Oreos ve Ritz Crackers'ın üreticisi Mondelez International, sağlayıcının 2017'de yaygınlaşan NotPetya fidye yazılımı saldırısından kaynaklanan multimilyon dolarlık temizlik faturasını karşılamayı reddetmesinin ardından siber sigorta şirketine karşı bir dava açtı.
Başlangıçta atıştırmalık devi takım elbiseyi getirdi NotPetya'nın büyük çokuluslu şirketlere yönelik küresel siber taramasını tamamlamasının ardından 2018 yılında Zurich American Insurance'a karşı dava açılmıştı ve dava o zamandan beri mahkemede bağlandı. Anlaşmanın şartları açıklanmadı, ancak bir "çözüm", bir uzlaşma çözümüne işaret edebilir; bu da siber sigorta hariç tutma hükümlerinin ne kadar çetrefilli bir sorun olabileceğini gösteriyor.
NotPetya: Savaş Sebebi mi?
Dava, siber sigorta poliçesindeki sözleşme şartlarına, özellikle de savaş fiillerinin neden olduğu zararlara ilişkin istisnaya dayanıyordu.
NotPetyaABD hükümetinin 2018'de "tarihin en yıkıcı ve en maliyetli siber saldırısı" olarak adlandırdığı saldırı, Ukrayna hedeflerini tehlikeye atmak olarak başladı ve küresel olarak yayılmadan önce 65 ülkedeki şirketleri etkiledi ve milyarlarca dolarlık hasara yol açtı. Kullanımı sayesinde hızla yayıldı EternalBlue solucanından yararlanma Kötü amaçlı yazılımların Microsoft SMB dosya paylaşımlarını kullanarak sistemden sisteme kendi kendine yayılmasına izin veren, sızdırılmış bir NSA silahı olan saldırı zincirinde. Saldırının önemli kurbanları arasında FedEx, nakliye devi Maersk ve ilaç devi Merck de vardı.
Mondelez vakasında, kötü amaçlı yazılım 1,700 sunucusunu ve şaşırtıcı derecede 24,000 dizüstü bilgisayarı kilitleyerek şirketi aciz bıraktı ve 100 milyon dolardan fazla hasar, kesinti, kar kaybı ve iyileştirme maliyetleriyle karşı karşıya kaldı.
Sanki bu yutulması yeterince zor değilmiş gibi, gıda kahunası bir süre sonra kendisini Zurich American'ın siber sigorta talebinde bulunduğunda verdiği yanıt karşısında boğulurken buldu: Sigortacının, yukarıda belirtilen kapsam dışı bırakma maddesini gerekçe göstererek masrafları karşılamaya niyeti yoktu. Bir “hükümet veya egemen güç tarafından” “barış veya savaş zamanında düşmanca veya savaş benzeri eylem” dili.
Dünya hükümetlerinin NotPetya'yı Rus devletine atfetmesi ve saldırının asıl amacının Moskova'nın bilinen kinetik düşmanını vurmak olması sayesinde, Mondelez saldırısının kesinlikle kasıtsız ikincil hasar olmasına rağmen Zürih Amerika'nın bir durumu vardı.
Ancak Mondelez, Zurich American'ın sözleşmesinin, bir saldırıda neyin kapsanıp neyin kapsanamayacağı konusunda netlik eksikliği göz önüne alındığında, masada bazı tartışmalı kırıntılar bıraktığını savundu. Özellikle, sigorta poliçesinin, kötü niyetli bir makine kodunun girilmesinden kaynaklanan kayıp veya hasar da dahil olmak üzere elektronik verilere, programlara veya yazılımlara ilişkin "tüm fiziksel kayıp veya hasar risklerini" (vurgu "tümü" vurgusu) kapsayacağını açıkça belirtiyordu. veya talimat. Bu, NotPetya'nın mükemmel bir şekilde somutlaştırdığı bir durum.
Küçük ve orta ölçekli işletmelere (KOBİ'ler) yönelik bir siber sigorta sağlayıcısı olan Cowbell Cyber'in sigortalama başkanı Caroline Thompson, net bir siber sigorta poliçesi metninin bulunmamasının Mondelez'in itirazı için kapıyı açık bıraktığını ve bir uyarı mesajı olarak hareket etmesi gerektiğini belirtiyor. kapsama alanı için pazarlık yapan diğerlerine.
Dark'a şöyle konuştu: "Siber tehditler gelişmeye devam ettikçe, işletmeler dijital operasyonlara bağımlılıklarını artırdıkça ve jeopolitik gerilimler yaygın bir etki yaratmaya devam ettikçe, sigorta kapsamının kapsamı ve savaş istisnalarının uygulanması sigortacılar için en zorlu alanlardan biri olmaya devam ediyor." Okuma. "Sigortacıların politikalarının şartlarını bilmeleri ve gerektiğinde açıklama aramaları çok önemli, ancak aynı zamanda risk ve maruziyetlerinin hızına göre gelişip uyum sağlayabilen modern siber politikaları tercih etmeleri çok önemli."
Savaş İstisnaları
Savaş istisnalarının siber sigortaya uygulanmasında göze çarpan bir sorun var: Saldırıların gerçekten "savaş eylemi" olduğunu kanıtlamakta zorluk çekiyor; bu, genellikle bunların kimin adına gerçekleştirildiğinin belirlenmesini gerektiren bir yük.
En iyi durumda, atıf bir bilimden çok bir sanattır; her türlü güvenli parmakla işaretlemeyi destekleyen değişen bir dizi kriter vardır. Gelişmiş kalıcı tehdit (APT) ilişkilendirme gerekçeleri genellikle ölçülebilir teknoloji eserlerinden çok daha fazlasına veya bilinen tehditlerle altyapı ve araçlardaki örtüşmelere dayanır.
Squishier kriterleri aşağıdaki gibi hususları içerebilir: kurbanlık (yani, hedefler devletin çıkarları ve politika hedefleriyle tutarlı mı?; sosyal mühendislik cazibesi; kodlama dili; karmaşıklık düzeyi (saldırganın iyi kaynaklara sahip olması gerekiyor mu? Pahalı bir sıfır gün mü kullandı?); ve güdü (saldırıya yönelik mi?) casusluk, imhaveya mali kazanç?). Bir de şu sorun var yanlış bayrak işlemleri, bir düşmanın, rakibini veya hasımını çerçevelemek için bu kaldıraçları manipüle ettiği yer.
"Benim için şok edici olan şey, bu saldırıların makul bir şekilde bir devlete atfedilebileceğini doğrulama fikri - nasıl?" diyor CrowdSec'in CEO'su ve kurucu ortağı Philippe Humeau. “İyi derecede yetenekli bir siber suçlunun operasyon üssünü neredeyse hiç takip edemeyeceğiniz iyi biliniyor, çünkü operasyonlarında hava boşluğu oluşturmak onların taktik kitaplarının ilk satırıdır. İkincisi, hükümetler ülkelerindeki siber suçlulara koruma sağladıklarını aslında kabul etmeye istekli değiller. Üçüncüsü, dünyanın pek çok yerindeki siber suçlular genellikle korsanlar ve paralı askerlerin bir karışımıdır; onları finanse eden kuruluşa/ulus devlete sadıktırlar, ancak bağlantıları hakkında herhangi bir soru olması durumunda tamamen genişletilebilir ve inkar edilebilirler.”
Bu nedenle, terör grupları gibi bir saldırının sorumluluğunu üstlenen bir hükümet olmadığında, tehdit istihbarat şirketlerinin çoğu, "saldırının arkasında XYZ'nin olduğunu düşük/orta/yüksek güvenle belirliyoruz" gibi ifadelerle devlet destekli atıflara uyarıda bulunacaktır. Öncelikle farklı firmalar herhangi bir saldırı için farklı kaynaklar belirleyebilir. Profesyonel siber tehdit avcılarının suçluları tespit etmesi bu kadar zorsa, çok az beceriyle çalışan siber sigorta eksperleri için bunun ne kadar zor olduğunu bir düşünün.
Humeau, bir savaş eyleminin kanıtlanması için standart olarak hükümetin geniş bir fikir birliğine varması durumunda, bunun da sorun yaratacağını söylüyor.
Humeau, "Saldırıları doğru bir şekilde ulus devletlere atfetmek, ülkeler arası hukuki işbirliği gerektirecektir; bunun hem zor hem de yavaş olduğu tarihsel olarak kanıtlanmıştır" diyor. "Dolayısıyla bu saldırıları asla itiraf etmeyecek olan ulus devletlere atfetme fikri, hukuki anlamda şüpheye çok fazla yer bırakıyor."
Siber Sigortaya Yönelik Varoluşsal Bir Tehdit mi?
Thompson'a göre, günümüz ortamındaki gerçeklerden biri, dolaşımdaki devlet destekli siber faaliyetlerin hacmidir. Veri güvenliği şirketi Theon Technology'nin avukatı ve danışma konseyi üyesi Bryan Cunningham, giderek daha fazla sigorta şirketinin bu tür faaliyetlerden kaynaklanan tüm talepleri reddetmesi durumunda gerçekten çok az ödeme yapılabileceğini belirtiyor. Ve sonuçta şirketler siber sigorta primlerini artık buna değmeyebilir.
“Önemli sayıda yargıç, sırf bir ulus devletin işin içinde olduğu iddiasıyla taşıyıcıların siber saldırıları kapsam dışında bırakmasına izin vermeye başlarsa, bu, siber sigorta ekosistemi için, 9 Eylül'ün (geçici olarak) ticari gayrimenkul için olduğu kadar yıkıcı olacaktır. ," diyor. "Sonuç olarak pek çok hakimin bunu kabul edeceğini düşünmüyorum ve her halükarda kanıt neredeyse her zaman zor olacaktır."
Farklı bir yaklaşımla, ImmuniWeb'in baş mimarı ve CEO'su Ilia Kolochenko, siber suçluların istisnaları kendi avantajlarına kullanmanın bir yolunu bulacağını, bunun da bir politikaya sahip olmanın değerini daha da azaltacağını belirtiyor.
"Sorun, tanınmış siber tehdit aktörlerinin olası kimliğine bürünmesinden kaynaklanıyor" diyor. “Örneğin, herhangi bir devletle bağlantısı olmayan siber suçlular, nihai sigorta kapsamını hariç tutarak kurbanlarına verilen zararı artırmak isterlerse, izinsiz girişleri sırasında devlet destekli ünlü bir bilgisayar korsanlığı grubunun kimliğine bürünmeye çalışabilirler. Bu, siber sigorta piyasasına olan güveni zedeleyecek, çünkü gerçekten teminat gerektiren ve ödenen primleri haklı çıkaran en ciddi durumlarda herhangi bir sigorta faydasız hale gelebilir.”
İstisnalar Sorunu Kararsız Kaldı
Her ne kadar Mondelez-Zürih Amerikan anlaşması, sigortacının en azından kısmen amacını ifade etmeyi başardığını gösteriyor gibi görünse de (ya da belki de her iki taraf da daha fazla hukuki masrafa katlanmayı göze alamadı), birbiriyle çelişen hukuki emsaller mevcut.
Arada bir NotPetya davası daha Merck ve ACE Amerikan Sigortası Ocak ayında New Jersey Yüksek Mahkemesi savaş fiili istisnalarının yalnızca gerçek dünyadaki fiziksel savaşları kapsadığına hükmettiğinde, sigortacının 1.4 milyar dolarlık tazminat ödemesine yol açtığına karar verdiğinde, aynı mesele rafa kaldırılmıştı.
Bölgenin istikrarsız doğasına rağmen, bazı siber sigortacılar ileriye gidiyor özellikle savaş istisnaları ile Lloyd's of London. Ağustos ayında piyasanın güçlü ismi, sendikalarına, Nisan 2023'ten itibaren devlet destekli siber saldırıları kapsam dışı bırakmaları gerekeceğini söyledi. Notta, amacın sigorta şirketlerini ve onların sigortacılarını felaket niteliğindeki kayıplardan korumak olduğu belirtildi.
Öyle olsa bile, bu tür politikaların başarısı görülecektir.
Theon'dan Cunningham, "Lloyd's ve diğer taşıyıcılar bu tür istisnaları daha güçlü ve mutlak hale getirmek için çalışıyorlar, ancak bence bu da sonuçta başarısız olacak çünkü siber sigorta endüstrisi bu tür değişikliklere muhtemelen uzun süre dayanamayacak" diyor.
