Oreo Giant Mondelez урегулировал страховой иск NotPetya по делу о войне

Mondelez International, производитель Oreos и Ritz Crackers, урегулировала судебный процесс против своего киберстраховщика после того, как поставщик отказался покрыть многомиллионный счет за очистку, связанную с обширной атакой программы-вымогателя NotPetya в 2017 году.

Закусочный гигант изначально принес иск против Zurich American Insurance еще в 2018 году, после того как NotPetya завершил глобальный киберобыск крупных транснациональных корпораций, и с тех пор дело было связанный в суде. Условия сделки не разглашаются, но «урегулирование» будет означать компромиссное решение, что иллюстрирует, насколько сложными могут быть положения об исключении киберстрахования.

NotPetya: Акт войны?

Судебный процесс основывался на условиях контракта в полисе киберстрахования, в частности, на исключении для возмещения ущерба, причиненного военными действиями.

NotPetya, которую правительство США в 2018 году назвало «самой разрушительной и дорогостоящей кибератакой в ​​​​истории», сначала она скомпрометировала украинские цели, а затем распространилась по всему миру, в конечном итоге затронув компании в 65 странах и причинив ущерб в миллиарды долларов. Он быстро распространился благодаря использованию Эксплойт червя EternalBlue в цепочке атаки, которая представляет собой просочившееся оружие АНБ, которое позволяет вредоносному ПО самораспространяться от системы к системе с использованием общих файловых ресурсов Microsoft SMB. Известными жертвами атаки были FedEx, судоходный гигант Maersk, фармацевтический гигант Merck и многие другие.

В случае с Mondelez вредоносное ПО заблокировало 1,700 ее серверов и ошеломляющие 24,000 100 ноутбуков, оставив корпорацию недееспособной и потеряв более XNUMX миллионов долларов в виде убытков, простоев, упущенной выгоды и затрат на восстановление.

Как будто это было недостаточно трудно проглотить, еда кахуна вскоре обнаружила, что задыхается от ответа Zurich American, когда она подала иск о киберстраховании: андеррайтер не собирался покрывать расходы, ссылаясь на вышеупомянутую оговорку об исключении, которая включала формулировка «враждебных или военных действий в мирное или военное время» со стороны «правительства или суверенной державы».

Благодаря приписыванию правительствами мира NotPetya российскому государству и первоначальной миссии атаки по нанесению удара по известному кинетическому противнику Москвы, Цюрихский американец имел дело — несмотря на то, что атака Монделеза, безусловно, была непреднамеренным побочным ущербом.

Тем не менее, Монделез утверждал, что контракт Zurich American оставил как бы некоторые спорные крохи на столе, учитывая отсутствие ясности в том, что может и не может быть покрыто атакой. В частности, в страховом полисе четко указано, что он покрывает «все риски физической утраты или повреждения» — акцент на «всех» — «электронных данных, программ или программного обеспечения, включая потерю или ущерб, вызванные злонамеренным внедрением машинного кода». или инструкция». Эту ситуацию идеально воплощает NotPetya.

Кэролайн Томпсон, руководитель отдела андеррайтинга в Cowbell Cyber, поставщике киберстрахования для малого и среднего бизнеса (SMB), отмечает, что отсутствие четкой формулировки полиса киберстрахования оставило дверь открытой для апелляции Mondelez — и должно действовать как предостережение. другим, участвующим в переговорах о страховом покрытии.

«Объем покрытия и применение исключений из войны остаются одной из самых сложных областей для страховщиков, поскольку киберугрозы продолжают развиваться, бизнес увеличивает свою зависимость от цифровых операций, а геополитическая напряженность продолжает оказывать широкое влияние», — говорит она Dark. Чтение. «Для страховщиков крайне важно ознакомиться с условиями своей политики и при необходимости обратиться за разъяснениями, а также выбрать современные киберполитики, которые могут развиваться и адаптироваться в соответствии с их рисками и подверженностью риску».

Исключения войны

Есть одна вопиющая проблема, связанная с сохранением запрета на войну для киберстрахования: сложность в доказательстве того, что атаки действительно являются «военными действиями» — бремя, которое обычно требует определения, от чьего имени они осуществляются.

В лучшем случае атрибуция — это больше искусство, чем наука, с изменяющимся набором критериев, лежащих в основе любого уверенного указания виновных. Обоснование атрибуции сложных постоянных угроз (APT) часто основывается не только на поддающихся количественному измерению технологических артефактах или совпадениях инфраструктуры и инструментов с известными угрозами.

Более мягкие критерии могут включать такие аспекты, как виктимология (т. е. согласуются ли цели с государственными интересами и политическими целями?; предмет приманки социальной инженерии; язык кодирования; уровень сложности (нужно ли злоумышленнику иметь хорошие ресурсы? Использовал ли он дорогостоящий нулевой день?); и мотив (нападение направлено на шпионаж, уничтожениеили финансовая выгода?). Существует также проблема операции под ложным флагом, где один противник манипулирует этими рычагами, чтобы подставить соперника или противника.

«Что меня шокирует, так это идея проверки того, что эти атаки могут быть обоснованно приписаны государству — как?» — говорит Филипп Юмо, генеральный директор и соучредитель CrowdSec. «Хорошо известно, что вы вряд ли сможете отследить базу операций прилично квалифицированного киберпреступника, поскольку раскрытие информации об их операциях — первая линия их плана действий. Во-вторых, правительства не хотят признавать, что прикрывают киберпреступников в своих странах. В-третьих, киберпреступники во многих частях мира, как правило, представляют собой смесь корсаров и наемников, верных какой-либо организации/национальному государству, которые их финансируют, но полностью расширяемых и опровергаемых, если когда-либо возникнут вопросы об их принадлежности».

Вот почему, если правительство не возьмет на себя ответственность за нападение в духе террористических групп, большинство компаний, занимающихся разведкой угроз, будут предостерегать спонсируемую государством атрибуцию фразами вроде «с низкой/средней/высокой степенью уверенности мы определяем, что за атакой стоит XYZ» и Кроме того, разные фирмы могут определять разные источники для каждой данной атаки. Если профессиональным охотникам за киберугрозами так сложно найти виновных, представьте, как трудно это сделать специалистам по киберстрахованию, не обладающим необходимыми навыками.

Если стандартом доказательства акта войны является широкое правительственное согласие, это также создает проблемы, говорит Хьюмо.

«Точное приписывание атак национальным государствам потребует межстранового юридического сотрудничества, которое исторически оказалось трудным и медленным», — говорит Хьюмо. «Поэтому идея приписать эти атаки национальным государствам, которые никогда не признаются в этом, с юридической точки зрения оставляет слишком много места для сомнений».

Экзистенциальная угроза киберстрахованию?

По мнению Томпсона, одной из реалий сегодняшнего дня является огромный объем спонсируемой государством киберактивности. Брайан Каннингем, поверенный и член консультативного совета компании Theon Technology, занимающейся защитой данных, отмечает, что если все больше и больше страховых компаний будут просто отрицать все претензии, связанные с такой деятельностью, выплат действительно может быть очень мало. И, в конечном счете, компании могут больше не считать взносы по киберстрахованию оправданными.

«Если значительное количество судей действительно начнет разрешать операторам связи исключать покрытие кибератак только на основании заявления о причастности национального государства, это будет столь же разрушительным для экосистемы киберстрахования, как 9 сентября (временно) для коммерческой недвижимости. ," он говорит. «В результате, я не думаю, что многие судьи купятся на это, и доказательство в любом случае почти всегда будет трудным».

В другом ключе Илья Колоченко, главный архитектор и генеральный директор ImmuniWeb, отмечает, что киберпреступники найдут способ использовать исключения в своих интересах, еще больше подорвав ценность политики.

«Проблема связана с возможным выдачей себя за известных участников киберугроз», — говорит он. «Например, если киберпреступники, не связанные с каким-либо государством, захотят увеличить ущерб, нанесенный их жертвам, исключив возможное страховое покрытие, они могут просто попытаться выдать себя за известную поддерживаемую государством хакерскую группу во время своего вторжения. Это подорвет доверие к рынку киберстрахования, поскольку любая страховка может стать бесполезной в самых серьезных случаях, которые действительно требуют покрытия и оправдывают уплаченные премии».

Вопрос об исключениях остается нерешенным

Несмотря на то, что американское урегулирование Mondelez-Zurich, казалось бы, указывает на то, что страховая компания преуспела, по крайней мере частично, в отстаивании своей точки зрения (или, возможно, ни одна из сторон не решалась нести дополнительные судебные издержки), существует противоречивый юридический прецедент.

Очередной случай NotPetya между Merck и ACE American Insurance тот же вопрос был решен в январе, когда Верховный суд Нью-Джерси постановил, что исключения из акта войны распространяются только на реальную физическую войну, в результате чего андеррайтер выплатил огромную сумму в размере 1.4 миллиарда долларов в счет урегулирования претензий.

Несмотря на неспокойный характер района, некоторые киберстраховщики идти вперед с исключением войны, в первую очередь Ллойд из Лондона. В августе стойкий приверженец рынка сообщил своим синдикатам, что они должны будут исключить покрытие кибератак, поддерживаемых государством, начиная с апреля 2023 года. В меморандуме отмечается, что идея состоит в том, чтобы защитить страховые компании и их страховщиков от катастрофических потерь.

Тем не менее, успех такой политики еще предстоит увидеть.

«Lloyd's и другие операторы работают над тем, чтобы сделать такие исключения более сильными и абсолютными, но я думаю, что это тоже в конечном итоге потерпит неудачу, потому что индустрия киберстрахования, вероятно, не сможет долго выдерживать такие изменения», — говорит Каннингем из Theon.