Mondelez International, proizvajalec Oreos in Ritz Crackers, je sklenil poravnavo v tožbi proti svoji kibernetski zavarovalnici, potem ko je ponudnik zavrnil kritje večmilijonskega računa za čiščenje, ki izhaja iz obsežnega napada izsiljevalske programske opreme NotPetya leta 2017.
Prvotno velikan prigrizkov prinesel obleko proti Zurich American Insurance že leta 2018, potem ko je NotPetya zaključil svoje globalno kibernetsko pretresanje večjih multinacionalnih korporacij, in primer je bil od takrat zvezan na sodišču. Pogoji dogovora niso bili razkriti, vendar bi "poravnava" pomenila kompromisno rešitev - kar ponazarja, kako kočljivo vprašanje so lahko klavzule o izključitvi kibernetskega zavarovanja.
NotPetya: Vojno dejanje?
Tožba je bila odvisna od pogodbenih pogojev v kibernetski zavarovalni polici - natančneje, izločitev izključitve za škodo, povzročeno zaradi vojnih dejanj.
NePetja, ki ga je ameriška vlada leta 2018 označila za »najbolj uničujoč in najdražji kibernetski napad v zgodovini«, se je začel kot ogrožanje ukrajinskih tarč, preden se je razširil po vsem svetu, na koncu prizadel podjetja v 65 državah in povzročil milijarde škode. Hitro se je razširil zaradi uporabe Izkoriščanje črvov EternalBlue v verigi napadov, ki je razkrito orožje NSA, ki omogoča, da se zlonamerna programska oprema samoširi iz sistema v sistem z uporabo Microsoftovih skupnih rab datotek SMB. Pomembne žrtve napada so bile med mnogimi drugimi FedEx, ladijski velikan Maersk in farmacevtski velikan Merck.
V primeru Mondeleza je zlonamerna programska oprema zaklenila 1,700 njegovih strežnikov in osupljivih 24,000 prenosnih računalnikov, zaradi česar je bila korporacija onesposobljena in se je spopadala z več kot 100 milijoni dolarjev škode, izpadov, izgubljenega dobička in stroškov sanacije.
Kot da to ne bi bilo dovolj težko pogoltniti, se je hrana kahuna kmalu zadušila zaradi odgovora Zurich Americana, ko je vložila zahtevek za kibernetsko zavarovanje: Zavarovalnica ni imela namena kriti stroškov, pri čemer se je sklicevala na zgoraj omenjeno klavzulo o izključitvi, ki je vključevala jezik "sovražno ali vojno delovanje v času miru ali vojne" s strani "vlade ali suverene oblasti".
Zahvaljujoč temu, da so svetovne vlade NotPetyo pripisale ruski državi, in prvotni nalogi napada, da bi udaril po znanem kinetičnem nasprotniku Moskve, je imel Zurich American primer – kljub dejstvu, da je bil napad Mondeleza zagotovo nenamerna kolateralna škoda.
Vendar pa je Mondelez trdil, da je pogodba Zurich American pustila nekaj spornih drobtinic na mizi, tako rekoč, glede na pomanjkanje jasnosti glede tega, kaj bi lahko in česa ne bilo zajeto v napadu. Natančneje, zavarovalna polica je jasno navedla, da bo krila "vsa tveganja fizične izgube ali škode" - s poudarkom na "vseh" - "elektronskih podatkov, programov ali programske opreme, vključno z izgubo ali škodo, ki jo povzroči zlonamerna vnos strojne kode ali navodilo." To je situacija, ki jo NotPetya odlično uteleša.
Caroline Thompson, vodja zavarovanja pri Cowbell Cyber, ponudniku kibernetskega zavarovanja za mala in srednje velika podjetja (SMB), ugotavlja, da je pomanjkanje jasnega besedila police kibernetskega zavarovanja pustilo odprta vrata za pritožbo Mondeleza – in bi moralo delovati kot opozorilno sporočilo drugim, ki se pogajajo o kritju.
»Obseg kritja in uporaba vojnih izključitev ostajata eno najzahtevnejših področij za zavarovalnice, saj se kibernetske grožnje še naprej razvijajo, podjetja povečujejo svojo odvisnost od digitalnih operacij, geopolitične napetosti pa imajo še vedno širok vpliv,« je povedala Darku. Branje. "Za zavarovalnice je najpomembnejše, da so seznanjeni s pogoji svoje politike in po potrebi poiščejo pojasnila, vendar se tudi odločijo za sodobne kibernetske politike, ki se lahko razvijajo in prilagajajo s hitrostjo svojih tveganj in izpostavljenosti."
Vojne izključitve
Obstaja ena očitna težava pri uveljavitvi vojnih izključitev za kibernetsko zavarovanje: težave pri dokazovanju, da so napadi res »vojna dejanja« – breme, ki na splošno zahteva določitev, v čigavem imenu se izvajajo.
V najboljših primerih je pripisovanje bolj umetnost kot znanost, s spreminjajočim se nizom meril, ki podpirajo vsako samozavestno kazanje s prstom. Utemeljitve za pripisovanje naprednih trajnih groženj (APT) se pogosto zanašajo na veliko več kot le na merljive tehnološke artefakte ali prekrivanja v infrastrukturi in orodjih z znanimi grožnjami.
Merila Squishier lahko vključujejo vidike, kot so viktimologija (tj. ali so cilji skladni z državnimi interesi in političnimi cilji?; predmet vabe družbenega inženiringa; kodirni jezik; stopnja izpopolnjenosti (ali mora imeti napadalec dobre vire? Ali je uporabil drag ničelni dan?); in motiv (ali je napad usmerjen vohunjenja, uničenje, ali finančni dobiček?). Obstaja tudi vprašanje operacije pod lažno zastavo, kjer en nasprotnik manipulira s temi vzvodi, da oblikuje tekmeca ali nasprotnika.
"Zame je šokantna ideja o preverjanju, ali je te napade mogoče razumno pripisati državi - kako?" pravi Philippe Humeau, izvršni direktor in soustanovitelj CrowdSec. »Dobro znano je, da skoraj ne morete izslediti bazo delovanja dostojno usposobljenega kiberkriminalca, saj je zračna reža za njihove operacije prva vrstica njihovega načrta. Drugič, vlade niso pripravljene dejansko priznati, da kibernetskim kriminalcem v svojih državah nudijo kritje. Tretjič, kibernetski kriminalci v mnogih delih sveta so običajno nekakšna mešanica korzarjev in plačancev, zvesti kateri koli entiteti/državi, ki jih morda financira, a popolnoma razširljivi in zanikajoči, če se kdaj pojavijo vprašanja o njihovi pripadnosti.«
Zato bo večina podjetij za obveščanje o grožnjah, če vlada ne bo prevzela odgovornosti za napad v skladu s terorističnimi skupinami, opozorila na pripisovanje, ki ga sponzorira država, s stavki, kot so: »z nizko/zmerno/visoko zanesljivostjo ugotavljamo, da za napadom stoji XYZ« in Poleg tega lahko različna podjetja določijo različne vire za kateri koli napad. Če je profesionalnim lovcem na kibernetske grožnje tako težko odkriti krivce, si predstavljajte, kako težko je prilagoditeljem kibernetskih zavarovanj, ki delujejo z le delčkom znanja.
Če je standard za dokazovanje vojnega dejanja široko vladno soglasje, tudi to povzroča težave, pravi Humeau.
»Natančno pripisovanje napadov nacionalnim državam bi zahtevalo meddržavno pravno sodelovanje, ki se je v zgodovini izkazalo za težko in počasno,« pravi Humeau. "Zamisel o pripisovanju teh napadov nacionalnim državam, ki tega nikoli ne bodo priznale, pušča preveč dvoma, pravno gledano."
Eksistencialna grožnja kibernetskemu zavarovanju?
Po Thompsonovem mnenju je ena od realnosti današnjega okolja velik obseg kibernetske dejavnosti, ki jo sponzorira država. Bryan Cunningham, odvetnik in član svetovalnega sveta pri družbi za varnost podatkov Theon Technology, ugotavlja, da če bo vedno več zavarovalnic preprosto zavrnilo vse zahtevke, ki izhajajo iz takšne dejavnosti, bo izplačil res zelo malo. In navsezadnje se podjetjem premije kibernetskega zavarovanja morda ne bodo več splačale.
»Če bo precejšnje število sodnikov dejansko začelo dovoljevati prevoznikom, da izključijo kritje za kibernetske napade samo na podlagi trditve, da je bila vpletena nacionalna država, bo to tako uničujoče za ekosistem kibernetskega zavarovanja, kot je bil 9. september (začasno) za poslovne nepremičnine ," on reče. "Posledično mislim, da veliko sodnikov tega ne bo sprejelo, dokazovanje pa bo v vsakem primeru skoraj vedno težko."
Drugače pa Ilia Kolochenko, glavni arhitekt in izvršni direktor ImmuniWeb, ugotavlja, da bodo kibernetski kriminalci našli način, kako uporabiti izključitve v svojo korist – s čimer bodo še bolj zmanjšali vrednost politike.
"Težava izvira iz morebitnega lažnega predstavljanja dobro znanih akterjev kibernetske grožnje," pravi. »Na primer, če kibernetski kriminalci – ki niso povezani z nobeno državo – želijo povečati škodo, povzročeno svojim žrtvam, z izključitvijo morebitnega zavarovalnega kritja, se lahko med svojim vdorom preprosto poskušajo predstavljati kot znana hekerska skupina, ki jo podpira država. To bo spodkopalo zaupanje v kibernetski zavarovalniški trg, saj lahko vsako zavarovanje postane zaman v najresnejših primerih, ki dejansko zahtevajo kritje in upravičujejo plačane premije.«
Vprašanje izključitev ostaja nerešeno
Čeprav se zdi, da ameriška poravnava Mondelez-Zurich nakazuje, da je zavarovalnica vsaj delno uspela uveljaviti svoje stališče (ali pa morda nobena stran ni imela volje za dodatne pravne stroške), obstaja nasprotujoč si pravni precedens.
Še en primer NotPetya med Merck in ACE American Insurance o istem vprašanju je bilo položeno v posteljo januarja, ko je višje sodišče v New Jerseyju razsodilo, da se izključitve vojnega dejanja nanašajo samo na fizično vojno v resničnem svetu, kar je povzročilo, da je zavarovalnica plačala kupnino 1.4 milijarde dolarjev za poravnavo zahtevkov.
Kljub neurejeni naravi tega območja so nekatere kibernetske zavarovalnice gredo naprej z vojnimi izključitvami, predvsem Lloyd's iz Londona. Avgusta je vztrajni na trgu svojim sindikatom povedal, da bodo morali od aprila 2023 izključiti kritje kibernetskih napadov, ki jih podpira država. Zamisel, kot je navedeno v memorandumu, je zaščititi zavarovalnice in njihove zavarovalce pred katastrofalnimi izgubami.
Kljub temu bomo uspeh takih politik še videli.
"Lloyd's in drugi prevozniki si prizadevajo, da bi takšne izključitve postale močnejše in absolutne, vendar menim, da bo tudi to na koncu spodletelo, ker kibernetska zavarovalniška industrija verjetno ne bi mogla dolgo preživeti takšnih sprememb," pravi Cunningham iz Theona.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
