Oreo Giant Mondelez rezolvă procesul de asigurare NotPetya „Act of War”.

Mondelez International, producătorul Oreos și Ritz Crackers, a soluționat un proces împotriva asigurătorului său cibernetic, după ce furnizorul a refuzat să acopere o factură de curățenie de mai multe milioane de dolari ca urmare a atacului de ransomware NotPetya în 2017.

Gigantul gustărilor inițial adus costumul împotriva Zurich American Insurance în 2018, după ce NotPetya a finalizat atacul cibernetic global al marilor corporații multinaționale, iar cazul a fost de atunci legat în instanță. Termenii acordului nu au fost dezvăluiți, dar o „înțelegere” ar indica o soluție de compromis – ilustrând cât de spinoase pot fi o problemă clauzele de excludere a asigurărilor cibernetice.

NotPetya: Act de război?

Procesul s-a bazat pe termenii contractului din polița de asigurare cibernetică - în special, o excludere a daunelor cauzate de acte de război.

NotPetya, pe care guvernul SUA l-a numit în 2018 „cel mai distructiv și mai costisitor atac cibernetic din istorie”, a început ca a compromite ținte ucrainene înainte de a se răspândi la nivel global, impactând în cele din urmă companiile din 65 de țări și costând miliarde de daune. S-a răspândit rapid datorită utilizării Exploata de vierme EternalBlue în lanțul de atac, care este o armă NSA scursă care permite malware-ului să se propagă singur de la sistem la sistem folosind partajări de fișiere Microsoft SMB. Printre victimele importante ale atacului se numără FedEx, gigantul farmaceutic Maersk și gigantul farmaceutic Merck, printre mulți alții.

În cazul Mondelez, malware-ul a blocat 1,700 dintre serverele sale și 24,000 de laptop-uri uimitoare, lăsând corporația în incapacitate și scăpat de peste 100 de milioane de dolari în daune, timpi de nefuncționare, profituri pierdute și costuri de remediere.

De parcă nu ar fi fost suficient de greu de înghițit, alimentatorul s-a trezit în curând sufocându-se de răspunsul Zurich American când a depus o cerere de asigurare cibernetică: asiguratorul nu avea intenția de a acoperi costurile, invocând clauza de excludere menționată mai sus, care includea limbaj „acțiune ostilă sau războinică în timp de pace sau de război” de către un „guvern sau putere suverană”.

Datorită atribuirii lui NotPetya de către guvernele lumii statului rus și misiunii inițiale a atacului de a lovi un adversar cinetic cunoscut al Moscovei, Zurich American a avut un caz - în ciuda faptului că atacul Mondelez a fost cu siguranță daune colaterale neintenționate.

Cu toate acestea, Mondelez a susținut că contractul lui Zurich American a lăsat pe masă niște firimituri disputate, așa cum ar fi, având în vedere lipsa de claritate în ceea ce ar putea și nu putea fi acoperit într-un atac. Mai exact, polița de asigurare a precizat în mod clar că ar acoperi „toate riscurile de pierdere sau deteriorare fizică” - accent pe „toate” - „la date electronice, programe sau software, inclusiv pierderea sau daunele cauzate de introducerea rău intenționată a unui cod de mașină. sau instrucție.” Este o situație pe care NotPetya o întruchipează perfect.

Caroline Thompson, șefa de subscriere la Cowbell Cyber, un furnizor de asigurări cibernetice pentru întreprinderile mici și mijlocii (IMM), observă că lipsa unei formulări clare a poliței de asigurare cibernetică a lăsat ușa deschisă pentru apelul lui Mondelez - și ar trebui să acționeze ca un mesaj de avertizare. altora care negociază acoperirea.

„Sfera de acoperire și aplicarea excluderilor de război rămâne una dintre cele mai dificile domenii pentru asigurători, deoarece amenințările cibernetice continuă să evolueze, întreprinderile își cresc dependența de operațiunile digitale, iar tensiunile geopolitice continuă să aibă un impact larg răspândit”, a spus ea pentru Dark. Citind. „Este esențial ca asigurătorii să fie familiarizați cu termenii poliței lor și să caute clarificări acolo unde este necesar, dar să opteze și pentru politicile cibernetice moderne care pot evolua și se pot adapta în ritmul riscului și expunerilor lor.”

Excluderi de război

Există o problemă flagrantă în a face excluderile de război să rămână pentru asigurările cibernetice: dificultatea de a dovedi că atacurile sunt într-adevăr „acte de război” – o povară care necesită, în general, să se determine în numele cui sunt efectuate.

În cele mai bune cazuri, atribuirea este mai mult o artă decât o știință, cu un set schimbător de criterii care stau la baza oricărei arătări încrezătoare cu degetul. Motivele pentru atribuirea amenințărilor persistente avansate (APT) se bazează adesea pe mult mai mult decât artefacte tehnologice cuantificabile sau suprapuneri în infrastructură și instrumente cu amenințări cunoscute.

Criteriile squishier pot include aspecte precum victimologie (adică, sunt țintele în concordanță cu interesele statului și obiectivele politicii?; subiectul momeli de inginerie socială; limbaj de codare; nivelul de sofisticare (are nevoie ca atacatorul să aibă resurse adecvate? Au folosit o zi zero scumpă?); și motivul (este îndreptat spre atac spionaj, distrugere, sau câștig financiar?). Mai este și problema operațiuni de fals flag, unde un adversar manipulează aceste pârghii pentru a încadra un rival sau un adversar.

„Ceea ce este șocant pentru mine este ideea de a verifica că aceste atacuri pot fi atribuite în mod rezonabil unui stat – cum?” spune Philippe Humeau, CEO și co-fondator al CrowdSec. „Este bine cunoscut faptul că cu greu poți urmări baza de operațiuni a unui criminal cibernetic decent calificat, deoarece întreruperea operațiunilor lor este prima linie a manualului lor. În al doilea rând, guvernele nu sunt dispuse să admită că oferă acoperire infractorilor cibernetici din țările lor. În al treilea rând, infractorii cibernetici din multe părți ale lumii sunt de obicei un amestec de corsari și mercenari, fideli oricărei entități/stat-națiune care îi finanțează, dar complet extensibili și refuzați dacă există vreodată întrebări despre afilierea lor.”

De aceea, în absența unui guvern care își asumă responsabilitatea pentru un atac la nivelul grupurilor teroriste, majoritatea firmelor de informații despre amenințări vor avertiza atribuirea sponsorizată de stat cu expresii de genul „determinăm cu încredere scăzută/moderată/mai mare că XYZ este în spatele atacului” și , pentru a porni, diferite firme pot determina surse diferite pentru orice atac dat. Dacă este atât de dificil pentru vânătorii de amenințări cibernetice profesioniști să identifice vinovații, imaginați-vă cât de dificil este pentru ajustatorii de asigurări cibernetice care operează cu o fracțiune din competențe.

Dacă standardul pentru dovada unui act de război este un consens guvernamental larg, acest lucru pune, de asemenea, probleme, spune Humeau.

„Atribuirea cu acuratețe a atacurilor statelor naționale ar necesita o cooperare juridică între țări, care sa dovedit istoric a fi atât dificilă, cât și lentă”, spune Humeau. „Așadar, ideea de a atribui aceste atacuri unor state-națiune care nu vor „mărturisi niciodată” lasă prea mult loc de îndoială, din punct de vedere juridic.”

O amenințare existențială la adresa asigurărilor cibernetice?

În opinia lui Thompson, una dintre realitățile din mediul actual este volumul mare de activități cibernetice sponsorizate de stat în circulație. Bryan Cunningham, avocat și membru al consiliului consultativ la compania de securitate a datelor Theon Technology, observă că, dacă tot mai mulți asigurători pur și simplu neagă toate pretențiile care decurg dintr-o astfel de activitate, ar putea exista într-adevăr foarte puține plăți. Și, în cele din urmă, companiile s-ar putea să nu mai considere că primele de asigurare cibernetică merită.

„Dacă un număr semnificativ de judecători încep să permită transportatorilor să excludă acoperirea atacurilor cibernetice doar la afirmația că un stat național a fost implicat, acest lucru va fi la fel de devastator pentru ecosistemul de asigurări cibernetice precum a fost (temporar) 9 septembrie pentru imobiliare comercială. ," el spune. „Ca urmare, nu cred că mulți judecători vor cumpăra asta și, în orice caz, dovezile vor fi aproape întotdeauna dificile.”

Într-o altă ordine de idei, Ilia Kolochenko, arhitect șef și CEO al ImmuniWeb, observă că infractorii cibernetici vor găsi o modalitate de a folosi excluderile în avantajul lor - subcogând și mai mult valoarea de a avea o politică.

„Problema provine dintr-o posibilă uzurpare a identității unor actori cunoscuți ai amenințărilor cibernetice”, spune el. „De exemplu, dacă infractorii cibernetici – fără legătură cu niciun stat – doresc să amplifice daunele cauzate victimelor lor prin excluderea eventualei acoperiri de asigurare, ei pot încerca pur și simplu să se uite la un grup celebru de hacking susținut de stat în timpul intruziunii lor. Acest lucru va submina încrederea în piața asigurărilor cibernetice, deoarece orice asigurare poate deveni inutilă în cazurile cele mai grave care necesită de fapt acoperirea și justifică primele plătite.”

Problema excluderilor rămâne nerezolvată

Chiar dacă acordul american Mondelez-Zurich ar părea să indice că asigurătorul a reușit să-și spună cel puțin parțial punctul de vedere (sau poate că niciuna dintre părți nu a avut stomacul să suporte alte costuri juridice), există un precedent legal contradictoriu.

Un alt caz NotPetya între Merck și ACE American Insurance cu privire la aceeași problemă a fost pus la culcare în ianuarie, când Curtea Superioară din New Jersey a decis că excluderile actului de război se extind doar la războiul fizic din lumea reală, ceea ce a dus la asigurarea plătirii unei sume de 1.4 miliarde de dolari din soluționarea daunelor.

În ciuda naturii nestabilite a zonei, unii asigurători cibernetici sunt mergand inainte cu excluderi de război, mai ales Lloyd's din Londra. În august, piața le-a spus sindicatelor că li se va cere să excludă acoperirea atacurilor cibernetice susținute de stat începând din aprilie 2023. Ideea, se menționează în nota, este de a proteja companiile de asigurări și subscriitorii lor de pierderi catastrofale.

Chiar și așa, succesul pentru astfel de politici rămâne de văzut.

„Lloyd’s și alți operatori de transport lucrează pentru a face astfel de excluderi mai puternice și mai absolute, dar cred că și acest lucru va eșua în cele din urmă, deoarece industria asigurărilor cibernetice probabil nu ar putea supraviețui unor astfel de schimbări pentru mult timp”, spune Cunningham lui Theon.