasoby? Czy użył drogiego dnia zerowego?); i motyw (czy nastawiony jest atak? szpiegostwo, zniszczenielub zysk finansowy?). Jest też kwestia operacje fałszywej flagi, gdzie jeden przeciwnik manipuluje tymi dźwigniami, aby wrobić rywala lub przeciwnika.

„Co jest dla mnie szokujące, to pomysł sprawdzenia, czy te ataki można racjonalnie przypisać państwu – w jaki sposób?” mówi Philippe Humeau, dyrektor generalny i współzałożyciel CrowdSec. „Dobrze wiadomo, że z trudem można wyśledzić bazę operacyjną przyzwoicie wykwalifikowanego cyberprzestępcy, ponieważ przerwanie w powietrzu ich operacji jest pierwszym wierszem ich poradnika. Po drugie, rządy nie chcą przyznać, że faktycznie chronią cyberprzestępców w swoich krajach. Po trzecie, cyberprzestępcy w wielu częściach świata są zazwyczaj mieszanką korsarzy i najemników, wiernych wszelkiemu podmiotowi/państwu narodowemu, który ich finansuje, ale całkowicie rozszerzalnym i możliwym do zaprzeczenia, jeśli kiedykolwiek pojawią się pytania dotyczące ich przynależności.

Dlatego też, jeśli rząd nie bierze odpowiedzialności za ataki a la grup terrorystycznych, większość firm zajmujących się wywiadem ds. zagrożeń będzie ograniczać atrybucję sponsorowaną przez państwo za pomocą zwrotów takich jak „z niskim/umiarkowanym/wysokim przekonaniem stwierdzamy, że za atakiem stoi XYZ” oraz , na przykład, różne firmy mogą określać różne źródła danego ataku. Jeśli profesjonalnym łowcom cyberzagrożeń trudno jest zidentyfikować winowajców, wyobraź sobie, jak trudno jest to zrobić likwidatorom cyberubezpieczeń, którzy posiadają ułamek umiejętności.

Jeśli standardem dowodu aktu wojny jest szeroki konsensus rządowy, to również stwarza problemy, mówi Humeau.

„Dokładne przypisanie ataków państwom narodowym wymagałoby międzynarodowej współpracy prawnej, która historycznie okazała się zarówno trudna, jak i powolna”, mówi Humeau. „Więc pomysł przypisania tych ataków państwom narodowym, które nigdy się do tego nie przyznają, z prawnego punktu widzenia pozostawia zbyt wiele wątpliwości”.

Egzystencjalne zagrożenie dla ubezpieczenia cybernetycznego?

Według Thompsona jedną z rzeczywistości w dzisiejszym środowisku jest ogromna ilość sponsorowanej przez państwo cyberaktywności w obiegu. Bryan Cunningham, adwokat i członek rady doradczej w firmie zajmującej się bezpieczeństwem danych Theon Technology, zauważa, że ​​jeśli coraz więcej ubezpieczycieli po prostu odrzuca wszelkie roszczenia wynikające z takiej działalności, może być bardzo niewiele wypłat. I ostatecznie firmy mogą nie uważać, że składki na cyber-ubezpieczenie są tego warte.

„Jeśli znaczna liczba sędziów zacznie zezwalać przewoźnikom na wykluczanie pokrycia cyberatakami tylko po stwierdzeniu, że w grę wchodziło państwo narodowe, będzie to tak samo niszczycielskie dla ekosystemu ubezpieczeń cybernetycznych, jak 9 września (tymczasowo) dla nieruchomości komercyjnych ," on mówi. „W rezultacie nie sądzę, aby wielu sędziów to kupiło, a dowód w każdym razie prawie zawsze będzie trudny”.

W innym tonie Ilia Kolochenko, główny architekt i dyrektor generalny ImmuniWeb, zauważa, że ​​cyberprzestępcy znajdą sposób na wykorzystanie wyłączeń na swoją korzyść – jeszcze bardziej podcinając wartość posiadania polityki.

„Problem wynika z możliwości podszywania się pod dobrze znanych aktorów cyberzagrożeń” – mówi. „Na przykład, jeśli cyberprzestępcy – niezwiązani z żadnym stanem – chcą zwiększyć szkody wyrządzone swoim ofiarom poprzez wykluczenie ewentualnej ochrony ubezpieczeniowej, mogą po prostu próbować podszyć się pod słynną wspieraną przez państwo grupę hakerską podczas swojego włamania. Podważy to zaufanie do rynku cyberubezpieczeń, ponieważ każde ubezpieczenie może okazać się daremne w najpoważniejszych przypadkach, które faktycznie wymagają pokrycia i uzasadniają opłacane składki.”

Kwestia wykluczeń pozostaje nierozstrzygnięta

Nawet jeśli amerykańska ugoda Mondelez-Zurich wydaje się wskazywać, że ubezpieczycielowi udało się przynajmniej częściowo przedstawić swoje stanowisko (lub być może żadna ze stron nie miała ochoty ponosić dalszych kosztów prawnych), istnieje sprzeczny precedens prawny.

Kolejna sprawa NotPetya między Merck i ACE American Insurance ta sama sprawa została położona w styczniu, kiedy Sąd Najwyższy w New Jersey orzekł, że akt wykluczenia wojennego obejmuje tylko wojnę fizyczną w świecie rzeczywistym, co spowodowało, że ubezpieczyciel zapłacił sumę 1.4 miliarda dolarów tytułem odszkodowania.

Pomimo niespokojnego charakteru tego obszaru, niektórzy cyberubezpieczyciele są iść naprzód przede wszystkim z wykluczeniami wojennymi Lloyd's of London. W sierpniu niezłomny rynek powiedział swoim syndykatom, że będą one zobowiązane do wyłączenia ochrony przed cyberatakami wspieranymi przez państwo, począwszy od kwietnia 2023 r. Ideą, jak zauważono w notatce, jest ochrona firm ubezpieczeniowych i ich ubezpieczycieli przed katastrofalnymi stratami.

Mimo to, sukces takiej polityki dopiero się okaże.

„Lloyd's i inni przewoźnicy pracują nad tym, aby takie wykluczenia były silniejsze i absolutne, ale myślę, że to również ostatecznie zakończy się niepowodzeniem, ponieważ branża ubezpieczeń cybernetycznych prawdopodobnie nie byłaby w stanie długo przetrwać takich zmian”, mówi Cunningham z Theon.