Oreos ve Ritz Crackers’ın üreticisi Mondelez International, sağlayıcının 2017’de yayılan NotPetya fidye yazılımı saldırısından kaynaklanan milyonlarca dolarlık bir temizleme faturasını karşılamayı reddetmesinin ardından siber sigorta şirketine karşı bir dava açtı.
Atıştırmalık devi, Zurich American Insurance’a davayı, NotPetya’nın büyük çok uluslu şirketlere yönelik küresel siber aramasını tamamladıktan sonra 2018’de geri açtı ve dava o zamandan beri devam ediyor. mahkemede bağlı. Anlaşmanın şartları açıklanmadı, ancak bir “uzlaşma”, siber sigorta hariç tutma maddelerinin bir sorunun ne kadar zorlu olabileceğini gösteren bir uzlaşma çözümünü gösterecektir.
NotPetya: Savaş Yasası mı?
Dava, siber sigorta poliçesindeki sözleşme şartlarına, özellikle de savaş eylemlerinin neden olduğu zararlar için bir istisnaya dayanıyordu.
ABD hükümetinin 2018’de “tarihin en yıkıcı ve en maliyetli siber saldırısı” olarak adlandırdığı NotPetya, küresel olarak yayılmadan önce Ukrayna’nın hedeflerinden ödün vererek başladı ve sonuçta 65 ülkedeki şirketleri etkiledi ve milyarlarca zarara mal oldu. Kötü amaçlı yazılımın Microsoft SMB dosya paylaşımlarını kullanarak sistemden sisteme kendi kendine yayılmasını sağlayan, sızdırılmış bir NSA silahı olan saldırı zincirinde EternalBlue solucan saldırısının kullanılması sayesinde hızla yayıldı. Saldırının önemli kurbanları arasında FedEx, nakliye devi Maersk ve ilaç devi Merck vardı.
Mondelez örneğinde, kötü amaçlı yazılım 1.700 sunucusunu ve şaşırtıcı bir şekilde 24.000 dizüstü bilgisayarı kilitledi ve şirketi aciz bıraktı ve 100 milyon dolardan fazla hasar, arıza süresi, kar kaybı ve iyileştirme maliyetlerinden sarsıldı.
Sanki bu yutmak için yeterince zor değilmiş gibi, yiyecek kahunası kısa süre sonra bir siber sigorta talebinde bulunduğunda Zurich American’dan gelen yanıtta boğulurken buldu: Sigortacı, yukarıda belirtilen hariç tutma maddesini gerekçe göstererek masrafları karşılama niyetinde değildi. bir “hükümet veya egemen güç” tarafından “barış veya savaş zamanında düşmanca veya savaş benzeri eylem” dili.
Dünya hükümetlerinin NotPetya’yı Rus devletine atfetmeleri ve saldırının Moskova’nın bilinen bir kinetik hasımını vurmaya yönelik orijinal misyonu sayesinde, Zurich American’ın bir davası vardı – Mondelez saldırısının kesinlikle kasıtsız tali hasar olmasına rağmen.
Ancak Mondelez, Zurich American’ın sözleşmesinin, bir saldırıda neyin kapsanıp kapsanamayacağına ilişkin netlik eksikliği göz önüne alındığında, masada bazı tartışmalı kırıntılar bıraktığını savundu. Spesifik olarak, sigorta poliçesi, bir makine kodunun kötü niyetli girişinin neden olduğu kayıp veya hasar dahil olmak üzere elektronik verilere, programlara veya yazılımlara yönelik “tüm” üzerinde vurgulanan “tüm fiziksel kayıp veya hasar risklerini” kapsayacağını açıkça belirtti. veya talimat.” NotPetya’nın mükemmel bir şekilde somutlaştığı bir durum.
Küçük ve orta ölçekli işletmeler (KOBİ’ler) için bir siber sigorta sağlayıcısı olan Cowbell Cyber’de sigortacılık başkanı Caroline Thompson, net siber sigorta poliçesi ifadesinin eksikliğinin Mondelez’in temyizi için kapıyı açık bıraktığını ve bir uyarı mesajı olarak hareket etmesi gerektiğini belirtiyor. kapsama pazarlığı yapan diğerlerine.
Dark, “Siber tehditler gelişmeye devam ederken, işletmeler dijital operasyonlara bağımlılıklarını artırırken ve jeopolitik gerilimler yaygın bir etkiye sahip olmaya devam ederken, kapsamın kapsamı ve savaş istisnalarının uygulanması sigortacılar için en zorlu alanlardan biri olmaya devam ediyor” dedi. Okuma. “Sigortacıların poliçelerinin koşullarına aşina olmaları ve gerektiğinde açıklama aramaları, aynı zamanda risk ve maruziyetlerinin hızına göre gelişebilen ve adapte olabilen modern siber politikaları tercih etmeleri çok önemlidir.”
Savaş Hariç Tutmaları
Siber sigorta için savaş hariç tutmalarını sağlamada göze çarpan bir sorun var: saldırıların gerçekten “savaş eylemleri” olduğunu kanıtlamakta zorluk çekiyor – genellikle kimin adına gerçekleştirildiklerini belirlemeyi gerektiren bir yük.
En iyi durumda, atıf, bir bilimden çok bir sanattır ve kendinden emin herhangi bir parmakla işaret etmenin temelini oluşturan değişen bir dizi kriter vardır. Gelişmiş kalıcı tehdit (APT) ilişkilendirmesinin gerekçeleri, genellikle ölçülebilir teknoloji yapılarından veya altyapı ve araçlarda bilinen tehditlerle örtüşmelerden çok daha fazlasına dayanır.
Squishier kriterleri, mağduriyet (yani, hedefler devlet çıkarları ve politika hedefleriyle tutarlı mı?; sosyal mühendislik cazibelerinin konusu; kodlama dili; gelişmişlik düzeyi) gibi yönleri içerebilir (saldırganın iyi kaynaklara sahip olması gerekiyor mu? pahalı bir sıfır gün kullanıyorlar mı?) ve güdü (saldırı casusluk, yıkım veya mali kazanç amaçlı mı?) Ayrıca, bir rakibin bir rakibi veya rakibi çerçevelemek için bu kolları manipüle ettiği sahte bayrak operasyonları sorunu da var.
“Benim için şok edici olan, bu saldırıların makul bir şekilde bir devlete atfedilebileceğini doğrulama fikri – nasıl?” CrowdSec’in CEO’su ve kurucu ortağı Philippe Humeau diyor. “İyi becerilere sahip bir siber suçlunun operasyon üssünü pek takip edemeyeceğiniz iyi bilinir, çünkü operasyonlarını hava boşluğu yapmak onların oyun kitaplarının ilk satırıdır. İkincisi, hükümetler siber suçlular için koruma sağladıklarını gerçekten kabul etmeye istekli değiller. Üçüncüsü, dünyanın birçok yerindeki siber suçlular genellikle, kendilerine fon sağlayan her türlü varlığa/ulus-devlete bağlı, korsanlar ve paralı askerlerin bir karışımıdır, ancak bağlantıları hakkında herhangi bir soru olduğunda tamamen genişletilebilir ve reddedilebilir.”
Bu nedenle, terör grupları veya terör grupları gibi bir saldırının sorumluluğunu üstlenen bir hükümet olmadığında, çoğu tehdit istihbarat firması devlet destekli atıfları “düşük/orta/yüksek güvenle XYZ’nin saldırının arkasında olduğunu belirledik” gibi ifadelerle uyarır ve , önyüklemek için, farklı firmalar herhangi bir saldırı için farklı kaynaklar belirleyebilir. Profesyonel siber tehdit avcılarının suçluları tespit etmesi bu kadar zorsa, siber sigorta eksperlerinin becerilerin çok küçük bir kısmıyla çalışmasının ne kadar zor olduğunu bir düşünün.
Humeau, bir savaş eyleminin kanıtlanmasının standardı geniş bir hükümet konsensüsü ise, bunun da sorunlar yarattığını söylüyor.
Humeau, “Saldırıları ulus devletlere doğru bir şekilde atfetmek, tarihsel olarak hem zor hem de yavaş olduğu kanıtlanmış olan ülkeler arası yasal işbirliğini gerektirecektir” diyor. Dolayısıyla, bu saldırıları asla ‘ona boyun eğmeyecek’ ulus devletlere atfetme fikri, yasal olarak şüpheye çok fazla yer bırakıyor.”
Siber Sigortaya Varoluşsal Bir Tehdit mi?
Thompson’ın görüşüne göre, günümüz ortamındaki gerçeklerden biri, dolaşımdaki devlet destekli siber faaliyetlerin büyük bir hacmidir. Veri güvenliği şirketi Theon Technology’de avukat ve danışma konseyi üyesi olan Bryan Cunningham, giderek daha fazla sigortacının bu tür faaliyetlerden kaynaklanan tüm iddiaları reddetmesi durumunda gerçekten çok az ödeme olabileceğini belirtiyor. Ve nihayetinde şirketler, siber sigorta primlerini artık buna değer görmeyebilir.
“Önemli sayıda yargıç, bir ulus devletin dahil olduğu iddiası üzerine taşıyıcıların siber saldırıları kapsam dışı bırakmasına gerçekten izin vermeye başlarsa, bu, 11 Eylül’ün (geçici olarak) ticari gayrimenkul için olduğu gibi siber sigorta ekosistemi için de yıkıcı olacaktır. ,” diyor. “Sonuç olarak, pek çok yargıcın bunu satın alacağını düşünmüyorum ve her halükarda kanıt, neredeyse her zaman zor olacak.”
Farklı bir şekilde, ImmuniWeb’in baş mimarı ve CEO’su Ilia Kolochenko, siber suçluların istisnaları kendi avantajlarına kullanmanın bir yolunu bulacağını ve bir politikaya sahip olmanın değerini daha da azaltacağını belirtiyor.
“Sorun, tanınmış siber tehdit aktörlerinin olası bir kimliğine bürünmesinden kaynaklanıyor” diyor. “Örneğin, herhangi bir devletle ilgisi olmayan siber suçlular, nihai sigorta kapsamını hariç tutarak kurbanlarına verilen zararı büyütmek isterse, izinsiz girişleri sırasında devlet destekli ünlü bir bilgisayar korsanlığı grubunu taklit etmeye çalışabilirler. Siber sigorta piyasası, çünkü herhangi bir sigorta, sigorta kapsamını gerçekten gerektiren ve ödenen primleri haklı çıkaran en ciddi durumlarda boşa çıkabilir.”
Dışlama Sorunu Kararsız Kaldı
Mondelez-Zürih Amerikan anlaşması, sigortacının amacını en azından kısmen yerine getirmeyi başardığını (veya belki de iki tarafın da daha fazla yasal masrafa katlanmak için midesi olmadığını) gösteriyor gibi görünse de, çelişkili yasal emsal var.
arasında bir başka NotPetya vakası Merck ve ACE Amerikan Sigorta Ocak ayında, New Jersey Yüksek Mahkemesi, savaş eylemi istisnalarının yalnızca gerçek dünyadaki fiziksel savaşları kapsadığına ve sigortacının 1.4 milyar dolarlık tazminat ödemesine yol açtığına karar verdiğinde, aynı meselenin üzerine yatırıldı.
Bölgenin istikrarsız doğasına rağmen, bazı siber sigortacılar, özellikle Lloyd’s of London olmak üzere, savaş istisnaları ile ilerliyorlar. Ağustos ayında piyasanın gözüpek üyesi sendikalarına Nisan 2023’ten itibaren devlet destekli siber saldırılar için kapsama almaları gerekeceğini söyledi. Notta, fikrin sigorta şirketlerini ve sigortacılarını feci kayıplardan korumak olduğu belirtildi.
Öyle olsa bile, bu tür politikaların başarısı görülecektir.
Theon’dan Cunningham, “Lloyd’s ve diğer taşıyıcılar, bu tür istisnaları daha güçlü ve mutlak hale getirmek için çalışıyorlar, ancak bunun da nihayetinde başarısız olacağını düşünüyorum, çünkü siber sigorta endüstrisi muhtemelen bu tür değişikliklere uzun süre dayanamayacak” dedi.