2017 yılında NotPetya kötü amaçlı yazılımından ağır şekilde etkilenen ilaç şirketi, tazminat alabilmek için sigortacısı olan Amerikan şirketi Ace American’a başvurmuştu.
Şirket, gerçek sahte fidye yazılımının neden olduğu hasarın o sırada yaklaşık 1,4 milyar dolar olduğunu tahmin ediyordu. Şans eseri: Şirket, sigortacısı ile tüm riskleri kapsayarak 1,7 milyar dolara kadar geri ödeme almayı ummasına izin verdi.
Siber saldırı mı siber savaş mı?
Ancak Ace American aynı fikirde değildi: sigortacıya göre NotPetya aslında “Rus hükümeti tarafından Ukrayna ile olan ihtilafında kullanılan bir araçtı” ve bu nedenle sözleşmede öngörülen hariç tutma maddesini fiiller için kullanmanın meşru olduğunu düşündü. askeri bir çatışma bağlamında neden oldu.
Merck’i büyük ölçüde memnun etmeyen bir yorum. İkincisi, bu nedenle sigortacısına karşı döndü ve 2019’da dava açarak Amerikan mahkemelerinden anlaşmazlığı çözmesini istedi. New Jersey mahkemesi davayla ilgili kararını Aralık 2021’in başlarında yayınladı ve Merck lehine karar verdi.
Amerikalı yargıçlara göre, sözleşmede yer alan hariç tutma maddesi, silahlı çatışma içeren davaları dikkate almak üzere kaleme alındığı için geçerli değil. Hakim, bir uyuşmazlık durumunda bilgisayar saldırılarının gerçekten kullanılabileceğini belirtir, ancak sigortacının bu özel davayı dahil etmek için hariç tutma maddesini yeniden çalışması gerektiğini düşünür. Bu yapılmadığından, Merck’in “bu dışlama maddesinin yalnızca silahlı çatışmalara uygulandığını düşünmeye hakkı olduğuna” inanıyor.
NotPetya, bu bir içki savaşı değil
NotPetya sıradan bir kötü amaçlı yazılım değildi: Bu gerçek sahte fidye yazılımı 2017’de dağıtıldı ve daha önce WannaCry kötü amaçlı yazılımı tarafından kullanılan bir güvenlik açığı olan kötü şöhretli EternalBlue açığından yararlanılarak yayıldı. Yazılım öncelikle Ukraynalı şirketleri hedef aldı ve ilk enfeksiyonlar popüler Ukrayna muhasebe yazılımına kötü amaçlı bir güncelleme yoluyla dağıtıldı. Ancak gerçek amacı veri ve sabotaj sistemlerini yok etmek olan bu kötü amaçlı yazılımdan birçok ikincil kurban da etkilendi. Ukrayna gizli servisi, görünüşe göre ABD istihbarat topluluğu tarafından paylaşılan bir analize göre, kötü amaçlı yazılımın arkasındaki organizasyon olarak Rus hükümetini hızla seçti. Rusya ise herhangi bir müdahaleyi reddediyor.
Teminat zararları
Haziran 2017’de dağıtılan bu kötü amaçlı yazılım, şirketler arasında pek çok kurbana neden oldu: Merck, bu nedenle etkilenen 40.000’den fazla bilgisayarı esefle karşılıyor, ancak Saint-Gobain gibi Fransız şirketleri de virüsten etkilenmişti.
Merck ile sigortacısı arasındaki NotPetya konusundaki hukuki anlaşmazlık, siber saldırılarla bağlantılı risklere karşı sigorta için doğru dengeyi bulmaya çalışan sigorta sektörü tarafından yakından takip ediliyordu.
Devlet güçleri arasındaki çatışmalar bağlamında bilgisayar saldırılarının artan kullanımı göz önüne alındığında, birçok sigortacının Ace American’a benzer bir kaderi önlemek için hükümlerini gözden geçirmeye çalışacağı düşünülebilir.