2017年,NotPetya網絡攻擊致使默克這家全球制藥商的30000多臺筆記本電腦和臺式計算機以及7500臺服務器癱瘓,銷售、制造和研究部門都受到打擊。默克公司初步估計該惡意軟件造成了8.7億美元的損失。尤其是,NotPetya嚴重削弱了默克的生產設施,以至于當年無法滿足對人類乳頭瘤病毒(HPV)可能導致宮頸癌的領先疫苗Gardasil 9的需求。默克必須從國家儲備庫借出180萬劑藥物(美國的全部應急物資)。默克花了18個月的時間才補充了存貨,花費2.4億美元。
默克在遇到網絡攻擊時做了我們所有人都會做的事情:它轉向了保險公司。畢竟,通過其財產保險,該公司在自己承擔1.5億美元的免賠額之后,希望保險公司承擔包括破壞計算機數據,程序和軟件在內的災難性風險,總計17.5億美元。因此,當其30家保險公司和再保險公司中的大多數都拒絕根據這些保單的承保范圍賠款給默克時,默克感到了震驚。為什么?因為默克制藥的財產保險措辭明確排除了另一類風險:戰(zhàn)爭行為。
默克公司起訴其保險公司,包括安聯(Allianz SE)和美國國際集團(American International Group Inc.)等行業(yè)巨頭違反保險合同,最終要求賠償14億美元的損失。
案件結果
最近,默克制藥公司贏得了上訴,這可能意味著其保險公司將不得不支付與2017年NotPetya網絡攻擊相關的14億美元判決。新澤西州上訴法院的法官在審理上訴時指出,“戰(zhàn)爭”的簡單定義適用于各種保險政策,針對一家沒有參與敵對行動的制藥公司的網絡攻擊,雖然是犯罪行為,但并不等同于戰(zhàn)爭行為。
正如法官判決書中詳述的那樣,許多原被告都與默克公司達成了保險索賠的和解。在另一起涉及跨國食品和飲料公司億滋國際(Mondelez International)和蘇黎世美國保險(Zurich American Insurance)的案件中,雙方也達成了和解。
Lloyd的和解為網絡保險的未來提供了線索
保險公司對上訴的拒絕以及倫敦Lloyd保險公司在2023年3月采取的行動,為我們理解未來可能如何處理網絡保險提供了一些方向,即“網絡安全除外”(cybersecurity exclusions)將得到更明確的定義。保險法學者(Insurance Law Scholars)在Lloyd一案中提交的一份“amici 簡報”指出,初審法院的裁決應該得到肯定,因為它“得到了戰(zhàn)爭除外條款的起草歷史的支持”,而且保險公司“沒有使用現成的保險單條款,這些條款本可以排除或限制網絡相關事件的承保范圍”。
在默克案的法官判決書的第23頁,措辭更為直接:“只有當我們將‘敵對’的含義擴展到其外部極限,試圖將其應用于對一家非戰(zhàn)斗公司——它為各種非戰(zhàn)斗人員客戶提供服務,所有這些都完全不在任何武裝沖突或軍事目標的范圍內——的網絡攻擊時,才適用于保險范圍排除。”法官們指出,這種做法將與要求法院狹隘地解釋保險范圍排除的基本原則相沖突。排除法中一個詞或短語的具體、清楚、明確和突出的含義,以及其明確的含義和意圖,不等于其最廣泛的解釋,而是最狹隘的解釋。
如果這是一場足球比賽,法庭似乎會稱這是保險公司的“烏龍球”。
為什么定義什么是戰(zhàn)爭很重要?
戰(zhàn)爭免責條款被認定不適用,法院用保險公司自己的話詳細說明了拒絕的“原因”。在我這樣的外行看來,法官們似乎認為保險公司有充足的時間來調整他們的政策動態(tài),卻沒有抽出時間去做。
為此,我特地聯系了紅點網絡安全公司(Redpoint Cybersecurity)負責客戶關系的副總裁、貝勒法學院(Baylor law School)網絡安全法兼職教授Violet Sullivan,詢問了她的專業(yè)看法。她認為,這項裁決很可能會上訴到新澤西州最高法院。此外,她指出,保險公司負有舉證責任,法院和上訴法官裁定保險公司沒有盡到舉證責任。
地面戰(zhàn)爭VS網絡戰(zhàn)爭
Sullivan認為,這不是一個歸屬問題,也不是一個確定攻擊與哪個外國政府有關的問題,整個2022年的初步決定取決于對物理/動態(tài)或網絡戰(zhàn)的任意區(qū)分。它的重點是襲擊的性質以及戰(zhàn)爭在政策和法律先例中的意義。
也就是說,當一個國家的情報機構開展秘密行動時,政府的目標是始終對任何非法行為保持合理的否認。NotPetya的攻擊是否得到了俄羅斯聯邦的支持?這些保險公司的網絡咨詢公司克羅爾網絡安全公司(Kroll Cyber Security)在法庭上“非常有信心”地表示,這次攻擊是“由為俄羅斯聯邦工作或代表俄羅斯聯邦的行為者精心策劃的”。然而,如果一個國家政府不打算將攻擊歸因于民族國家的贊助,那么保險實體將很難在沒有明確的網絡安全排除條款的情況下在法庭上成功做到這一點。
關于企業(yè)網D1net(m.r5u5c.cn):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。