Mondelez International ผู้ผลิต Oreos และ Ritz Crackers ได้ตัดสินคดีกับ บริษัท ประกันในโลกไซเบอร์หลังจากที่ผู้ให้บริการปฏิเสธที่จะครอบคลุมการเรียกเก็บเงินค่าทำความสะอาดหลายล้านดอลลาร์อันเนื่องมาจากการโจมตี NotPetya ransomware ที่แผ่กิ่งก้านสาขาในปี 2017
เดิมทีขนมยักษ์ นำสูท กับ Zurich American Insurance ย้อนกลับไปในปี 2018 หลังจากที่ NotPetya ได้เสร็จสิ้นการบุกค้นทางไซเบอร์ของบริษัทข้ามชาติรายใหญ่ทั่วโลก และคดีนี้ก็เกิดขึ้นตั้งแต่นั้นเป็นต้นมา ผูกมัดในศาล. เงื่อนไขของข้อตกลงยังไม่ได้รับการเปิดเผย แต่ "ข้อตกลง" จะบ่งบอกถึงการแก้ปัญหาการประนีประนอม - แสดงให้เห็นว่าประโยคการยกเว้นการประกันภัยทางไซเบอร์ที่เป็นปัญหานั้นยุ่งยากเพียงใด
NotPetya: สงคราม?
คดีนี้ขึ้นอยู่กับเงื่อนไขของสัญญาในกรมธรรม์ประกันภัยทางไซเบอร์ โดยเฉพาะการยกเว้นสำหรับความเสียหายที่เกิดจากการทำสงคราม
NotPetyaซึ่งรัฐบาลสหรัฐในปี 2018 ขนานนามว่าเป็น “การโจมตีทางไซเบอร์ที่ทำลายล้างและมีค่าใช้จ่ายสูงที่สุดในประวัติศาสตร์” เริ่มต้นจากการประนีประนอมกับเป้าหมายของยูเครนก่อนที่จะแพร่กระจายไปทั่วโลก ท้ายที่สุดส่งผลกระทบต่อบริษัทต่างๆ ใน 65 ประเทศ และสร้างความเสียหายหลายพันล้าน มันแพร่กระจายอย่างรวดเร็วด้วยการใช้ การหาประโยชน์จากเวิร์ม EternalBlue ในห่วงโซ่การโจมตีซึ่งเป็นอาวุธ NSA ที่รั่วไหลออกมาซึ่งทำให้มัลแวร์สามารถแพร่กระจายตัวเองจากระบบหนึ่งไปยังอีกระบบหนึ่งโดยใช้การแชร์ไฟล์ Microsoft SMB เหยื่อผู้เคราะห์ร้ายที่โดดเด่นของการโจมตีดังกล่าว ได้แก่ เฟดเอ็กซ์ บริษัทขนส่งยักษ์ใหญ่ Maersk และบริษัทยายักษ์ใหญ่อย่างเมอร์ค และอื่นๆ อีกมากมาย
ในกรณีของ Mondelez มัลแวร์ล็อคเซิร์ฟเวอร์ 1,700 เครื่องและแล็ปท็อป 24,000 เครื่องที่ส่าย ทำให้บริษัทไร้ความสามารถและต้องสูญเสียมากกว่า 100 ล้านดอลลาร์ในความเสียหาย เวลาหยุดทำงาน การสูญเสียผลกำไร และค่าใช้จ่ายในการแก้ไข
ราวกับว่ามันไม่เหนียวพอที่จะกลืน ในไม่ช้า kahuna อาหารก็พบว่าตัวเองสำลักคำตอบจาก Zurich American เมื่อยื่นคำร้องประกันในโลกไซเบอร์: ผู้จัดการการจัดจำหน่ายไม่ได้ตั้งใจที่จะครอบคลุมค่าใช้จ่ายโดยอ้างถึงมาตราการยกเว้นดังกล่าวซึ่งรวมถึง ภาษา “การกระทำที่เป็นปรปักษ์หรือทำสงครามในยามสงบหรือสงคราม” โดย “รัฐบาลหรืออำนาจอธิปไตย”
ต้องขอบคุณการที่รัฐบาลทั่วโลกระบุให้ NotPetya กับรัฐรัสเซีย และภารกิจเดิมของการโจมตีเพื่อโจมตีศัตรูทางจลนศาสตร์ที่รู้จักกันดีของมอสโก ซูริกชาวอเมริกันมีกรณี - แม้ว่าข้อเท็จจริงที่ว่าการโจมตี Mondelez นั้นเป็นความเสียหายหลักประกันโดยไม่ได้ตั้งใจ
อย่างไรก็ตาม มอนเดเลซแย้งว่าสัญญาของซูริก อเมริกันทิ้งเศษขนมปังบางส่วนไว้บนโต๊ะ อย่างที่มันเป็น เนื่องจากขาดความชัดเจนในสิ่งที่สามารถทำได้และไม่สามารถครอบคลุมได้ในการโจมตี โดยเฉพาะอย่างยิ่ง กรมธรรม์ประกันภัยระบุไว้อย่างชัดเจนว่าจะครอบคลุม “ความเสี่ยงทั้งหมดของการสูญเสียหรือความเสียหายทางกายภาพ” โดยเน้นที่ “ทั้งหมด” — “ต่อข้อมูลอิเล็กทรอนิกส์ โปรแกรม หรือซอฟต์แวร์ รวมถึงความสูญเสียหรือความเสียหายที่เกิดจากการแนะนำรหัสเครื่องที่เป็นอันตราย หรือคำสั่งสอน” เป็นสถานการณ์ที่ NotPetya สมบูรณ์แบบ
Caroline Thompson หัวหน้าฝ่ายการรับประกันภัยที่ Cowbell Cyber ผู้ให้บริการประกันภัยทางไซเบอร์สำหรับธุรกิจขนาดเล็กและขนาดกลาง (SMB) ตั้งข้อสังเกตว่าการขาดถ้อยคำนโยบายการประกันทางไซเบอร์ที่ชัดเจนทำให้ประตูเปิดกว้างสำหรับการอุทธรณ์ของ Mondelez และควรทำหน้าที่เป็นข้อความเตือน ให้ผู้อื่นเจรจาความคุ้มครอง
“ขอบเขตความครอบคลุมและการบังคับใช้การยกเว้นสงคราม ยังคงเป็นหนึ่งในพื้นที่ที่ท้าทายที่สุดสำหรับผู้ประกันตน เนื่องจากภัยคุกคามทางไซเบอร์ยังคงพัฒนาอย่างต่อเนื่อง ธุรกิจต่างพึ่งพาการดำเนินงานด้านดิจิทัลมากขึ้น และความตึงเครียดทางการเมืองยังคงส่งผลกระทบในวงกว้าง” เธอกล่าวกับ Dark การอ่าน. “เป็นเรื่องสำคัญยิ่งสำหรับผู้ประกันตนที่จะคุ้นเคยกับเงื่อนไขของนโยบายของพวกเขาและแสวงหาคำชี้แจงหากจำเป็น แต่ยังเลือกใช้นโยบายไซเบอร์ที่ทันสมัยที่สามารถพัฒนาและปรับตัวตามความเสี่ยงและความเสี่ยงของพวกเขาได้”
การยกเว้นสงคราม
มีปัญหาที่ชัดเจนประการหนึ่งในการทำให้การยกเว้นสงครามติดอยู่กับประกันในโลกไซเบอร์: เขามีปัญหาในการพิสูจน์ว่าการโจมตีเป็น "การกระทำของสงคราม" จริงๆ ซึ่งเป็นภาระที่ต้องพิจารณาว่าพวกเขากำลังดำเนินการในนามของใคร
ในกรณีที่ดีที่สุด การระบุแหล่งที่มาเป็นศิลปะมากกว่าวิทยาศาสตร์ โดยมีชุดเกณฑ์ที่เปลี่ยนแปลงไปซึ่งสนับสนุนการชี้นิ้วอย่างมั่นใจ เหตุผลสำหรับการระบุแหล่งที่มาของภัยคุกคามแบบต่อเนื่องขั้นสูง (APT) มักอาศัยมากกว่าสิ่งประดิษฐ์ทางเทคโนโลยีที่สามารถวัดปริมาณได้ หรือการทับซ้อนกันในโครงสร้างพื้นฐานและเครื่องมือที่มีภัยคุกคามที่รู้จัก
เกณฑ์ของ Squishier อาจรวมถึงแง่มุมต่างๆเช่น เหยื่อวิทยา (กล่าวคือ เป้าหมายสอดคล้องกับผลประโยชน์ของรัฐและเป้าหมายนโยบายหรือไม่; เรื่องของ เหยื่อล่อวิศวกรรมสังคม; ภาษาการเข้ารหัส ระดับของความซับซ้อน (ผู้โจมตีจำเป็นต้องมีทรัพยากรที่ดีหรือไม่? พวกเขาใช้ศูนย์วันที่มีราคาแพงหรือไม่?); และแรงจูงใจ (คือการโจมตีที่งอบน การจารกรรม, การทำลายหรือกำไรทางการเงิน?) นอกจากนี้ยังมีเรื่องของ การดำเนินการตั้งค่าสถานะเท็จที่ซึ่งปฏิปักษ์ใช้คันโยกเหล่านี้เพื่อวางกรอบคู่ต่อสู้หรือปฏิปักษ์
“สิ่งที่น่าตกใจสำหรับฉันคือความคิดที่จะตรวจสอบว่าการโจมตีเหล่านี้เกิดจากรัฐได้อย่างไร - อย่างไร” Philippe Humeau ซีอีโอและผู้ร่วมก่อตั้ง CrowdSec กล่าว “เป็นที่ทราบกันดีว่าคุณแทบจะไม่สามารถติดตามฐานปฏิบัติการของอาชญากรไซเบอร์ที่มีทักษะเหมาะสมได้ เนื่องจากการดำเนินการช่องว่างทางอากาศเป็นบรรทัดแรกในคู่มือของพวกเขา สอง รัฐบาลไม่เต็มใจที่จะยอมรับว่าพวกเขาให้ความคุ้มครองอาชญากรไซเบอร์ในประเทศของตน ประการที่สาม อาชญากรไซเบอร์ในหลายส่วนของโลกมักเป็นพวกคอร์แซร์และทหารรับจ้าง ซื่อสัตย์ต่อหน่วยงาน/รัฐของประเทศใดก็ตามที่อาจให้เงินทุนแก่พวกเขา แต่สามารถขยายขอบเขตได้โดยสิ้นเชิงและปฏิเสธไม่ได้หากมีคำถามเกี่ยวกับความเกี่ยวข้องของพวกเขา”
นั่นเป็นเหตุผลว่าทำไม หากไม่มีรัฐบาลที่รับผิดชอบการโจมตีกลุ่มก่อการร้าย บริษัทข่าวกรองภัยคุกคามส่วนใหญ่จะเตือนการระบุแหล่งที่มาที่ได้รับการสนับสนุนจากรัฐด้วยวลีเช่น “เราพิจารณาด้วยความมั่นใจต่ำ/ปานกลาง/สูงว่า XYZ อยู่เบื้องหลังการโจมตี” และ ในการบูต บริษัทต่างๆ อาจกำหนดแหล่งที่มาที่แตกต่างกันสำหรับการโจมตีแต่ละครั้ง หากนักล่าภัยคุกคามทางอินเทอร์เน็ตมืออาชีพยากที่จะจับผู้กระทำความผิด ลองนึกภาพว่ามันยากแค่ไหนสำหรับผู้ปรับเปลี่ยนประกันในโลกไซเบอร์ที่ปฏิบัติงานด้วยทักษะเพียงเศษเสี้ยว
หากมาตรฐานในการพิสูจน์การทำสงครามนั้นเป็นฉันทามติที่กว้างขวางของรัฐบาล สิ่งนี้ก็ก่อให้เกิดปัญหาเช่นกัน Humeau กล่าว
“การระบุถึงการโจมตีอย่างแม่นยำต่อรัฐชาติจะต้องได้รับความร่วมมือทางกฎหมายข้ามประเทศ ซึ่งได้พิสูจน์แล้วในอดีตว่าทั้งยากและช้า” ฮูโมกล่าว “ดังนั้น ความคิดที่จะกล่าวหาการโจมตีเหล่านี้ต่อรัฐชาติที่ไม่เคย 'ยอมรับกับมัน' ทำให้เกิดความสงสัยในทางกฎหมายมากเกินไป”
ภัยคุกคามที่มีอยู่จริงต่อการประกันภัยทางไซเบอร์?
สำหรับประเด็นของ Thompson ความเป็นจริงอย่างหนึ่งในสภาพแวดล้อมปัจจุบันคือปริมาณกิจกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐในปริมาณมาก ไบรอัน คันนิงแฮม ทนายความและสมาชิกสภาที่ปรึกษาของบริษัทรักษาความปลอดภัยข้อมูล Theon Technology ตั้งข้อสังเกตว่าหากบริษัทประกันจำนวนมากขึ้นเรื่อยๆ ปฏิเสธการเรียกร้องทั้งหมดที่เกิดจากกิจกรรมดังกล่าว อาจมีการจ่ายเงินเพียงเล็กน้อยจริงๆ และท้ายที่สุด บริษัทต่างๆ อาจไม่เห็นค่าเบี้ยประกันในโลกไซเบอร์ว่าคุ้มค่าอีกต่อไป
“หากผู้พิพากษาจำนวนมากเริ่มอนุญาตให้ผู้ให้บริการยกเว้นความคุ้มครองสำหรับการโจมตีทางไซเบอร์โดยอ้างว่ารัฐชาติมีส่วนเกี่ยวข้อง สิ่งนี้จะทำลายล้างระบบนิเวศประกันภัยในโลกไซเบอร์เช่นเดียวกับเหตุการณ์ 9/11 (ชั่วคราว) ต่ออสังหาริมทรัพย์เชิงพาณิชย์ ," เขาพูดว่า. “ด้วยเหตุนี้ ฉันไม่คิดว่าผู้พิพากษาหลายคนจะซื้อสิ่งนี้ และการพิสูจน์ ไม่ว่าในกรณีใด มักจะเป็นเรื่องยากเสมอ”
ในอีกแง่มุมหนึ่ง Ilia Kolochenko หัวหน้าสถาปนิกและ CEO ของ ImmuniWeb ตั้งข้อสังเกตว่าอาชญากรไซเบอร์จะหาวิธีที่จะใช้การยกเว้นเพื่อประโยชน์ของพวกเขา ซึ่งจะทำให้เสียคุณค่าของการมีนโยบายมากขึ้นไปอีก
“ปัญหาเกิดจากการแอบอ้างเป็นบุคคลที่คุกคามทางไซเบอร์ที่รู้จักกันดี” เขากล่าว “ตัวอย่างเช่น หากอาชญากรไซเบอร์ — ไม่เกี่ยวข้องกับรัฐใดๆ — ต้องการขยายความเสียหายที่เกิดกับเหยื่อของพวกเขา โดยไม่รวมความคุ้มครองประกันในขั้นสุดท้าย พวกเขาอาจพยายามปลอมตัวเป็นกลุ่มแฮ็กเกอร์ที่มีชื่อเสียงซึ่งได้รับการสนับสนุนจากรัฐในระหว่างการบุกรุก สิ่งนี้จะบ่อนทำลายความเชื่อมั่นในตลาดประกันภัยไซเบอร์ เนื่องจากการประกันภัยใดๆ อาจไร้ประโยชน์ในกรณีที่ร้ายแรงที่สุดซึ่งต้องการความคุ้มครองและปรับเบี้ยประกันภัยที่จ่ายจริง”
คำถามเกี่ยวกับการยกเว้นยังไม่ได้รับการแก้ไข
แม้ว่าการตั้งถิ่นฐานของมอนเดเลซ-ซูริคในอเมริกาจะดูเหมือนบ่งชี้ว่าผู้ประกันตนประสบความสำเร็จในการชี้ประเด็นอย่างน้อยเพียงบางส่วน (หรือบางทีทั้งสองฝ่ายอาจไม่มีใจที่จะก่อค่าใช้จ่ายทางกฎหมายเพิ่มเติม) แต่ก็มีแบบอย่างทางกฎหมายที่ขัดแย้งกัน
อีกกรณีหนึ่งของ NotPetya ระหว่าง เมอร์คและ ACE American Insurance ประเด็นเดียวกันนี้ถูกนำตัวเข้านอนในเดือนมกราคม เมื่อศาลสูงแห่งนิวเจอร์ซีย์ตัดสินว่าการยกเว้นการกระทำของสงครามขยายไปถึงการทำสงครามทางกายภาพในโลกแห่งความเป็นจริงเท่านั้น ส่งผลให้ผู้จัดการการจัดจำหน่ายต้องจ่ายเงินจำนวนมากถึง 1.4 พันล้านดอลลาร์สำหรับการเรียกร้องค่าสินไหมทดแทน
แม้ว่าพื้นที่ดังกล่าวจะมีลักษณะที่ไม่แน่นอน แต่ก็มีบริษัทประกันในโลกไซเบอร์บางราย ดำเนินต่อไป ด้วยการยกเว้นสงครามที่สะดุดตาที่สุด ลอยด์แห่งลอนดอน. ในเดือนสิงหาคม บรรดาผู้แข็งแกร่งในตลาดได้บอกกับซินดิเคทว่าพวกเขาจะต้องไม่ครอบคลุมถึงการโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐโดยเริ่มตั้งแต่เดือนเมษายน พ.ศ. 2023 บันทึกดังกล่าวมีแนวคิดที่จะปกป้องบริษัทประกันภัยและผู้จัดการการจัดจำหน่ายหลักทรัพย์จากความสูญเสียครั้งใหญ่
อย่างไรก็ตาม ความสำเร็จของนโยบายดังกล่าวยังต้องรอดูกันต่อไป
“Lloyd's และผู้ให้บริการรายอื่นๆ กำลังทำงานเพื่อทำให้การยกเว้นดังกล่าวแข็งแกร่งขึ้นและแน่นอน แต่ฉันคิดว่าสิ่งนี้จะล้มเหลวในท้ายที่สุดเช่นกัน เพราะอุตสาหกรรมประกันภัยทางไซเบอร์ไม่น่าจะอยู่รอดจากการเปลี่ยนแปลงดังกล่าวได้นาน” Theon's Cunningham กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
