Siber Sigorta, Yönetişim ve Risk Yönetimi, Mevzuat ve Dava
Anlaşmaya Varıldı. Peki Bu Benzer Durumları Nasıl Etkileyebilir?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
5 Ocak 2024
Merck & Co. ile sigorta şirketlerinin 2017 NotPetya siber saldırısından sonra ilaç üreticilerinin taleplerini ödemeyi reddederken “düşmanca savaş benzeri eylem” istisnalarına başvuramayacaklarını belirten 2023 tarihli bir mahkeme kararına itiraz eden birkaç sigorta şirketi arasında önerilen bir anlaşmaya varıldı.
Ayrıca bakınız: Fidye yazılımı yeni Kovid-19, birlikte yaşamamız gereken bir şey mi?
Şu ana kadar anlaşmanın şartları taraflarca açıklanmadı. Ancak Merck, şirketin yaklaşık 40.000 bilgisayarını etkileyen CryptoLocker saldırısı nedeniyle gelir kaybı da dahil olmak üzere 1,4 milyar dolarlık zarara uğradığını iddia etti.
Merck’in sigortacıları, Rusya’nın Ukrayna ile devam eden çatışmasının bir parçası olarak NotPetya kötü amaçlı yazılımını başlattığını ileri sürerek, savaşın hariç tutulmasına dayanarak tazminat talebini reddetti.
Geçtiğimiz Mayıs ayında, New Jersey Temyiz Bölümü’ndeki üç yargıçtan oluşan bir heyet, Merck’in “tüm riskler” mülk sigortası poliçeleri kapsamında NotPetya masraflarının geri ödenmesini talep etme hakkına sahip olduğu yönündeki alt eyalet mahkemesi kararını onadı (bkz: Merck’in NotPetya Sigorta Anlaşmazlığında Kazanması: Bu Ne İfade Ediyor?).
Ancak çok sayıda sigorta şirketi bu karara itiraz etti ve Perşembe günü New Jersey Yüksek Mahkemesinde sözlü tartışmalara başlamaları planlandı. Bunun yerine Çarşamba günü mahkemeden itirazlarının reddedilmesini talep ettiler.
Mahkeme belgeleri, itirazları reddeden sigorta şirketlerinin arasında Aspen Insurance UK Limited, National Union Fire Insurance Company of Pittsburgh ve HDI Global Insurance Company’nin yer aldığını gösteriyor.
Reddedilen itirazda sigorta şirketlerini temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun yorum yapma ve anlaşmaya ilişkin ayrıntılara ilişkin talebini reddetti.
Merck, ISMG’nin yorum talebine hemen yanıt vermedi.
Merck davalarında yer almayan Haynes Boone hukuk firmasının ortağı sigorta avukatı Peter Halprin, anlaşmanın birkaç nedenden dolayı önemli olduğunu söyledi.
“Çözüm muhtemelen temyiz mahkemesinin kararını bozmadan bırakacak ve ilk derece mahkemesinin düşmanca/savaşçı dışlamanın Merck’in kayıpları için geçerli olmayacağı yönündeki kararını onaylayacak” dedi.
“Temyiz mahkemesinin oluşturduğu güçlü emsal göz önüne alındığında, sigortacılar muhtemelen temyizde başarı şanslarının daha fazla mücadeleyi hak etmediğine karar verdiler. Bu emsal bozulmadan sigortacılar, mahkemelerin benzer şekilde ileri sürülen iddiaları kabul etme ihtimalinin düşük olduğunu kabul etmek zorunda kalacaklar. Yazılı istisnalar siber saldırılar için geçerlidir.”
Küresel Serpinti
Haziran 2017’de başlatılan NotPetya saldırıları Merck’in yanı sıra dünya çapında birçok şirketi de etkiledi.
Danimarkalı denizcilik devi AP Møller – Maersk – NotPetya küresel kötü amaçlı yazılım salgını sonucunda 300 milyon dolara kadar zarar etti. Atıştırmalık yiyecek şirketi Mondelez, Zurich Insurance’a yaklaşık 100 milyon dolarlık zarar talebinde bulundu ve dava sonunda 2022’de çözüldü. NotPetya’ya atfedilen toplam hasarın dünya çapında genellikle yaklaşık 10 milyar dolar olduğu tahmin ediliyor.
Merck için saldırının etkisi neredeyse anında görüldü. İlk enfeksiyondan sonraki 90 saniye içinde Merck’in ağındaki yaklaşık 10.000 makineye virüs bulaştı ve bu sayı sonuçta dört katından fazla artacaktı.
2020’de federal savcılar, NotPetya ve diğer bilgisayar korsanlığı olaylarıyla bağlantılı olarak altı Rus askeri yetkilisini suçladı (bkz: Analiz: Rusya’nın Siber Yıkım İştahı Kısıtlanabilir mi?).
2018’de bir Kremlin sözcüsü NotPetya’nın Rusya’ya atfedilmesine itiraz etti ve medyaya Moskova’ya atfedilenlerin “Rus düşmanı bir kampanya” anlamına geldiğini söyledi.