Mondelez International, tillverkare av Oreos och Ritz Crackers, har avgjort en stämningsansökan mot sitt cyberförsäkringsbolag efter att leverantören vägrat täcka en saneringssedel på flera miljoner dollar som härrörde från den vidsträckta NotPetya ransomware-attacken 2017.
Snacksjätten ursprungligen kom med dräkten mot Zurich American Insurance redan 2018, efter att NotPetya avslutat sin globala cyberransackning av stora multinationella företag, och fallet har sedan dess varit bunden i rätten. Villkoren för affären har inte avslöjats, men en "uppgörelse" skulle indikera en kompromisslösning - som illustrerar hur svåra problem cyberförsäkringsexklusionsklausuler kan vara.
NotPetya: Act of War?
Rättegången hängde på avtalsvillkoren i cyberförsäkringen - specifikt ett undantag för skador orsakade av krigshandlingar.
NotPetya, som den amerikanska regeringen 2018 kallade den "mest destruktiva och kostsammaste cyberattacken i historien", började med att kompromissa med ukrainska mål innan de spreds globalt, vilket slutligen påverkade företag i 65 länder och kostade miljarder i skada. Det spred sig snabbt tack vare användningen av EternalBlue avmaskning utnyttja i attackkedjan, som är ett läckt NSA-vapen som gör att skadlig programvara kan spridas från system till system med hjälp av Microsoft SMB-filresurser. Anmärkningsvärda offer för attacken var bland annat FedEx, sjöfarten Maersk och läkemedelsjätten Merck.
När det gäller Mondelez låste den skadliga programvaran 1,700 24,000 av dess servrar och häpnadsväckande 100 XNUMX bärbara datorer, vilket gjorde att företaget blev arbetsoförmöget och nödgades av mer än XNUMX miljoner dollar i skador, stillestånd, förlorad vinst och saneringskostnader.
Som om det inte vore svårt nog att svälja, fann matkahuna sig snart på att kvävas av svaret från Zurich American när den lämnade in ett cyberförsäkringsanspråk: Underwritern hade ingen avsikt att täcka kostnaderna, med hänvisning till den ovannämnda uteslutningsklausulen som inkluderade språket "fientligt eller krigiskt agerande i tid av fred eller krig" av en "regering eller suverän makt".
Tack vare världsregeringarnas tillskrivning av NotPetya till den ryska staten, och attackens ursprungliga uppdrag att slå till mot en känd kinetisk motståndare till Moskva, hade Zurich American ett fall – trots att Mondelez-attacken verkligen var oavsiktlig sidoskada.
Mondelez hävdade dock att Zurich Americans kontrakt lämnade några omtvistade smulor på bordet, så att säga, med tanke på otydligheten i vad som kunde och inte kunde täckas i en attack. Specifikt angav försäkringen tydligt att den skulle täcka "alla risker för fysisk förlust eller skada" - betoning på "alla" - "på elektroniska data, program eller programvara, inklusive förlust eller skada orsakad av skadlig introduktion av en maskinkod eller instruktion.” Det är en situation som NotPetya perfekt förkroppsligar.
Caroline Thompson, chef för underwriting på Cowbell Cyber, en cyberförsäkringsleverantör för små och medelstora företag (SMB), noterar att bristen på tydlig formulering av cyberförsäkringspolisen lämnade dörren öppen för Mondelez överklagande - och bör fungera som ett varnande meddelande till andra som förhandlar om täckning.
"Omfattningen av täckningen och tillämpningen av krigsuteslutningar är fortfarande ett av de mest utmanande områdena för försäkringsbolag eftersom cyberhot fortsätter att utvecklas, företag ökar sitt beroende av digital verksamhet och geopolitiska spänningar fortsätter att ha omfattande inverkan", säger hon till Dark Läsning. "Det är ytterst viktigt för försäkringsbolag att känna till villkoren i deras policy och söka förtydliganden där det behövs, men också välja moderna cyberpolicyer som kan utvecklas och anpassas i den takt deras risker och exponeringar gör."
Krigsuteslutningar
Det finns en iögonfallande fråga i att få krigsuteslutningar att hålla fast vid cyberförsäkring: han har svårt att bevisa att attacker verkligen är "krigshandlingar" - en börda som i allmänhet kräver att man avgör på vems vägnar de utförs.
I de bästa fallen är tillskrivning mer av en konst än en vetenskap, med en skiftande uppsättning kriterier som stöder varje självsäkert fingerpekande. Grunderna för tillskrivning av avancerade persistent hot (APT) förlitar sig ofta på mycket mer än kvantifierbara teknikartefakter, eller överlappningar i infrastruktur och verktyg med kända hot.
Squishier kriterier kan innehålla aspekter som t.ex victimology (dvs. är målen förenliga med statliga intressen och politiska mål?; ämnet för socialt ingenjörskonst; kodningsspråk; nivå av sofistikering (behöver angriparen ha goda resurser? Använde de en dyr nolldag?); och motiv (är attacken inställd på spionage, destruktioneller ekonomisk vinst?). Det är också frågan om falsk flagg-operationer, där en motståndare manipulerar dessa spakar för att rama in en rival eller motståndare.
"Det som är chockerande för mig är tanken på att verifiera att dessa attacker rimligen kan tillskrivas en stat - hur?" säger Philippe Humeau, VD och medgrundare av CrowdSec. "Det är välkänt att man knappast kan spåra en hyggligt skicklig cyberkriminells verksamhetsbas, eftersom luftgapning av deras verksamhet är den första raden i deras spelbok. Två, regeringar är inte villiga att faktiskt erkänna att de ger skydd åt cyberbrottslingar i sina länder. Tre, cyberbrottslingar i många delar av världen är vanligtvis en blandning av korsarer och legosoldater, trogna vilken enhet/nationsstat som helst som finansierar dem, men helt utbyggbara och förnekbara om det någonsin finns frågor om deras tillhörighet.”
Det är därför, i avsaknad av att en regering tar ansvar för en attack a la terrorismgrupper, kommer de flesta hotunderrättelseföretag att förbehålla sig statligt sponsrad tillskrivning med fraser som "vi bestämmer med låg/måttlig/hög tillförsikt att XYZ ligger bakom attacken" och , för att starta upp kan olika företag fastställa olika källor för en given attack. Om det är så svårt för professionella cyberhotsjägare att hitta de skyldiga, föreställ dig hur svårt det är för cyberförsäkringsjusterare som arbetar med en bråkdel av kompetensen.
Om standarden för bevis på en krigshandling är bred statlig konsensus, ställer detta också till problem, säger Humeau.
"Att korrekt tillskriva attacker till nationalstater skulle kräva juridiskt samarbete mellan länder, vilket historiskt har visat sig vara både svårt och långsamt", säger Humeau. "Så idén om att tillskriva dessa attacker till nationalstater som aldrig kommer att "bejaka sig för det lämnar för mycket utrymme för tvivel, juridiskt sett."
Ett existentiellt hot mot cyberförsäkring?
Till Thompsons poäng är en av verkligheterna i dagens miljö den stora mängden statligt sponsrad cyberaktivitet i omlopp. Bryan Cunningham, advokat och rådgivande rådsmedlem på datasäkerhetsföretaget Theon Technology, noterar att om fler och fler försäkringsbolag helt enkelt förnekar alla anspråk som härrör från sådan aktivitet, kan det verkligen bli väldigt få utbetalningar. Och i slutändan kanske företag inte ser cyberförsäkringspremier som värda det längre.
"Om ett betydande antal domare faktiskt börjar tillåta operatörer att utesluta täckning för cyberattacker bara på ett påstående om att en nationalstat var inblandad, kommer detta att vara lika förödande för cyberförsäkringsekosystemet som 9/11 var (tillfälligt) för kommersiella fastigheter ," han säger. "Som ett resultat tror jag inte att många domare kommer att köpa det här, och bevis kommer i alla händelser nästan alltid att vara svårt."
I en annan riktning noterar Ilia Kolochenko, chefsarkitekt och VD för ImmuniWeb, att cyberkriminella kommer att hitta ett sätt att använda uteslutningarna till sin fördel – vilket undergräver värdet av att ha en policy ännu mer.
"Problemet härrör från en möjlig imitation av välkända cyberhotsaktörer", säger han. "Till exempel, om cyberbrottslingar – utan släktskap med någon stat – vill förstärka skadorna på sina offer genom att utesluta det eventuella försäkringsskyddet, kan de helt enkelt försöka utge sig för en berömd statsstödd hackargrupp under deras intrång. Detta kommer att undergräva förtroendet för cyberförsäkringsmarknaden, eftersom alla försäkringar kan bli meningslösa i de allvarligaste fallen som faktiskt kräver täckning och motiverar de betalda premierna."
Frågan om uteslutningar är fortfarande olöst
Även om den amerikanska uppgörelsen Mondelez-Zürich verkar tyda på att försäkringsgivaren åtminstone delvis lyckades göra sin poäng (eller kanske ingendera sidan hade mage att ådra sig ytterligare rättegångskostnader), finns det motstridiga rättsliga prejudikat.
Ett annat NotPetya-fall mellan Merck och ACE American Insurance över samma fråga lades på sängen i januari, när Superior Court i New Jersey beslutade att undantag från krigshandlingar endast sträcker sig till fysisk krigföring i verkligheten, vilket resulterade i att försäkringsgivaren betalade en enorm betalning på 1.4 miljarder dollar i skadereglering.
Trots den oroliga naturen i området är vissa cyberförsäkringsbolag det går framåt med undantag från krig, framför allt Lloyds of London. I augusti sa marknadsståndaren till sina syndikat att de kommer att behöva utesluta täckning för statsstödda cyberattacker med början i april 2023. Tanken, noterade PM, är att skydda försäkringsbolag och deras försäkringsgivare från katastrofala förluster.
Trots det återstår framgången för en sådan politik att se.
"Lloyd's och andra operatörer arbetar på att göra sådana uteslutningar starkare och absoluta, men jag tror att även detta i slutändan kommer att misslyckas eftersom cyberförsäkringsbranschen sannolikt inte skulle kunna överleva sådana förändringar länge", säger Theons Cunningham.
