Ohio Yüksek Mahkemesi, Yeni Yıl’dan günler önce, yazılım ve hizmet sağlayıcı EMOI’nin fidye yazılımı saldırısına karşı sigorta kapsamında olmaması gerektiğine dair bir karar yayınladı.
Görüş belgesinde, “Sigorta poliçesi ‘bedensel zararı’ kapsadığında, yazılımın poliçe kapsamına girebilmesi için bilgisayar yazılımını içeren teminat kapsamındaki ortamda doğrudan fiziksel bir kayıp veya fiziksel hasar olması gerekir.”
Bu karar, randevu planlama, tıbbi faturalama ve kayıt tutma için yazılım satan Ohio merkezli bir şirket olan EMOI Services ile ilgili bir alt mahkeme kararını bozdu. 2019’da saldırganlar EMOI’nin bilgisayar sistemlerine erişim sağladı, fidye yazılımı yerleştirdi ve o sırada 35.000 ABD doları tutarında üç Bitcoin fidye talep etti. EMOI Hizmetleri sahipleri, sistemleri düzeltmesi için üçüncü taraf bir satıcı tuttuktan sonra, fidyeyi ödemeleri halinde bunun kendilerine daha az maliyetli olacağını fark ettiler ve öyle de yaptılar.
Şirket fidyeyi ödedikten sonra, saldırganlar verileri geri yüklemek için şifre çözme anahtarını teslim etti. Ancak, EMOI’nin telefon sistemi ve kritik olmayan dosyaları gibi bazı sistemler ve dosyalar şifreli kaldı.
EMOI Hizmetleri, fidye yazılımı saldırısından kaynaklanan kayıplar için bir sigorta talebinde bulunduğunda (fidye ödemesi ve saldırıyı soruşturma, düzeltme ve güvenlik sistemlerini yükseltme ile ilgili maliyetler) poliçe sahibi Owners Insurance Co. iddiayı reddetti. Sigortacılar, saldırının poliçe kapsamında yer alan “medyaya doğrudan fiziksel zarar” vermediğini iddia etti. EMOI Services daha sonra, sözleşmenin ihlali iddiasıyla Owners Insurance Co’ya dava açtı.
Montgomery County’deki Hukuk Mahkemesi, EMOI’nin poliçesinin yalnızca doğrudan veya fiziksel kayıp veya hasarı kapsadığını kabul ederek sigortacının lehine karar verdi. Ancak Temyiz Mahkemesinin İkinci Bölgesi, EMOI’nin kendisine yönelik fidye yazılımı saldırısının yazılımında gerçek hasara neden olduğunu kanıtlaması durumunda potansiyel bir kapsamın mümkün olduğunu söyleyerek bunu tersine çevirdi.
Ohio Yüksek Mahkemesi’ndeki görüş nihayet her şeyi düzeltti: EMOI’nin sigorta poliçesi “gerekliliği açısından açık ve nettir”. Kararda, “Yazılım, doğrudan fiziksel kayıp veya doğrudan fiziksel hasara maruz kalamayan maddi olmayan bir öğe olduğundan, bu davada onay geçerli değildir.” Bu, bilgisayar yazılımını bir “medya” biçimi olarak tanımlayan politikaya rağmen yapıldı.
“EMOI, donanımda herhangi bir hasar olmasa bile poliçenin bu hasarı karşıladığını iddia ediyor. Bu argüman bizi ikna etmedi. ‘Doğrudan fiziksel kayıp veya hasar’ ifadesinin en doğal yorumu, EMOI’nin doğrudan fiziksel ortamının kaybı ve sigortalı olması doğrudan fiziksel Medyasına zarar verilmesi”, mahkeme kararını detaylandırdı. Bu ifadelerdeki vurguların mahkeme belgesinden kopyalandığına dikkat edin.
“Benzer şekilde, ‘bilgisayar yazılımı’ terimi ‘medya’ tanımına dahil olmasına rağmen, yalnızca yazılımın ‘içerdiği’ ölçüde dahil edilir. kapalı medya.’ Biz ‘örtülü medya’nın fiziksel varlığı olan medya anlamına geldiğini düşünüyoruz.”
Insurance Journal ile bir e-posta röportajında, Poliçe sahibinin avukatı K. James Sullivan, Ohio Yüksek Mahkemesinin doğrudan fiziksel kayıp konusuna “20. Yüzyıl merceğinden” baktığını söyledi.
“Pandemiler, bilgisayar sistemlerine zarar verme, hava kalitesine zarar verme vb. gibi yirmi birinci yüzyılın gerçek modellerinden kaynaklanan poliçe sahiplerinde artan sayıda kayıp göreceğimizden şüpheleniyorum, bu yüzden nasıl olacağını izlemek ilginç olacak Sullivan, Ohio Yüksek Mahkemesi, sigortacılar ve poliçe sahiplerinin ileriye dönük uyum sağlayacağını söyledi: “Bu en son görüşlerin temellerine dayanarak, sigorta poliçesi dilinin günümüz Ohio poliçe sahiplerinin karşı karşıya kaldığı gelişen ve ortaya çıkan riskleri yakalaması gerekiyor gibi görünüyor. .”
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.