Bir mahkeme, Merck’in sigortacılarının, ilaç devinin NotPetya enfeksiyonunu temizlemek için muazzam bir ödeme yapmasını engellemek için bir “savaş eylemi” maddesi kullanamayacağına karar verdi.
Bir New Jersey temyiz mahkemesi bu hafta onadı [PDF] Merck’e yönelik saldırı özel olarak Rusya ile bağlantılı olmadığı için, bir grup sigortacının – diğerlerinin yanı sıra ABD ve Birleşik Krallık hükümetlerinin NotPetya’yı Kremlin destekli şeytanlara atfetmesine rağmen – sigorta poliçelerinde savaş dışlamasını kullanamayacağına dair daha önceki bir karar askeri eylem
Hapisten kurtulma kartı seçeneği basitçe kaldırıldı
Karar, Merck’in sonunda 1.4 milyar dolarlık ödemesini talep edebileceği anlamına geliyor. Sektör gözlemcilerine göre, sigorta şirketlerinin savaşı siber saldırılarla ilgili kayıpları ödememek için bir bahane olarak kullanması muhtemelen daha zor olacak.
BT güvenlik evi Deepwatch’ın başkan yardımcısı Chris Gray, “Hapisten kurtulma kartı seçeneği basitçe kaldırıldı,” dedi. Kayıt.
Corvus Insurance’ta siber sigortalamadan sorumlu Başkan Yardımcısı Peter Hedberg, kararın, özellikle fidye yazılımı ve siber savaş gibi riskler söz konusu olduğunda, sigorta poliçelerinde kullanılan dili de şüphesiz etkileyeceğini söyledi.
“Merck’in dahil olduğu son karar gerçekten de kapsama alanımızı etkiliyor” dedi. Kayıt. “Nasıl olduğu bu kadar erken değerlendirilemez, ancak bunun önemli olduğunu biliyoruz. Bu hiçbir şekilde bir sigortalama kılavuzu veya endüstri kapsamı pozisyonu oluşturmaz, ancak poliçe sahipleri için nasıl daha fazla kesinlik yaratabileceğimiz konusunda topun dönmeye başlamasını sağlar.”
Petya değil, savaş değil
Haziran 2017’de kötü amaçlı yazılım NotPetya olarak adlandırılan – kılığına girdiği için Petya fidye yazılımı – patladı Dünya çapında.
İlk başta Ukrayna’yı hedef alan kötü amaçlı yazılım, ABD ve Avustralya’nın yanı sıra Avrupa’daki diğer ülkelerdeki işletmeleri de etkiledi. Bunlardan biri, NotPetya’nın üretim tesislerini ve kritik uygulamalarını kapattığını ve sonuçta tıp devinin 40.000’den fazla bilgisayarına bulaştığını söyleyen Merck’ti.
Mahkeme belgelerine göre, o dönemde Merck’in mülk sigortası programı, 150 milyon $’ın üzerindeki muafiyetin üzerindeki toplam limitleri 1,75 milyar $ olan “tüm riskleri” kapsayan poliçeler içeriyordu.
Ocak 2022’de New Jersey Yüksek Mahkemesi, Merck’in sekiz sigortacısını hava koşullarına karşı koruma sağlamadıkları için dava etmesinden sonra ilaç devine 1,4 milyar dolar verdi. Sigorta şirketleri, 699.475.000 $ veya Merck’in toplam teminat tutarının yaklaşık yüzde 40’ını ödemeye itiraz ettiler.
Bu haftaki karar, önceki mahkemenin kararını onadı.
Temyiz heyeti, “Burada, NotPetya saldırısı, bir muhasebe yazılımı sağlayıcısına karşı askeri olmayan bir siber saldırı olduğundan, askeri bir eylem veya hedefle yeterince bağlantılı değil” dedi. “Sigortacıların bu davanın koşulları altında uygulanan hariç tutmayı, yani bu siber saldırının hariç tutma kapsamında tasarlandığı şekliyle ‘düşmanca’ veya ‘savaşçı’ bir eylem olduğu sonucuna vardık.”
Kararın sigorta poliçesi sahipleri için bir kazanımı temsil ettiği ve sigorta şirketlerinin devlet bağlantılı siber saldırılar için her şeyi yakalama olarak savaş dışlamasını kullanmasını zorlaştıracağı söylendi.
Deepwatch’tan Gray, “Savaş terimleriyle ifade edersek, Ukrayna sistemleri hedef alındı ve diğer herkes tali hasardı. Son karar etkili bir şekilde bu tali hasarın ‘gerçekleştiğini’, ancak alıcıların saldırgan bir savaş eylemiyle hedef alınmadığını söylüyor” dedi. saldırı raporlama ve müzakereler konusunda sigortacılarla çalışır.
“Savaş eylemi” teriminin geniş bir şekilde kullanılmasını engelleyen şüphesiz siyasi sonuçlar da var” dedi.
Savaş muafiyetlerine ‘darbe’
GuidePoint Security’den dijital adli tıp ve olay müdahalesi ve tehdit istihbaratından sorumlu Başkan Yardımcısı Mark Lance, şunları söyledi: Kayıt kararın “onların yollarına bir darbe” olduğunu [insurance companies] iş yürütüyor” ifadelerine giderek artan bir vurgu yaparak bu savaş gereği hükümlerine vurgu yapmaktadır.
Lloyd’s of London geçen yıl sigorta poliçelerinin kayıpları karşılamayı bırak belirli ulus-devlet siber saldırılarından ve 1 Nisan 2023’ten itibaren ilan edilmiş olsun ya da olmasın savaşlar sırasında meydana gelenlerden.
Ayrıca 2022’de Mondelez International davasını sonuçlandırdı sigortacı, 2017 NotPetya salgınının ardından atıştırmalık devinin 100 milyon dolarlık artı temizlik faturasını karşılamayı reddettiği için açtığı Zurich American Insurance Company’ye karşı. Zürih, benzer bir savaş dışlama gerekçesi ile atıştırmalık devinin iddialarını reddetmişti.
Lance, Merck kararının “belirli bir bölgeyle ilişkilendirilen ancak bir savaş nedeni olarak görülmeyen bir saldırının olduğu bu emsali oluşturduğunu” söyledi. Kayıt.
“Bu karara dayanarak, şu anda sigortanın teminatı sağlaması veya ödeme yapması gerekmediği herhangi bir durum düşünemiyorum” dedi ve tek istisnanın bir sigortacının doğrudan bağlantı kurabilmesi olduğunu da sözlerine ekledi. Rusya-Ukrayna çatışmasına yönelik bir siber saldırı.
Lance, “Bunun dışında, bu daha benzersiz fidye yazılımları veya başka herhangi bir şey için, bir ulus devletle ilgili belirli bir tehdit aktörüne atıfta bulunmak gerçekten zor” dedi.
Hedberg, bu arada sigorta poliçelerinin buna göre ayarlanması gerekeceğini söyledi.
Fidye yazılımını unutma
“Dünya sanallaşmaya devam ettikçe, kinetik dünyanın yasalarına dayanan birçok ürün ve hizmet gelişme ihtiyacıyla karşı karşıya kalacak” dedi. “Sigorta, savaşın sigorta edilemez olduğunu her zaman açıkça ortaya koydu. Sanal bir savaş her zaman kurgu ve fantezi alanında yaşadı. Potansiyelin var olduğunu biliyoruz ve bazı argümanlara göre meydana geliyor.”
Hedberg, fidye yazılımını “sigortacıların ve poliçe sahiplerinin çıkarları ile kamu politikasını dengelemeyi” hedeflese de, sanal ve kinetik dünya birbiriyle daha bağlantılı hale geldikçe daha fazla soru ortaya çıkardığını ve zorlaştığını söyledi. örnek.
“Sigortalılarımızı korumak, sigorta yaptırmalarının sebebidir” diye devam etti. “Maalesef bu, devlet destekli düşman bir hasmı finanse etmek için fidye ödemek anlamına geliyorsa, bu ülkemizin çıkarına değildir. Bununla ilgili gelişmenin devam edeceğini öngörüyoruz ve hem poliçe sahiplerimizi korumak hem de hasımlarımızı fidyenin mali avantajından mahrum bırakmak için bir yol olduğunu umuyoruz.” fidye yazılımı saldırıları.” ®