Mondelez International, виробник Oreos і Ritz Crackers, врегулював позов проти свого кіберстраховика після того, як постачальник відмовився покрити багатомільйонний рахунок за очищення, пов’язаний з розповсюдженою атакою програм-вимагачів NotPetya у 2017 році.
Снековий гігант оригінально приніс костюм проти Zurich American Insurance ще в 2018 році, після того, як NotPetya завершила глобальний кіберпограбування великих транснаціональних корпорацій, і з тих пір ця справа була зв'язали в суді. Умови угоди не розголошуються, але «мирова угода» означатиме компромісне рішення, що демонструє, наскільки складною проблемою можуть бути положення про виключення кіберстрахування.
NotPetya: Акт війни?
Позов був пов’язаний з умовами контракту в полісі кіберстрахування — зокрема, виключенням щодо збитків, заподіяних військовими діями.
NotPetya, яку уряд США у 2018 році назвав «найруйнівнішою та найдорожчою кібератакою в історії», почалася як компрометація українських цілей, перш ніж поширитися по всьому світу, зрештою вплинувши на компанії в 65 країнах і завдавши збитків на мільярди. Він швидко поширився завдяки використанню Експлойт проти гельмінтів EternalBlue у ланцюжку атак, яка є витоком зброї АНБ, яка дозволяє зловмисному програмному забезпеченню самостійно поширюватися від системи до системи за допомогою спільних файлів Microsoft SMB. Помітними жертвами атаки були FedEx, транспортний гігант Maersk і фармацевтичний гігант Merck, серед багатьох інших.
У випадку з Mondelez зловмисне програмне забезпечення заблокувало 1,700 його серверів і приголомшливі 24,000 100 ноутбуків, залишивши корпорацію непрацездатною та втративши понад XNUMX мільйонів доларів збитків, простоїв, упущеної вигоди та витрат на відновлення.
Як ніби це було недостатньо важко проковтнути, food kahuna невдовзі виявилося, що задихається від відповіді Zurich American, коли вона подала претензію щодо кіберстрахування: Андеррайтер не мав наміру покривати витрати, посилаючись на вищезгадане положення про виключення, яке включало формулювання «ворожі чи воєнні дії під час миру чи війни» з боку «уряду чи суверенної влади».
Завдяки припису світовими урядами NotPetya російській державі та початковій місії атаки, щоб завдати удару по відомому кінетичному супротивнику Москви, Zurich American мав справу — незважаючи на те, що атака Mondelez, безумовно, була ненавмисним побічним збитком.
Однак Mondelez стверджував, що контракт Zurich American залишив деякі спірні крихти на столі, так би мовити, з огляду на відсутність ясності щодо того, що може, а що не може бути охоплено нападом. Зокрема, у страховому полісі чітко зазначено, що він покриватиме «всі ризики фізичної втрати або пошкодження» — наголос на «всі» — «електронних даних, програм або програмного забезпечення, включаючи втрату чи пошкодження, спричинені зловмисним впровадженням машинного коду чи інструкція». Це ситуація, яку NotPetya ідеально втілює.
Керолайн Томпсон, керівник відділу андеррайтингу Cowbell Cyber, постачальника послуг кіберстрахування для малого та середнього бізнесу (SMBs), зазначає, що відсутність чіткого формулювання полісу кіберстрахування залишила двері відкритими для апеляції Mondelez — і має діяти як застереження іншим, які домовляються про покриття.
«Обсяг покриття та застосування виключень щодо війни залишаються однією з найскладніших сфер для страховиків, оскільки кіберзагрози продовжують розвиватися, бізнес збільшує свою залежність від цифрових операцій, а геополітична напруженість продовжує мати широкий вплив», — розповідає вона Дарку. Читання. «Для страховиків надзвичайно важливо знати умови своєї політики та шукати роз’яснень, якщо це необхідно, але також обирати сучасні кіберполітики, які можуть розвиватися та адаптуватися відповідно до темпів своїх ризиків та ризиків».
Виключення війни
Існує одна кричуща проблема, пов’язана з дотриманням виключень щодо війни для кіберстрахування: важко довести, що атаки справді є «воєнними діями» — тягар, який зазвичай вимагає визначення, від чийого імені вони здійснюються.
У найкращих випадках атрибуція — це більше мистецтво, ніж наука, із мінливим набором критеріїв, які лежать в основі будь-якого впевненого вказування пальцем. Обґрунтування атрибуції розширеної постійної загрози (APT) часто спирається на набагато більше, ніж на технологічні артефакти, що піддаються кількісній оцінці, або збіги в інфраструктурі та інструментах з відомими загрозами.
Критерії Squishier можуть включати такі аспекти, як віктимологія (тобто чи відповідають цілі державним інтересам і цілям політики?; предмет соціально-інженерні приманки; мова кодування; рівень складності (чи потрібно, щоб зловмисник мав достатньо ресурсів? Чи використовував він дорогий нульовий день?); і мотив (чи спрямований напад шпигунство, знищення, чи фінансова вигода?). Існує також проблема операції з помилковим прапором, де один супротивник маніпулює цими важелями, щоб підставити суперника чи супротивника.
«Що мене шокує, так це ідея перевірки того, що ці атаки можна обґрунтовано віднести до держави — як?» – каже Філіп Юмо, генеральний директор і співзасновник CrowdSec. «Загальновідомо, що ви навряд чи зможете відстежити базу операцій кіберзлочинців із достатньою кваліфікацією, оскільки їхні операції є першим пунктом їхньої гри. По-друге, уряди не бажають визнати, що вони справді надають прикриття кіберзлочинцям у своїх країнах. По-третє, кіберзлочинці в багатьох частинах світу, як правило, є сумішшю корсарів і найманців, вірних будь-якій юридичній особі/національній державі, які їх фінансують, але повністю розширювані та заперечувані, якщо колись виникають питання щодо їх приналежності».
Ось чому, якщо уряд не візьме на себе відповідальність за атаку за принципом терористичних угруповань, більшість фірм із розвідки про загрози застережуться від приписування спонсорованої державою такими фразами, як «ми з низькою/помірною/високою впевненістю визначаємо, що за атакою стоїть XYZ» і Крім того, різні фірми можуть визначати різні джерела для будь-якої атаки. Якщо професійним мисливцям за кіберзагрозами так важко виявити винних, уявіть, як це складно для регулювачів кіберстрахування, які працюють з незначною кількістю навичок.
Якщо стандартом для доказу акту війни є широкий урядовий консенсус, це також створює проблеми, каже Юмо.
«Точне приписування нападів національним державам вимагало б юридичної співпраці між країнами, яка історично виявилася складною та повільною», — каже Юмо. «Тож ідея приписувати ці напади національним державам, які ніколи не «зізнаються» в цьому, залишає надто багато сумнівів, з точки зору права».
Екзистенційна загроза для кіберстрахування?
На думку Томпсона, однією з реалій сучасного середовища є величезний обсяг спонсорованої державою кіберактивності в обігу. Брайан Каннінгем, адвокат і член консультативної ради компанії Theon Technology із захисту даних, зазначає, що якщо все більше і більше страховиків просто заперечуватиме всі претензії, пов’язані з такою діяльністю, виплат може бути дуже мало. І, зрештою, компанії можуть більше не вважати, що премії за кіберстрахування того варті.
«Якщо значна кількість суддів дійсно почне дозволяти перевізникам виключати покриття кібератак лише на підставі заяви про причетність національної держави, це буде настільки ж руйнівним для екосистеми кіберстрахування, як 9 вересня (тимчасово) для комерційної нерухомості. ," він каже. «У результаті я не думаю, що багато суддів погодяться на це, і довести, у будь-якому випадку, майже завжди буде складно».
З іншого боку, Ілля Колоченко, головний архітектор і генеральний директор ImmuniWeb, зазначає, що кіберзлочинці знайдуть спосіб використати виключення на свою користь, ще більше зменшуючи цінність політики.
«Проблема виникає через можливе видавання себе за відомих учасників кіберзагроз», — каже він. «Наприклад, якщо кіберзлочинці — не пов’язані з жодною державою — хочуть збільшити збитки, завдані їхнім жертвам, виключивши можливе страхове покриття, вони можуть просто спробувати видати себе за відому державну хакерську групу під час свого вторгнення. Це підірве довіру до ринку кіберстрахування, оскільки будь-яке страхування може стати марним у найсерйозніших випадках, які насправді потребують покриття та виправдовують сплачені премії».
Питання виключень залишається невирішеним
Незважаючи на те, що американська мирова угода Mondelez-Zurich, здавалося б, свідчить про те, що страховику вдалося принаймні частково довести свою точку зору (або, можливо, жодна зі сторін не наважилася нести подальші судові витрати), існує суперечливий правовий прецедент.
Ще один випадок NotPetya між Merck і ACE American Insurance це ж питання було закрито в січні, коли Вищий суд Нью-Джерсі постановив, що виключення воєнних дій поширюється лише на реальну фізичну війну, в результаті чого андеррайтер виплатив величезну суму в розмірі 1.4 мільярда доларів США за врегулювання претензій.
Незважаючи на нестабільність регіону, деякі кіберстраховики є йти вперед за винятком війни, особливо Ллойд з Лондона. У серпні представник ринку повідомив своїм синдикатам, що з квітня 2023 року вони повинні будуть виключити покриття кібератак, які підтримуються державою. Ідея, як зазначається в меморандумі, полягає в тому, щоб захистити страхові компанії та їх страховиків від катастрофічних збитків.
Незважаючи на це, успіх такої політики ще належить побачити.
«Lloyd’s та інші перевізники працюють над тим, щоб зробити такі виключення сильнішими та абсолютними, але я думаю, що це також зрештою зазнає поразки, оскільки індустрія кіберстрахування, швидше за все, не зможе довго пережити такі зміни», — каже Каннінгем з Теона.
