Oreos اور Ritz Crackers کے بنانے والے Mondelez International نے اپنے سائبر بیمہ کنندہ کے خلاف ایک مقدمہ اس وقت طے کر لیا ہے جب فراہم کنندہ نے 2017 میں پھیلے ہوئے NotPetya ransomware حملے سے پیدا ہونے والے ملٹی ملین ڈالر کے کلین اپ بل کا احاطہ کرنے سے انکار کر دیا تھا۔
اصل میں سنیک دیو سوٹ لے آیا زیورخ امریکن انشورنس کے خلاف 2018 میں، نوٹ پیٹیا کی جانب سے بڑی ملٹی نیشنل کارپوریشنز کی عالمی سائبر رینکنگ مکمل کرنے کے بعد، اور اس کے بعد سے یہ مقدمہ چل رہا ہے۔ عدالت میں باندھ دیا. معاہدے کی شرائط کا انکشاف نہیں کیا گیا ہے، لیکن ایک "تصفیہ" ایک سمجھوتے کے حل کی نشاندہی کرے گا - اس بات کی وضاحت کرتا ہے کہ سائبر انشورنس کے اخراج کی شقیں کتنی نازک ہو سکتی ہیں۔
NotPetya: ایکٹ آف وار؟
مقدمہ سائبر انشورنس پالیسی میں معاہدے کی شرائط پر منحصر ہے - خاص طور پر، جنگ کی کارروائیوں کی وجہ سے ہونے والے نقصانات کے لیے اخراج کا نقشہ۔
نوٹ پیٹیاجسے 2018 میں امریکی حکومت نے "تاریخ کا سب سے تباہ کن اور مہنگا ترین سائبر حملہ" قرار دیا، عالمی سطح پر پھیلنے سے پہلے یوکرائنی اہداف سے سمجھوتہ کرنے کے طور پر شروع ہوا، بالآخر 65 ممالک کی کمپنیوں پر اثر پڑا اور اربوں کا نقصان ہوا۔ کے استعمال کی بدولت یہ تیزی سے پھیل گیا۔ ایٹرنل بلیو ورمنگ کا استحصال حملے کی زنجیر میں، جو کہ ایک لیک شدہ NSA ہتھیار ہے جو مائیکروسافٹ ایس ایم بی فائل شیئرز کا استعمال کرتے ہوئے میلویئر کو سسٹم سے سسٹم میں خود کو پھیلانے کی اجازت دیتا ہے۔ حملے کے قابل ذکر متاثرین میں FedEx، شپنگ behemoth Maersk، اور فارماسیوٹیکل دیو مرک، اور بہت سے دوسرے شامل تھے۔
Mondelez کے معاملے میں، میلویئر نے اس کے 1,700 سرورز اور حیرت انگیز طور پر 24,000 لیپ ٹاپس کو بند کر دیا، جس سے کارپوریشن ناکارہ ہو گئی اور $100 ملین سے زیادہ کے نقصانات، ڈاؤن ٹائم، کھوئے ہوئے منافع اور تدارک کے اخراجات سے دوچار ہوئی۔
گویا اسے نگلنا اتنا مشکل نہیں تھا، فوڈ کہونا نے جلد ہی زیورخ امریکن کی طرف سے سائبر انشورنس کا دعویٰ دائر کرنے کے جواب پر خود کو گھٹنے ٹیکتے ہوئے پایا: انڈر رائٹر کا اخراجات کو پورا کرنے کا کوئی ارادہ نہیں تھا، مذکورہ بالا اخراج کی شق کا حوالہ دیتے ہوئے زبان "امن یا جنگ کے وقت میں معاندانہ یا جنگی کارروائی" کسی "حکومت یا خودمختار طاقت" کی طرف سے۔
عالمی حکومتوں کی جانب سے NotPetya کو روسی ریاست سے منسوب کرنے اور ماسکو کے ایک معروف حریف پر حملہ کرنے کے حملے کے اصل مشن کی بدولت، زیورخ امریکن کے پاس ایک کیس تھا - اس حقیقت کے باوجود کہ مونڈیلیز کا حملہ یقینی طور پر غیر ارادی طور پر خودکش حملہ تھا۔
تاہم، مونڈیلیز نے استدلال کیا کہ زیورخ امریکن کے معاہدے نے میز پر کچھ متنازعہ ٹکڑوں کو چھوڑ دیا، جیسا کہ یہ تھا، اس بات کی وضاحت کی کمی کو دیکھتے ہوئے کہ حملے میں کیا کیا جا سکتا ہے اور کیا نہیں کیا جا سکتا۔ خاص طور پر، انشورنس پالیسی نے واضح طور پر کہا ہے کہ یہ "جسمانی نقصان یا نقصان کے تمام خطرات" کا احاطہ کرے گی - "تمام" پر زور - "الیکٹرانک ڈیٹا، پروگرامز، یا سافٹ ویئر کو، بشمول مشین کوڈ کے بدنیتی سے تعارف کی وجہ سے ہونے والا نقصان یا نقصان۔ یا ہدایات۔" یہ ایک ایسی صورتحال ہے جسے NotPetya بالکل مجسم بناتا ہے۔
کیرولین تھامسن، چھوٹے اور درمیانے سائز کے کاروباروں (SMBs) کے لیے سائبر انشورنس فراہم کرنے والے، Cowbell Cyber میں انڈر رائٹنگ کی سربراہ، نوٹ کرتی ہے کہ واضح سائبر انشورنس پالیسی کے الفاظ کی کمی نے Mondelez کی اپیل کے لیے دروازہ کھلا چھوڑ دیا ہے - اور ایک احتیاطی پیغام کے طور پر کام کرنا چاہیے۔ دوسروں کو کوریج پر بات چیت کرتے ہوئے.
"کوریج کا دائرہ کار، اور جنگ کے اخراج کا اطلاق، بیمہ کنندگان کے لیے سب سے مشکل ترین شعبوں میں سے ایک ہے کیونکہ سائبر خطرات مسلسل بڑھتے رہتے ہیں، کاروبار ڈیجیٹل آپریشنز پر اپنا انحصار بڑھاتے ہیں، اور جغرافیائی سیاسی تناؤ کا وسیع اثر ہوتا رہتا ہے،" وہ ڈارک کو بتاتی ہیں۔ پڑھنا۔ "یہ بیمہ کنندگان کے لیے اہم ہے کہ وہ اپنی پالیسی کی شرائط سے واقف ہوں اور جہاں ضرورت ہو وضاحت طلب کریں، لیکن جدید سائبر پالیسیوں کا بھی انتخاب کریں جو ان کے خطرے اور نمائش کی رفتار سے تیار اور موافقت پذیر ہوں۔"
جنگ کے اخراج
سائبر انشورنس کے لیے جنگ کے اخراج کو برقرار رکھنے میں ایک واضح مسئلہ ہے: اسے یہ ثابت کرنے میں دشواری کا سامنا کرنا پڑتا ہے کہ حملے واقعی "جنگ کی کارروائیاں" ہیں - ایک بوجھ جس کے لیے عام طور پر اس بات کا تعین کرنے کی ضرورت ہوتی ہے کہ وہ کس کی طرف سے کیے گئے ہیں۔
بہترین صورتوں میں، انتساب سائنس سے زیادہ ایک فن ہے، جس میں کسی بھی پراعتماد انگلی کی نشاندہی کرنے والے معیارات کے بدلتے سیٹ کے ساتھ۔ ایڈوانسڈ پرسسٹنٹ تھریٹ (اے پی ٹی) انتساب کے لیے استدلال اکثر قابل مقدار ٹیکنالوجی کے نمونے سے کہیں زیادہ پر انحصار کرتے ہیں، یا معلوم خطرات کے ساتھ انفراسٹرکچر اور ٹولنگ میں اوورلیپ ہوتے ہیں۔
Squishier کے معیار میں ایسے پہلو شامل ہو سکتے ہیں۔ شکاریات (یعنی، کیا اہداف ریاستی مفادات اور پالیسی اہداف سے مطابقت رکھتے ہیں؟؛ کا موضوع سماجی انجینئرنگ کی لالچ; کوڈنگ زبان؛ نفاست کی سطح (کیا حملہ آور کو اچھی طرح سے وسائل رکھنے کی ضرورت ہے؟ کیا انہوں نے ایک مہنگا صفر دن استعمال کیا؟) اور مقصد (حملہ کی طرف مائل ہے۔ جاسوسی, تباہی، یا مالی فائدہ؟) کا مسئلہ بھی ہے۔ جھوٹے پرچم کی کاروائیاں، جہاں ایک مخالف حریف یا مخالف کو فریم کرنے کے لئے ان لیورز کو جوڑ توڑ کرتا ہے۔
"میرے لیے حیران کن بات یہ ہے کہ اس بات کی تصدیق کرنے کا خیال کہ ان حملوں کو معقول طور پر کسی ریاست سے منسوب کیا جا سکتا ہے - کیسے؟" CrowdSec کے سی ای او اور شریک بانی Philippe Humeau کہتے ہیں۔ "یہ بات مشہور ہے کہ آپ شاید ہی کسی ماہر سائبر کرائمینل کے آپریشنز کے اڈے کو ٹریک کر سکتے ہیں، کیونکہ ان کے آپریشنز کو ہوا سے ہٹانا ان کی پلے بک کی پہلی لائن ہے۔ دو، حکومتیں حقیقت میں یہ تسلیم کرنے کو تیار نہیں ہیں کہ وہ اپنے ممالک میں سائبر جرائم پیشہ افراد کو کور فراہم کرتی ہیں۔ تیسرا، دنیا کے بہت سے حصوں میں سائبر جرائم پیشہ افراد عام طور پر کارساز اور کرائے کے افراد کا مرکب ہوتے ہیں، جو بھی ادارہ/قومی ریاست ان کی مالی معاونت کر رہی ہو، اس کے وفادار ہوتے ہیں، لیکن اگر ان کی وابستگی کے بارے میں کبھی سوالات پیدا ہوتے ہیں تو یہ مکمل طور پر قابل توسیع اور قابل انکار ہے۔
اسی لیے، دہشت گردی کے گروپوں کے حملے کی ذمہ داری قبول کرنے والی حکومت کی غیر موجودگی میں، زیادہ تر دھمکی آمیز انٹیلی جنس فرمیں ریاستی سرپرستی سے متعلق انتساب کو ان فقروں کے ساتھ خبردار کریں گی جیسے، "ہم کم/اعتدال پسند/زیادہ اعتماد کے ساتھ اس بات کا تعین کرتے ہیں کہ XYZ حملے کے پیچھے ہے،" اور بوٹ کرنے کے لیے، مختلف فرمیں کسی بھی حملے کے لیے مختلف ذرائع کا تعین کر سکتی ہیں۔ اگر پیشہ ور سائبر خطرے کا شکار کرنے والوں کے لیے مجرموں کو پکڑنا اتنا مشکل ہے، تو تصور کریں کہ سائبر انشورنس ایڈجسٹرز کے لیے مہارت کے ایک حصے کے ساتھ کام کرنا کتنا مشکل ہے۔
ہیومیو کا کہنا ہے کہ اگر جنگ کے عمل کے ثبوت کا معیار وسیع حکومتی اتفاق رائے ہے، تو اس سے بھی مسائل پیدا ہوتے ہیں۔
"حملوں کو قومی ریاستوں سے درست طور پر منسوب کرنے کے لیے بین الاقوامی قانونی تعاون کی ضرورت ہوگی، جو تاریخی طور پر مشکل اور سست ثابت ہوا ہے،" ہمیو کہتے ہیں۔ "لہذا ان حملوں کو قومی ریاستوں سے منسوب کرنے کا خیال جو کبھی بھی 'اس پر عمل نہیں کریں گے، قانونی طور پر، شک کی بہت زیادہ گنجائش چھوڑ دیتا ہے۔"
سائبر انشورنس کے لیے ایک وجودی خطرہ؟
تھامسن کے نقطہ نظر تک، آج کے ماحول میں ایک حقیقت گردش میں ریاست کے زیر اہتمام سائبر سرگرمیوں کا سراسر حجم ہے۔ برائن کننگھم، ڈیٹا سیکیورٹی کمپنی تھیون ٹیکنالوجی کے اٹارنی اور ایڈوائزری کونسل کے رکن، نوٹ کرتے ہیں کہ اگر زیادہ سے زیادہ بیمہ کنندگان اس طرح کی سرگرمی سے پیدا ہونے والے تمام دعووں کی تردید کرتے ہیں، تو واقعی بہت کم ادائیگی ہو سکتی ہے۔ اور، بالآخر، کمپنیاں سائبر انشورنس پریمیم کو مزید قابل قدر نہیں دیکھ سکتی ہیں۔
"اگر ججوں کی ایک قابل ذکر تعداد دراصل کیریئرز کو سائبر حملوں کی کوریج کو صرف اس دعوے پر خارج کرنے کی اجازت دینا شروع کر دیتی ہے کہ ایک قومی ریاست ملوث تھی، تو یہ سائبر انشورنس ایکو سسٹم کے لیے اتنا ہی تباہ کن ہوگا جتنا کہ 9/11 (عارضی طور پر) کمرشل رئیل اسٹیٹ کے لیے تھا۔ ،" وہ کہتے ہیں. "نتیجے کے طور پر، مجھے نہیں لگتا کہ بہت سے جج اسے خریدیں گے، اور ثبوت، کسی بھی صورت میں، تقریبا ہمیشہ مشکل رہے گا۔"
ایک مختلف رگ میں، Ilia Kolochenko، ImmuniWeb کے چیف آرکیٹیکٹ اور CEO، نوٹ کرتے ہیں کہ سائبر کرائمین اپنے فائدے کے لیے استثنیٰ کو استعمال کرنے کا راستہ تلاش کریں گے - پالیسی رکھنے کی قدر کو مزید کم کرتے ہوئے۔
"مسئلہ سائبر خطرے کے معروف اداکاروں کی ممکنہ نقالی سے پیدا ہوا ہے،" وہ کہتے ہیں۔ "مثال کے طور پر، اگر سائبر کرائمینز - جو کسی بھی ریاست سے تعلق نہیں رکھتے ہیں - حتمی انشورنس کوریج کو چھوڑ کر اپنے متاثرین کو پہنچنے والے نقصان کو بڑھانا چاہتے ہیں، تو وہ اپنی مداخلت کے دوران صرف ایک مشہور ریاستی حمایت یافتہ ہیکنگ گروپ کی نقالی کرنے کی کوشش کر سکتے ہیں۔ اس سے سائبر انشورنس مارکیٹ میں اعتماد کو نقصان پہنچے گا، کیونکہ کوئی بھی انشورنس انتہائی سنگین صورتوں میں بیکار ہو سکتا ہے جس میں اصل میں کوریج کی ضرورت ہوتی ہے اور ادا شدہ پریمیم کا جواز پیش کیا جاتا ہے۔"
اخراج کا سوال ابھی تک حل طلب ہے۔
اگرچہ مونڈیلیز-زیورخ امریکی تصفیہ اس بات کی نشاندہی کرتا ہے کہ بیمہ کنندہ کم از کم جزوی طور پر اپنا نقطہ نظر بنانے میں کامیاب ہوا (یا شاید کسی بھی فریق کو مزید قانونی اخراجات اٹھانے کا پیٹ نہیں تھا)، اس کی متضاد قانونی نظیر موجود ہے۔
کے درمیان ایک اور NotPetya کیس مرک اور ACE امریکن انشورنس اسی معاملے پر جنوری میں بستر پر رکھا گیا تھا، جب نیو جرسی کی سپیریئر کورٹ نے فیصلہ دیا تھا کہ جنگی اخراج کا عمل صرف حقیقی دنیا کی جسمانی جنگ تک پھیلا ہوا ہے، جس کے نتیجے میں انڈر رائٹر کو دعووں کے تصفیے کے لیے 1.4 بلین ڈالر کا ڈھیر ادا کرنا پڑا۔
علاقے کی غیر متزلزل نوعیت کے باوجود، کچھ سائبر بیمہ کنندگان ہیں۔ آگے بڑھنے جنگی اخراج کے ساتھ، خاص طور پر لائیڈ آف لندن. اگست میں مارکیٹ سٹالورٹ نے اپنے سنڈیکیٹس کو بتایا کہ انہیں اپریل 2023 سے شروع ہونے والے ریاستی حمایت یافتہ سائبر حملوں کی کوریج کو خارج کرنے کی ضرورت ہوگی۔
اس کے باوجود ایسی پالیسیوں کی کامیابی دیکھنا باقی ہے۔
"Lloyd's، اور دیگر کیریئرز، اس طرح کے اخراج کو مضبوط اور مطلق بنانے پر کام کر رہے ہیں، لیکن مجھے لگتا ہے کہ یہ بھی بالآخر ناکام ہو جائے گا کیونکہ سائبر انشورنس انڈسٹری ممکنہ طور پر اس طرح کی تبدیلیوں کو زیادہ دیر تک زندہ نہیں رکھ سکتی،" تھیونز کننگھم کہتے ہیں۔
