Mondelez International, nhà sản xuất Oreos và Ritz Crackers, đã giải quyết một vụ kiện chống lại công ty bảo hiểm mạng của mình sau khi nhà cung cấp này từ chối thanh toán hóa đơn thanh toán hàng triệu đô la bắt nguồn từ cuộc tấn công bằng ransomware NotPetya vào năm 2017.
Người khổng lồ ăn vặt ban đầu mang theo bộ đồ chống lại Zurich American Insurance vào năm 2018, sau khi NotPetya hoàn thành việc lục soát mạng toàn cầu đối với các tập đoàn đa quốc gia lớn và vụ việc kể từ đó bị trói trước tòa. Các điều khoản của thỏa thuận chưa được tiết lộ, nhưng một “dàn xếp” sẽ chỉ ra một giải pháp thỏa hiệp - minh họa cho vấn đề mà các điều khoản loại trừ bảo hiểm mạng có thể khó khăn đến mức nào.
NotPetya: Hành động chiến tranh?
Vụ kiện xoay quanh các điều khoản hợp đồng trong chính sách bảo hiểm mạng - cụ thể là một điều khoản loại trừ khắc phục những thiệt hại do hành động chiến tranh gây ra.
Notpyetya, mà chính phủ Hoa Kỳ năm 2018 gọi là “cuộc tấn công mạng có sức tàn phá lớn nhất và tốn kém nhất trong lịch sử”, bắt đầu bằng việc xâm phạm các mục tiêu của Ukraine trước khi lan rộng ra toàn cầu, cuối cùng ảnh hưởng đến các công ty ở 65 quốc gia và gây thiệt hại hàng tỷ USD. Nó lây lan nhanh chóng nhờ việc sử dụng Khai thác tẩy giun EternalBlue trong chuỗi tấn công, là một vũ khí NSA bị rò rỉ cho phép phần mềm độc hại tự lây lan từ hệ thống này sang hệ thống khác bằng cách sử dụng chia sẻ tệp SMB của Microsoft. Các nạn nhân đáng chú ý của cuộc tấn công bao gồm FedEx, vận chuyển khổng lồ Maersk, và gã khổng lồ dược phẩm Merck, trong số nhiều người khác.
Trong trường hợp của Mondelez, phần mềm độc hại đã khóa 1,700 máy chủ của hãng và 24,000 máy tính xách tay đáng kinh ngạc, khiến công ty mất khả năng lao động và lao đao vì hơn 100 triệu USD thiệt hại, thời gian ngừng hoạt động, mất lợi nhuận và chi phí khắc phục.
Như thể điều đó vẫn chưa đủ khó nuốt, món ăn kahuna nhanh chóng nhận ra câu trả lời từ Zurich American khi họ nộp đơn yêu cầu bảo hiểm mạng: Người bảo lãnh không có ý định trang trải chi phí, trích dẫn điều khoản loại trừ nói trên bao gồm cả điều khoản ngôn ngữ “hành động thù địch hoặc hiếu chiến trong thời bình hoặc chiến tranh” của một “chính phủ hoặc cường quốc có chủ quyền”.
Nhờ các chính phủ thế giới gán NotPetya cho nhà nước Nga và nhiệm vụ ban đầu của cuộc tấn công là tấn công một kẻ thù có động lực nổi tiếng là Moscow, Zurich American đã có cơ hội - mặc dù thực tế rằng cuộc tấn công Mondelez chắc chắn là thiệt hại tài sản thế chấp ngoài ý muốn.
Tuy nhiên, Mondelez lập luận rằng hợp đồng của Zurich American đã để lại một số vấn đề tranh chấp trên bàn, do sự thiếu rõ ràng về những gì có thể và không thể được che đậy trong một cuộc tấn công. Cụ thể, hợp đồng bảo hiểm tuyên bố rõ ràng rằng nó sẽ bảo hiểm “tất cả các rủi ro về mất mát hoặc thiệt hại vật chất” - nhấn mạnh vào “tất cả” - “đối với dữ liệu, chương trình hoặc phần mềm điện tử, bao gồm cả mất mát hoặc thiệt hại do việc đưa mã máy vào một cách ác ý”. hoặc hướng dẫn.” Đó là một tình huống mà NotPetya thể hiện một cách hoàn hảo.
Caroline Thompson, người đứng đầu bộ phận bảo lãnh phát hành tại Cowbell Cyber, nhà cung cấp bảo hiểm mạng cho các doanh nghiệp vừa và nhỏ (SMB), lưu ý rằng việc thiếu từ ngữ chính sách bảo hiểm mạng rõ ràng đã mở ra cơ hội cho kháng cáo của Mondelez - và nên đóng vai trò như một thông điệp cảnh báo cho những người khác đang đàm phán về phạm vi bảo hiểm.
Bà nói với Dark: “Phạm vi bảo hiểm và việc áp dụng các loại trừ chiến tranh vẫn là một trong những lĩnh vực thách thức nhất đối với các công ty bảo hiểm khi các mối đe dọa trên mạng tiếp tục phát triển, các doanh nghiệp ngày càng phụ thuộc vào hoạt động kỹ thuật số và căng thẳng địa chính trị tiếp tục có tác động lan rộng”. Đọc. “Điều quan trọng nhất đối với các công ty bảo hiểm là phải làm quen với các điều khoản trong chính sách của họ và tìm cách làm rõ khi cần thiết, đồng thời lựa chọn các chính sách mạng hiện đại có thể phát triển và thích ứng theo tốc độ rủi ro và mức độ phơi nhiễm của họ.”
Loại trừ Chiến tranh
Có một vấn đề rõ ràng trong việc đưa ra các điều khoản loại trừ chiến tranh đối với bảo hiểm mạng: ông gặp khó khăn trong việc chứng minh rằng các cuộc tấn công thực sự là “hành động chiến tranh” - một gánh nặng thường đòi hỏi phải xác định chúng được thực hiện thay mặt cho ai.
Trong những trường hợp tốt nhất, phân bổ là một nghệ thuật hơn là một khoa học, với một bộ tiêu chí thay đổi làm cơ sở cho bất kỳ đường chỉ tay tự tin nào. Các lý do để phân bổ mối đe dọa dai dẳng nâng cao (APT) thường dựa vào nhiều hơn là các tạo tác công nghệ có thể định lượng được hoặc sự chồng chéo trong cơ sở hạ tầng và công cụ với các mối đe dọa đã biết.
Tiêu chí Squishier có thể bao gồm các khía cạnh như nạn nhân (tức là, các mục tiêu có phù hợp với lợi ích của nhà nước và các mục tiêu chính sách không ?; vấn đề của kỹ thuật xã hội thu hút; ngôn ngữ mã hóa; mức độ tinh vi (kẻ tấn công có cần phải có nguồn lực tốt không? Họ đã sử dụng zero day đắt tiền chưa?); và động cơ (cuộc tấn công có phải là gián điệp, phá hủyhay lợi ích tài chính?). Ngoài ra còn có vấn đề hoạt động cờ sai, khi một kẻ thù thao túng những đòn bẩy này để gài bẫy đối thủ hoặc kẻ thù.
“Điều khiến tôi sốc là ý tưởng xác minh rằng những cuộc tấn công này có thể được quy cho một cách hợp lý là do một quốc gia – bằng cách nào?” Philippe Humeau, Giám đốc điều hành và đồng sáng lập của CrowdSec cho biết. “Ai cũng biết rằng bạn khó có thể theo dõi cơ sở hoạt động của một tội phạm mạng có tay nghề cao, vì việc chặn hoạt động của chúng là dòng đầu tiên trong sổ tay của chúng. Thứ hai, các chính phủ không sẵn sàng thừa nhận thực sự rằng họ cung cấp vỏ bọc cho tội phạm mạng ở quốc gia của họ. Thứ ba, tội phạm mạng ở nhiều nơi trên thế giới thường là sự kết hợp giữa cướp biển và lính đánh thuê, trung thành với bất kỳ thực thể/quốc gia nào có thể tài trợ cho chúng, nhưng hoàn toàn có thể mở rộng và bị từ chối nếu có thắc mắc về mối liên kết của chúng.”
Đó là lý do tại sao, nếu không có chính phủ chịu trách nhiệm về một cuộc tấn công cũng như các nhóm khủng bố, hầu hết các công ty tình báo về mối đe dọa sẽ báo trước sự quy kết do nhà nước bảo trợ bằng các cụm từ như “chúng tôi xác định với độ tin cậy thấp/trung bình/cao rằng XYZ đứng sau vụ tấn công” và Để khởi động, các công ty khác nhau có thể xác định các nguồn khác nhau cho bất kỳ cuộc tấn công nào. Nếu những người săn lùng mối đe dọa mạng chuyên nghiệp gặp khó khăn trong việc xác định thủ phạm, hãy tưởng tượng xem những người điều chỉnh bảo hiểm mạng sẽ gặp khó khăn như thế nào nếu chỉ có một phần nhỏ kỹ năng.
Humeau nói: Nếu tiêu chuẩn để chứng minh một hành động chiến tranh là sự đồng thuận rộng rãi của chính phủ, thì điều này cũng đặt ra nhiều vấn đề.
Humeau cho biết: “Việc quy kết chính xác các cuộc tấn công là do các quốc gia-dân tộc thực hiện sẽ đòi hỏi sự hợp tác pháp lý giữa các quốc gia, điều này đã được chứng minh là vừa khó khăn vừa chậm chạp trong lịch sử”. “Vì vậy, ý tưởng quy những cuộc tấn công này cho các quốc gia-dân tộc, những người sẽ không bao giờ thừa nhận điều đó sẽ để lại quá nhiều chỗ để nghi ngờ, về mặt pháp lý.”
Mối đe dọa hiện hữu đối với bảo hiểm mạng?
Theo quan điểm của Thompson, một trong những thực tế trong môi trường ngày nay là khối lượng khổng lồ các hoạt động mạng được nhà nước bảo trợ đang được lưu hành. Bryan Cunningham, luật sư và thành viên hội đồng cố vấn tại công ty bảo mật dữ liệu Theon Technology, lưu ý rằng nếu ngày càng nhiều công ty bảo hiểm từ chối tất cả các yêu cầu bồi thường xuất phát từ hoạt động đó thì thực sự có thể có rất ít khoản thanh toán. Và cuối cùng, các công ty có thể không còn coi phí bảo hiểm mạng là xứng đáng nữa.
“Nếu một số lượng đáng kể các thẩm phán thực sự bắt đầu cho phép các nhà cung cấp dịch vụ loại trừ phạm vi bảo hiểm cho các cuộc tấn công mạng chỉ sau khi có tuyên bố rằng một quốc gia có liên quan, thì điều này sẽ tàn phá hệ sinh thái bảo hiểm mạng giống như vụ 9/11 (tạm thời) đối với bất động sản thương mại. ," anh ta nói. “Kết quả là, tôi không nghĩ nhiều thẩm phán sẽ tin điều này, và việc đưa ra bằng chứng, trong mọi trường hợp, hầu như sẽ luôn khó khăn.”
Theo một khía cạnh khác, Ilia Kolochenko, kiến trúc sư trưởng và Giám đốc điều hành của ImmuniWeb, lưu ý rằng tội phạm mạng sẽ tìm cách sử dụng các loại trừ để có lợi cho chúng - làm giảm giá trị của việc có chính sách hơn nữa.
Ông nói: “Vấn đề bắt nguồn từ việc có thể mạo danh các tác nhân đe dọa mạng nổi tiếng”. “Ví dụ: nếu tội phạm mạng – không liên quan đến bất kỳ tiểu bang nào – muốn khuếch đại thiệt hại gây ra cho nạn nhân của chúng bằng cách loại trừ phạm vi bảo hiểm cuối cùng, chúng có thể chỉ cần cố gắng mạo danh một nhóm hack nổi tiếng được nhà nước hậu thuẫn trong quá trình xâm nhập của chúng. Điều này sẽ làm suy yếu niềm tin vào thị trường bảo hiểm mạng, vì bất kỳ bảo hiểm nào cũng có thể trở nên vô ích trong những trường hợp nghiêm trọng nhất thực sự yêu cầu bảo hiểm và biện minh cho phí bảo hiểm đã trả.”
Câu hỏi về loại trừ vẫn chưa được giải quyết
Mặc dù thỏa thuận của Mondelez-Zurich American dường như chỉ ra rằng công ty bảo hiểm ít nhất đã thành công trong việc đưa ra một phần quan điểm của mình (hoặc có lẽ không bên nào chịu chịu thêm chi phí pháp lý), vẫn có tiền lệ pháp lý mâu thuẫn.
Một trường hợp NotPetya khác giữa Bảo hiểm Merck và ACE Hoa Kỳ vấn đề tương tự đã được đưa ra vào tháng Giêng, khi Tòa án Cấp cao của New Jersey ra phán quyết rằng hành động loại trừ chiến tranh chỉ mở rộng đến chiến tranh vật lý trong thế giới thực, dẫn đến việc người bảo lãnh phải trả một khoản tiền khổng lồ 1.4 tỷ đô la cho việc giải quyết các yêu cầu bồi thường.
Bất chấp bản chất đáng lo ngại của khu vực, một số công ty bảo hiểm mạng tiến về phía trước với các loại trừ chiến tranh, đáng chú ý nhất Lloyd's of London. Vào tháng 2023, thị trường vững vàng đã nói với các tổ chức của mình rằng họ sẽ được yêu cầu loại trừ phạm vi bảo hiểm cho các cuộc tấn công mạng do nhà nước hậu thuẫn bắt đầu vào tháng XNUMX năm XNUMX. Bản ghi nhớ lưu ý ý tưởng là để bảo vệ các công ty bảo hiểm và người bảo lãnh của họ khỏi tổn thất thảm khốc.
Mặc dù vậy, thành công của các chính sách như vậy vẫn còn phải được nhìn thấy.
Cunningham của Theon cho biết: “Lloyd's và các hãng vận chuyển khác đang nỗ lực làm cho những loại trừ như vậy trở nên mạnh mẽ và tuyệt đối hơn, nhưng tôi nghĩ điều này cuối cùng cũng sẽ thất bại vì ngành bảo hiểm mạng có thể không thể tồn tại lâu với những thay đổi như vậy”.
