Oreos 和 Ritz Crackers 的制造商亿滋国际已就其网络保险公司提起诉讼,此前该提供商拒绝支付因 2017 年蔓延的 NotPetya 勒索软件攻击而产生的数百万美元的清理费用。
最初的小吃巨头 带来了诉讼 早在 2018 年,在 NotPetya 完成对主要跨国公司的全球网络搜查之后,苏黎世美国保险公司就起诉了苏黎世美国保险公司,此后此案一直 被绑在法庭上. 该交易的条款尚未披露,但“和解”将表明达成妥协的解决方案——这说明了网络保险排除条款的问题有多棘手。
NotPetya:战争法案?
该诉讼取决于网络保险单中的合同条款——特别是对战争行为造成的损害的排除排除。
NotPetya2018 年,美国政府称其为“历史上最具破坏性和成本最高的网络攻击”,最初是针对乌克兰的目标,然后在全球蔓延,最终影响 65 个国家的公司并造成数十亿美元的损失。 由于使用了 EternalBlue 蠕虫攻击 在攻击链中,这是一种泄露的 NSA 武器,它允许恶意软件使用 Microsoft SMB 文件共享在系统之间自我传播。 这次攻击的著名受害者包括联邦快递、航运巨头马士基和制药巨头默克等。
在 Mondelez 的案例中,该恶意软件锁定了其 1,700 台服务器和惊人的 24,000 台笔记本电脑,使该公司丧失了能力,并遭受了超过 100 亿美元的损失、停机、利润损失和补救成本。
好像这还不够难以下咽,food kahuna 很快发现自己在提交网络保险索赔时因苏黎世美国航空的回应而窒息:承保人无意承担费用,并引用了上述排除条款,其中包括“政府或主权国家”的“和平或战争时期的敌对或好战行动”。
由于世界各国政府将 NotPetya 归咎于俄罗斯国家,以及这次袭击的最初任务是打击莫斯科的一个已知的动态对手,苏黎世美国公司有一个案例——尽管 Mondelez 袭击肯定是意外的附带损害。
然而,亿滋认为,苏黎世美国人的合同在谈判桌上留下了一些有争议的问题,因为没有明确说明攻击可以涵盖哪些内容,哪些内容不可以涵盖。 具体来说,保险单明确规定,它将涵盖“所有物理损失或损坏风险”——强调“所有”——“电子数据、程序或软件,包括因恶意引入机器代码而造成的损失或损害或指示。” NotPetya 完美地体现了这种情况。
面向中小企业 (SMB) 的网络保险提供商 Cowbell Cyber 的承保负责人 Caroline Thompson 指出,缺乏明确的网络保险政策措辞为 Mondelez 的上诉敞开了大门——应该作为一个警示信息其他谈判报道。
“随着网络威胁不断发展,企业增加了对数字业务的依赖,地缘政治紧张局势继续产生广泛影响,保险范围和战争除外责任的应用仍然是保险公司最具挑战性的领域之一,”她告诉 Dark阅读。 “对于保险公司而言,熟悉其保单条款并在需要时寻求澄清至关重要,同时还要选择能够按照其风险和风险敞口的速度发展和适应的现代网络保单。”
战争除外条款
将战争除外条款用于网络保险有一个明显的问题:难以证明攻击确实是“战争行为”——通常需要确定攻击是代表谁进行的一种负担。
在最好的情况下,归因更像是一门艺术而不是一门科学,一套不断变化的标准支撑着任何自信的指责。 高级持续威胁 (APT) 归因的基本原理通常不仅仅依赖于可量化的技术工件,或者基础设施和工具与已知威胁的重叠。
Squishier 标准可以包括以下方面 受害者学 (即目标是否符合国家利益和政策目标? 社会工程诱饵; 编码语言; 复杂程度(攻击者是否需要资源充足?他们是否使用了昂贵的零日?); 和动机(攻击的目的是 间谍, 毁坏,还是经济利益?)。 还有一个问题 错误标志操作,其中一个对手操纵这些杠杆来陷害对手或对手。
“让我震惊的是验证这些攻击可以合理地归因于一个国家的想法——如何?” CrowdSec 的首席执行官兼联合创始人 Philippe Humeau 说。 “众所周知,你很难追踪技术娴熟的网络犯罪分子的行动基地,因为隔离他们的行动是他们剧本的第一线。 第二,政府不愿意承认他们确实为本国的网络犯罪分子提供掩护。 第三,世界许多地方的网络犯罪分子通常是海盗和雇佣军的混合体,他们忠于可能资助他们的任何实体/民族国家,但如果对他们的从属关系有任何疑问,则完全可以扩大和否认。”
这就是为什么在没有政府对恐怖主义组织的攻击负责的情况下,大多数威胁情报公司会警告国家支持的归因,例如“我们以低/中/高信心确定 XYZ 是攻击的幕后黑手”,以及,首先,不同的公司可能会为任何给定的攻击确定不同的来源。 如果专业的网络威胁猎手很难找到罪魁祸首,想象一下网络保险理算师只掌握一小部分技能的难度。
Humeau 说,如果证明战争行为的标准是广泛的政府共识,那么这也会带来问题。
“准确地将攻击归咎于民族国家需要跨国法律合作,历史证明这既困难又缓慢,”休莫说。 “因此,从法律上讲,将这些攻击归咎于永远不会承认它的民族国家的想法留下了太多的怀疑空间。”
对网络保险的存在威胁?
在 Thompson 看来,当今环境中的现实之一是国家资助的网络活动在流通中的庞大数量。 数据安全公司 Theon Technology 的律师和顾问委员会成员 Bryan Cunningham 指出,如果越来越多的保险公司直接否认此类活动引起的所有索赔,那么实际上赔付的金额可能很少。 而且,最终,公司可能不再认为网络保险费是值得的。
“如果大量法官真的开始允许运营商仅在声称涉及一个民族国家的情况下就排除网络攻击的承保范围,那么这对网络保险生态系统的破坏性将与 9/11 对商业房地产的(暂时)一样具有破坏性,“ 他说。 “因此,我认为很多法官不会买账,而且无论如何,举证几乎总是很困难的。”
ImmuniWeb 的首席架构师兼首席执行官 Ilia Kolochenko 以不同的方式指出,网络犯罪分子会找到一种方法来利用这些例外情况,从而进一步削弱制定政策的价值。
“问题源于可能冒充知名网络威胁参与者,”他说。 “例如,如果与任何国家无关的网络犯罪分子希望通过排除最终的保险范围来扩大对受害者造成的损害,他们可能只是在入侵期间试图冒充一个著名的国家支持的黑客组织。 这将破坏对网络保险市场的信任,因为任何保险都可能在最严重的情况下变得无效,而这些情况实际上需要承保并证明支付的保费是合理的。”
排除问题仍未解决
尽管亿滋-苏黎世美国的和解似乎表明保险公司至少部分成功地表明了自己的观点(或者双方都没有胃口承担进一步的法律费用),但存在相互矛盾的法律先例。
之间的另一个 NotPetya 案例 默克和 ACE 美国保险 同一个问题在 1.4 月份搁置,当时新泽西州高等法院裁定战争行为除外责任仅适用于现实世界的物理战争,导致承保人支付了 XNUMX 亿美元的索赔和解服务。
尽管该地区的性质不稳定,但一些网络保险公司 向前走 排除战争,最值得注意的是 伦敦的劳埃德. 2023 月,市场中坚力量告诉其财团,从 XNUMX 年 XNUMX 月开始,他们将被要求排除国家支持的网络攻击的保险范围。备忘录指出,这个想法是为了保护保险公司及其承销商免受灾难性损失。
即便如此,这些政策的成功还有待观察。
“劳合社和其他运营商正在努力使此类排除更加强大和绝对,但我认为这最终也会失败,因为网络保险行业可能无法长期承受这种变化,”Theon 的 Cunningham 说。
