A biztosítóknak háborús kibertámadás esetén is helyt kell állniuk

A NotPetya-vírus 1,4 milliárd dollár kárt okozott a Merck gyógyszeripari óriásnak, de a biztosítók nem akartak fizetni, mert az orosz kiberháborús cselekmény volt.

A Merck biztosítói nem használhatják a "háborús cselekmény" záradékot, hogy megtagadják a gyógyszeripari óriástól a NotPetya fertőzés eltakarításához szükséges hatalmas kifizetést - döntött a New Jersey-i fellebbviteli bíróság. Ezzel a jogtudósok helybenhagytak egy korábbi döntést, miszerint a biztosítók csoportja nem alkalmazhatja a biztosítási kötvényeikben szereplő háborús kizárást, annak ellenére, hogy az amerikai és a brit kormány a NotPetyát a Kreml által támogatott hackereknek tulajdonította, mivel a Merck elleni támadás nem kapcsolódott kifejezetten orosz katonai akcióhoz.

Az ítélet azt jelenti, hogy a Merck végre követelheti a biztosítóktól az 1,4 milliárd dolláros kártérítés kifizetését. Iparági megfigyelők szerint ez a döntés valószínűleg megnehezíti a biztosítótársaságok számára, hogy a háborút ürügyként használják arra, hogy ne fizessék ki a kibertámadásokhoz kapcsolódó veszteségeket. A döntés kétségtelenül hatással lesz a biztosítási kötvényekben használt nyelvezetre is, különösen az olyan kockázatok esetében, mint a zsarolóprogramok és a kiberháború.


A NotPetya 2017 júniusában, a Petya zsarolóprogram után robbant be világszerte. Bár először Ukrajnát célozta meg, a szoftver Európa más országaiban, valamint az Egyesült Államokban és Ausztráliában is megfertőzött vállalkozásokat. Ezek egyike volt a Merck, amelynek a NotPetya leállította termelőüzemeit és kritikus alkalmazásait, és az orvosi óriáscég több, mint 40 000 számítógépét fertőzte meg. Abban az időben a Merck vagyonbiztosítása a bírósági dokumentumok szerint olyan kötvényeket tartalmazott, amelyek "minden kockázatra" kiterjedtek, 1,75 milliárd dolláros teljes összeghatárral, 150 millió dolláros önrész felett.

2022 januárjában a New Jersey-i Legfelsőbb Bíróság 1,4 milliárd dollárt ítélt meg a gyógyszeripari titánnak, miután a Merck beperelte nyolc biztosítóját, mert azok megtagadták a károk fedezését. A biztosítók vitatták, hogy 699 475 000 dollárt, vagyis a Merck teljes fedezeti összegének mintegy 40 százalékát kellett volna kifizetniük. Az e heti ítélet helybenhagyta a korábbi bírósági döntést. "A NotPetya-támadás nem kapcsolódik katonai akcióhoz vagy célhoz, mivel nem katonai célú kibertámadás volt" - mondta ki a fellebbviteli bíróság. "Megállapítjuk, hogy a biztosítók nem bizonyították, hogy a kibertámadás "ellenséges" vagy "háborús" cselekmény lett volna." - áll az ítéletben.

A döntés győzelmet jelent a biztosítási kötvénytulajdonosok számára, és megnehezíti a biztosítók számára, hogy a háborús kizárást a kormányokkal kapcsolatos kibertámadások gyűjtőfogalmaként használják. "Az ukrán rendszereket vették célba, mindenki más pedig járulékos veszteség volt. A mostani ítélet gyakorlatilag azt mondja ki, hogy ez a járulékos kár megtörtént, de a címzettek nem támadó háborús cselekmény révén kerültek célba" - nyilatkozta a Deepwatch biztonsági cég alelnöke, Chris Gray, aki szakértőként vett részt a tárgyalásokon. "Kétségtelenül vannak politikai következmények, amelyek megakadályozzák, hogy a "háborús cselekmény" kifejezést széles körben használják."

Mark Lance, a GuidePoint Security digitális törvényszéki szakértője elmondta, hogy a döntés "csapást jelent a biztosítótársaságok üzleti modelljére, mivel azok egyre nagyobb hangsúlyt fektetnek a hadi cselekményre vonatkozó kizárásokra. A Lloyd's of London tavaly közölte, hogy biztosítási kötvényei 2023. április 1-től kezdődően nem fedezik az egyes nemzetállamok által elkövetett kibertámadásokból és a háborúk során bekövetkező - akár deklarált, akár nem deklarált - veszteségeket. Szintén 2022-ben a Mondelez International megegyezett a Zurich American Insurance Company ellen indított perében, amelyet azért indított, mert a biztosító nem volt hajlandó fedezni a 2017-es NotPetya járványt követő több, mint 100 millió dolláros helyreállítási számlát. A Zurich egy hasonló háborús kizárásra hivatkozva utasította el az élelmiszeripari óriás követeléseit.

A Merck-ügyben hozott ítélet "precedenst teremt arra, hogy van olyan támadás, amely egy bizonyos régióhoz kapcsolódik, de nem tekinthető háborús cselekménynek" - mondta Lance. "A döntés alapján jelenleg nem igazán tudok olyan helyzetet elképzelni, ahol a biztosítónak ne kellene fedezetet nyújtania vagy kifizetéseket teljesítenie" - mondta, hozzátéve, hogy az egyetlen kivétel az lenne, ha a biztosító képes lenne közvetlenül összekapcsolni egy kibertámadást az orosz-ukrán konfliktussal. "Egy zsarolóvírust nagyon nehéz egy nemzetállammal kapcsolatban álló konkrét fenyegető szereplőre visszavezetni" - mondta Lance.

Mindez persze azt is jelenti, hogy a biztosítások ára emelkedni fog, hiszen a biztosítóknak valamiből finanszírozniuk kell a kifizetéseket, és elvileg az állam dolga lenne a más államok által okozott károk csökkentése. "A biztosítók mindig is egyértelművé tették, hogy a háború nem biztosítható. A virtuális térben zajló háború eddig a fikció és a fantázia szférájában lakozott. A biztosítók és a biztosítottak érdekeinek egyensúlyban tartása egyre nehezebbé válik, és egyre több kérdést vet fel, ahogy a virtuális és a fizikai világ egyre jobban összekapcsolódik. Ha egy cégnek olyan váltságdíjat kell fizetni, amely egy ellenséges állam által támogatott ellenfelet finanszíroz, az nem áll országunk érdekében. Reméljük, hogy létezik olyan út, amely egyszerre védi a biztosítottjainkat és fosztja meg ellenfeleinket a váltságdíj-támadásokból származó pénzügyi előnyöktől." - nyilatkozta Peter Hedberg, a Corvus Insurance kockázatkezelő cég szakértője.