İş Sürekliliği Yönetimi / Felaket Kurtarma , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Pharma Giant’ın Sigortacıları, ‘Savaş’ Dışlamaları Altında Kötü Amaçlı Yazılım Saldırısı Kapsamını Reddetmişti
Marianne Kolbasuk McGee (SağlıkBilgisi) •
4 Mayıs 2023
İlaç devi Merck’in sigortacıları, sigorta şirketlerinin düşmanca veya savaş benzeri eylemler için bir dışlama talebinde bulunamayacağına karar vererek, New Jersey eyaleti temyiz mahkemesinin 2017 NotPetya kötü amaçlı yazılım saldırısından kaynaklanan şirket kayıplarını karşılaması gerektiğine karar verdi.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Pazartesi günü New Jersey Temyiz Bölümü’ndeki üç yargıçlı bir heyetin kararı, bir alt eyalet mahkemesinin Merck’in “tüm riskler” mülk sigortası poliçeleri kapsamında NotPetya masrafları için geri ödeme alma hakkına sahip olduğu yönündeki kararını onadı.
Ace American Insurance, Allianz Global, Liberty Mutual, Zurich American Insurance ve Lloyd’s of London da dahil olmak üzere Merck’in birkaç sigortacısı kararı temyiz etti. Söz konusu olan yaklaşık 700 milyon dolarlık kapsama alanıdır.
Haziran 2017’de, Ukrayna’da yaygın olarak kullanılan bir muhasebe uygulamasında yapılan bir güncellemeden kaynaklanan bir NotPetya cryptolocker saldırısı dalgası başladı. Kötü amaçlı yazılım, genel olarak yaklaşık 10 milyar dolar olarak tahmin edilen toplam zararla tüm dünyaya yayıldı. İlk bulaşmadan sonraki 90 saniye içinde, Merck’in ağındaki yaklaşık 10.000 makineye virüs bulaştı – bu sayı nihayetinde dört kattan fazla olacak.
2020’de federal savcılar, NotPetya ve diğer bilgisayar korsanlığı olaylarıyla bağlantılı olarak altı Rus askeri yetkilisini suçladı (bkz:: Analiz: Rusya’nın Siber İmha İştahı Engellenebilir mi?).
2018’de bir Kremlin sözcüsü, medyaya Moskova’ya yapılan atıfların “Rus düşmanı bir kampanya” olduğunu söyleyerek kötü amaçlı yazılımın Rus niteliğine itiraz etti.
Sigorta şirketleri, NotPetya olayı için “savaşçı” bir dışlamanın geçerli olmayabileceğini kabul etti. Üç yargıç heyeti, “düşmanca” kelimesinin de NotPetya olayı için geçerli olmadığını söyledi.
Yargıç Heidi W. Currier oybirliğiyle alınan kararda, “Dışlama, kötü niyetle motive edilen bir hükümet eyleminden kaynaklanan zararların poliçe tarafından engellendiğini belirtmez” diye yazdı.
Peter Halprin, “Kararın en acil etkisi, aynı dışlayıcı dili içeren davalar üzerinde olacak. Ancak, daha geniş mesaj, sigorta şirketlerinin, bu riskleri karşılamak istemiyorlarsa, hariç tutmak istedikleri riskleri açıkça tanımlamaları gerektiğidir.” hukuk firması Pasich, Information Security Media Group’a söyledi.
Merck, saldırının ardından teminat ödemeleri için sigortacılarıyla mücadele eden tek NotPetya kurbanı değil.
Bunlar arasında Oreo kurabiyeleri, Ritz krakerleri ve Tang meyve aromalı toz üreticisi Mondelez International da var. Mondelez, şirketin gıda üreticisinin Notpetya kötü amaçlı yazılım dalgasından kaynaklanan en az 100 milyon dolarlık tüm riskli mülkiyet politikası kapsamındaki iddiasını reddetmesinin ardından 2018 yılında Zurich Insurance Group’a dava açtı.
İki taraf, anlaşmazlığını geçen Ekim ayında, ikinci haftasında olan bir jüri duruşmasında başlayacak kapanış tartışmalarından hemen önce çözdü.
Liberty Mutual, Zurich ve Allianz Global, ISMG’nin New Jersey temyiz mahkemesinin kararı hakkında yorum yapma talebini reddetti.
Merck ve anlaşmazlığa müdahil olan diğer çeşitli sigortacıları, ISMG’nin yorum talebine hemen yanıt vermedi.