İlaç üreticisi Merck’in, NotPetya silecek solucanının işine verdiği zararlar nedeniyle sigorta şirketleriyle uzun süredir devam eden hukuki mücadelesi, şirketin, iddia edilen 1,4 milyar dolarlık tazminatın 699 milyon dolarını gerekçe göstererek ödemeyi reddeden bir grup sigorta şirketiyle anlaşmaya varmasıyla geçen hafta sona erdi. düşmanca/savaş benzeri eylemlerin hariç tutulması hükümleri.
Merck, anlaşmanın ayrıntıları konusunda sessiz kaldı ve herhangi bir yorum talebinde bulunmadı, ancak bildirilen yerleşim Siber sigorta endüstrisi uzmanları, davanın, ilaç üreticisi için iki kararın da dahil olduğu mahkemelerdeki uzun süreçten daha az etkiye sahip olacağını söylüyor. Siber sigorta şirketleri, Lloyd’s gibi büyük sigorta şirketlerinin zorunlu kıldığı bir görev olan, poliçelerindeki savaş eylemi maddelerini zaten açıklığa kavuşturdu.
Siber sigorta şirketi Coalition’ın sigorta başkanı Shawn Ram, asıl meselenin devlet destekli aktörler tarafından gerçekleştirilen zarar verici siber saldırıların belirli bir poliçenin dışında tutulup tutulmayacağı olduğunu söylüyor.
“Dilde çok fazla çeşitlilik var ve ilişkilendirme zorlayıcı olabilir” diyor. “Dünya çapında hükümetle bir şekilde bağlantısı olan kuruluşlardan sıklıkla saldırılar oluyor, ancak bu saldırılar nadiren resmi bir savaş eylemiyle ilişkilendiriliyor.”
Jeopolitik çatışmaların dünya çapında yaygınlaşması ve siber operasyonların birçok ülkenin cephaneliğinde ortak bir taktik olması nedeniyle, saldırganın bir ülkenin ordusu ya da bağımsız bir siber suç grubu olması fark etmeksizin, giderek daha fazla şirket zarar verici siber saldırılardan kaynaklanan riskleri azaltmanın yollarını arıyor. Merck davasının kararı, Ulusal Üreticiler Birliği’nden Restoran Hukuku Vakfı’na kadar işletmeler ve büyük endüstri kuruluşları için bir umut ışığı gibi görünüyor. Merck’in davasını desteklemek için savundu.
Merck’in davası şunlardan kaynaklandı: NotPetya saldırısı Haziran 2017’de dünya çapındaki şirketleri ve kuruluşları etkileyen, sabit diskleri silen, operasyonları aksatan ve önemli iş kayıplarına neden olan salgın. Merck için, saldırı yıkıcıydı, araştırma, satış ve üretimin (bazı durumlarda haftalarca) durdurulması ve hasarların 1,4 milyar dolara ulaşmasıyla sonuçlandı. Ancak bazı sigortacılar zararları ödemeyi reddettiyaygın saldırının, sigorta poliçelerinde yaygın olan savaş eylemi hükümlerinin ve özellikle de iddiada bulunduğu Merck’in mülk sigortası poliçesinin kapsamına girdiğini iddia etti.
Forrester Research’ün kıdemli analistlerinden Alla Valente, sigorta sektörünün bu istisnaları netleştirmeye yönelik yaygın çabalarından sonra bile şirketlerin dikkatli olmaları ve ihtiyaç duydukları teminatı aldıklarından emin olmaları gerektiğini söylüyor.
“Tüm kuruluşların ayrıntılı metni – bu şartları, bu koşulları – okuması ve ayrıca istisnaların neye benzediğini okuması gerçekten önemli, çünkü politika belirli siber saldırı türleri için ödeme yapabilir, ancak diğerleri için ödeme yapmayabilir” diyor. “Ya da belirli bir düzeydeki en iyi güvenlik uygulamalarını sürdürdüğünüz sürece siber saldırıların bedelini ödeyebilirler.”
İki Kayıp, Üçüncüsünden Kaçınmak
Efsanenin son dönüm noktasında, sigorta şirketleri, ilaç şirketinin hemen önünde Merck’le anlaştı ve sigorta şirketleri davalarını New Jersey Yüksek Mahkemesi önünde tartışacaktı. Merck, ilk duruşma sırasında zaten olumlu kararlar almıştı; mahkeme “tereddüt etmeden” sigorta şirketlerine ve onların düşmanca/savaşçı eylem hariç tutma girişimine karşı karar vermişti. Temyiz mahkemesi daha sonra bu kararı onadı. Mayıs 2023 tarihli kararına göre.
“Buradaki kapsam ancak ‘düşman’ kelimesinin anlamını, tamamıyla yabancı olan çeşitli savaşçı olmayan müşterilere muhasebe yazılımı güncellemeleri sağlayan, savaşçı olmayan bir firmaya yönelik bir siber saldırıya uygulamak amacıyla dış sınırına kadar genişletirsek hariç tutulabilir. Kararda, herhangi bir silahlı çatışma veya askeri hedef bağlamında” ifadeleri yer aldı. “Ancak bu yaklaşım, bir mahkemenin sigorta poliçesi hariç tutulmasını dar bir şekilde yorumlamasını gerektiren temel inşaat ilkelerimizle çelişecektir.”
Sigorta şirketleri uzlaşma yoluyla muhtemelen üçüncü bir kaybı önlese de sigorta sektörü, geniş çaplı siber saldırı salgınlarına yönelik istisnaları netleştirmeye çoktan başlamıştı. Ağustos 2022’de sigorta devi Lloyd’s yayınlanan gereksinimler Siber sigorta endüstrisinin katastrofik kayıplarını en aza indirmek amacıyla devlet destekli siber saldırı istisnaları için sigortacıları için.
“[W]Lloyd’s, siber saldırı risklerini yazarken sigortacıların, fiziksel güç içeren bir savaşın dışında devlet destekli saldırıların meydana gelme olasılığını dikkate alması gerektiğini belirtti. devlet destekli siber saldırı risklerine ilişkin 2022 Piyasa Bülteni. “Bu saldırıların neden olabileceği hasar ve yayılma kabiliyetleri sigortacılar için de benzer bir sistemik risk yaratıyor.”
Çatışma Maddelerini Netleştirin, Saldırı Yüzeyini Daraltın
Anlaşmanın ardından şirketlerin siber sigortaları tarafından hangi zararların karşılanmasını istedikleri konusunda net olmaları daha da önemli. Uyum sağlamak için verileri ve makine öğrenimini kullanmaya odaklanan bir sigorta şirketi olan Cowbell’in tazminat taleplerinden sorumlu şefi Theresa Le, özellikle herhangi bir siber saldırının ne zaman “düşmanca/savaş benzeri bir eylem” olarak sınıflandırılabileceğini ve kapsam dışı bırakılabileceğini özellikle belirlemeleri gerektiğini söylüyor. markete.
“Bu tartışmanın bir kısmı, savaş hariç tutma ifadesinin müşteri için kabul edilebilir olup olmadığını içermelidir. Önde gelen bir siber sigorta sağlayıcısı olarak, piyasanın sistemik ve felaket risklerine maruz kalma durumunu yönetme ihtiyacını anlıyoruz” diyor. “Ekibimiz, siber sigortanın uzun vadeli sürdürülebilirliği ve benimsenmesi için niyetin netliğinin hayati önem taşıdığına inanıyor.”
Ancak Coalition’dan Ram, şirketlerin sigorta talebinde bulunmak zorunda kalmanın, saldırıyı ilk etapta köreltmenin kötü bir alternatifi olduğunun da farkına varması gerektiğini söylüyor.
“Siberin farklı olmasının bir nedeni var; mülkiyetten, özellikle mülkiyetle ilgili felaket olaylarından farklı” diyor. “Depremden ve kasırgadan farklı olarak poliçe sahibinin müdahale etme yeteneği var, değil mi? Yazılımınızı güncelleyebilirsiniz, yama yapabilirsiniz, onu bir VPN’in arkasına koyabilirsiniz; depremi hafifletmek için yapabileceğiniz pek çok şey var büyük ölçekli bir olaya karşı.”