Страховщики не могут использовать оправдание военных действий, чтобы избежать Выплата NotPetya в размере 1,4 миллиарда долларов

Страховщики Merck не могут использовать оговорку о «военных действиях», чтобы отказать фармацевтическому гиганту в огромной выплате за очистку от вируса NotPetya, постановил суд.

<р>На этой неделе апелляционный суд Нью-Джерси оставил в силе [PDF] предыдущее решение о том, что группа страховых компаний не может использовать исключение войны в своих страховых полисах — несмотря на то, что правительства США и Великобритании, среди прочего, приписывают NotPetya поддерживаемым Кремлем злодеям — потому что нападение на Merck не было напрямую связано с российскими военными действиями.

Вариант карты освобождения из тюрьмы был просто удален

< /blockquote>

Это решение означает, что Merck наконец-то может потребовать выплату в размере 1,4 миллиарда долларов. И, по мнению отраслевых обозревателей, страховым компаниям, вероятно, будет труднее использовать войну в качестве предлога, чтобы не возмещать убытки, связанные с кибератаками.

«Бесплатная карта для выхода из тюрьмы была просто удалена», — сообщил The Register Крис Грей, вице-президент компании по ИТ-безопасности.

Решение также, несомненно, повлияет на формулировку, используемую в политике андеррайтинга, особенно когда речь идет о таких рисках, как программы-вымогатели и кибервойна, — сказал Питер Хедберг, вице-президент Corvus Insurance по киберандеррайтингу.

«Недавнее решение, касающееся Merck, действительно влияет на нашу линию покрытия», — сказал он The Register. «То, как это происходит, не может быть оценено так рано, но мы знаем, что это важно. Это ни в коем случае не устанавливает руководство по андеррайтингу или позицию по страхованию в отрасли, но это действительно дает толчок к тому, как мы можем создать большую уверенность для держателей полисов».

NotPetya, а не война

Еще в июне 2017 года вредоносное ПО, получившее название NotPetya, поскольку оно маскировалось под программу-вымогатель Petya, распространилось по всему миру.

Хотя сначала оно было нацелено на Украину, вредоносное программное обеспечение также заразило предприятия в других странах Европы, а также в США и Австралии. Одной из них была компания Merck, заявившая, что NotPetya закрыла свои производственные мощности и важные приложения, в конечном итоге заразив более 40 000 компьютеров медицинского гиганта.

В то время программа страхования имущества Merck включала полисы, которые покрывали «все риски» с общим лимитом в 1,75 миллиарда долларов, превышающим франшизу в 150 миллионов долларов, согласно судебным документам.

В январе 2022 года Верховный суд штата Нью-Джерси присудил фармацевту 1,4 миллиарда долларов после того, как Merck подала в суд на восемь своих страховых компаний из-за их отказа в страховом покрытии последствий стихийного бедствия. Страховые компании оспаривали необходимость выплаты 699 475 000 долларов, или около 40 процентов от общей суммы страхового покрытия Merck.

Постановление на этой неделе оставило в силе предыдущее решение суда.

«Здесь атака NotPetya недостаточно связана с военными действиями или целями, поскольку это была невоенная кибератака против поставщика бухгалтерского программного обеспечения», — заявила апелляционная коллегия. «Мы пришли к выводу, что страховщики не продемонстрировали исключение, примененное в обстоятельствах этого дела, а именно, что эта кибератака была «враждебным» или «военным» действием, как это предусмотрено исключением».

Решение представляет собой Нам сказали, что это выигрыш для держателей страховых полисов, и страховщикам будет сложнее использовать исключение войны в качестве универсального средства защиты от кибератак, связанных с правительством.

«Говоря боевым языком, украинские системы были атакованы, а все остальные были побочным ущербом. Недавнее постановление фактически говорит, что этот побочный ущерб «произошел», но получатели не были атакованы в результате наступательных военных действий», — сказал Грей из Deepwatch, который работает со страховщиками по отчету о нападениях и переговорам.

«Несомненно, существуют политические разветвления, препятствующие широкому использованию термина «акт войны», — добавил он.

«Удар» по освобождение от военных действий

Марк Лэнс из GuidePoint Security, вице-президент по цифровой криминалистике, реагированию на инциденты и анализу угроз, сообщил The Registerчто это решение является «ударом по тому, как они [страховые компании] ведут бизнес», при этом все больше внимания уделяется этим положениям о военных действиях.

Lloyd's of London в прошлом году заявил, что его страховые полисы с 1 апреля 2023 г. перестанет покрывать убытки от некоторых кибератак на уровне государства и тех, которые происходят во время войн, объявленных или нет.

Также в 2022 году Mondelez International урегулировала свой иск против Цюрихской американской страховой компании, который она подала, потому что страховая компания отказалась покрыть счет гиганта закусок на сумму более 100 миллионов долларов после вспышки вируса NotPetya в 2017 году. Цюрих отверг претензии гиганта по производству закусок, сославшись на аналогичное исключение войны.

Постановление Merck «создает прецедент, когда у вас есть атака, которая была связана с определенным регионом, но не считалась военным актом, » Лэнс рассказал The Register.

«Исходя из этого постановления, я не могу представить себе ни одной ситуации в настоящее время, когда страховка не потребовалась бы для обеспечения покрытия или осуществления платежей», — сказал он, добавив, что единственным исключением было бы, если бы страховщик мог напрямую связать кибератака на российско-украинский конфликт.

«Кроме того, эти более уникальные экземпляры программ-вымогателей или чего-либо еще действительно трудно отнести к конкретному субъекту угрозы, связанному с национальным государством», — сказал Лэнс.

В то же время страховые полисы должны быть соответствующим образом скорректированы, — сказал Хедберг.

Не забывайте о программах-вымогателях

«Поскольку мир продолжает виртуализироваться, многие продукты и услуги, основанные на законах кинетического мира, столкнутся с необходимостью развития», — сказал он. «Страхование всегда ясно заявляло, что война не подлежит страхованию. Виртуальная война всегда населяла сферу фантастики и фантазии. Мы знаем, что потенциал существует, и по некоторым аргументам происходит».

В то время как цель его фирмы «имеет и будет по-прежнему балансировать государственную политику с интересами страховщиков и страхователей», это становится все труднее и вызывает больше вопросов, поскольку виртуальный и кинетический мир становятся более взаимосвязанными, сказал Хедберг, приведя в качестве примера программу-вымогатель.

< p> «Защита наших застрахованных — это причина, по которой они покупают страховку», — продолжил он. «К сожалению, когда это означает выплату выкупа, который финансирует враждебного противника, поддерживаемого государством, это не в интересах нашей страны. Мы ожидаем дальнейшего развития вокруг этого и надеемся, что существует способ как защитить наших страхователей, так и лишить наших противников финансовой выгоды. атаки программ-вымогателей». ®