事件回顧
2017年���,NotPetya網(wǎng)絡攻擊致使默克這家全球制藥商的30000多臺筆記本電腦和臺式計算機以及7500臺服務器癱瘓���,銷售、制造和研究部門都受到打擊���。默克公司初步估計該惡意軟件造成了8.7億美元的損失���。尤其是,NotPetya嚴重削弱了默克的生產(chǎn)設施�����,以至于當年無法滿足對人類乳頭瘤病毒(HPV)可能導致宮頸癌的領先疫苗Gardasil 9的需求���。默克必須從國家儲備庫借出180萬劑藥物(美國的全部應急物資)����。默克花了18個月的時間才補充了存貨�,花費2.4億美元。
默克在遇到網(wǎng)絡攻擊時做了我們所有人都會做的事情:它轉(zhuǎn)向了保險公司���。畢竟��,通過其財產(chǎn)保險�����,該公司在自己承擔1.5億美元的免賠額之后����,希望保險公司承擔包括破壞計算機數(shù)據(jù)��,程序和軟件在內(nèi)的災難性風險���,總計17.5億美元����。因此,當其30家保險公司和再保險公司中的大多數(shù)都拒絕根據(jù)這些保單的承保范圍賠款給默克時��,默克感到了震驚����。為什么?因為默克制藥的財產(chǎn)保險措辭明確排除了另一類風險:戰(zhàn)爭行為。
(相關(guān)資料圖)
默克公司起訴其保險公司���,包括安聯(lián)(Allianz SE)和美國國際集團(American International Group Inc.)等行業(yè)巨頭違反保險合同����,最終要求賠償14億美元的損失����。
案件結(jié)果
最近,默克制藥公司贏得了上訴��,這可能意味著其保險公司將不得不支付與2017年NotPetya網(wǎng)絡攻擊相關(guān)的14億美元判決�����。新澤西州上訴法院的法官在審理上訴時指出�����,“戰(zhàn)爭”的簡單定義適用于各種保險政策��,針對一家沒有參與敵對行動的制藥公司的網(wǎng)絡攻擊���,雖然是犯罪行為,但并不等同于戰(zhàn)爭行為��。
正如法官判決書中詳述的那樣��,許多原被告都與默克公司達成了保險索賠的和解���。在另一起涉及跨國食品和飲料公司億滋國際(Mondelez International)和蘇黎世美國保險(Zurich American Insurance)的案件中����,雙方也達成了和解�。
Lloyd的和解為網(wǎng)絡保險的未來提供了線索
保險公司對上訴的拒絕以及倫敦Lloyd保險公司在2023年3月采取的行動,為我們理解未來可能如何處理網(wǎng)絡保險提供了一些方向�����,即“網(wǎng)絡安全除外”(cybersecurity exclusions)將得到更明確的定義���。保險法學者(Insurance Law Scholars)在Lloyd一案中提交的一份“amici 簡報”指出�����,初審法院的裁決應該得到肯定�����,因為它“得到了戰(zhàn)爭除外條款的起草歷史的支持”���,而且保險公司“沒有使用現(xiàn)成的保險單條款��,這些條款本可以排除或限制網(wǎng)絡相關(guān)事件的承保范圍”���。
在默克案的法官判決書的第23頁���,措辭更為直接:“只有當我們將‘敵對’的含義擴展到其外部極限�,試圖將其應用于對一家非戰(zhàn)斗公司——它為各種非戰(zhàn)斗人員客戶提供服務�,所有這些都完全不在任何武裝沖突或軍事目標的范圍內(nèi)——的網(wǎng)絡攻擊時�����,才適用于保險范圍排除�����?���!狈ü賯冎赋觯@種做法將與要求法院狹隘地解釋保險范圍排除的基本原則相沖突�����。排除法中一個詞或短語的具體�����、清楚�、明確和突出的含義����,以及其明確的含義和意圖,不等于其最廣泛的解釋�,而是最狹隘的解釋。
如果這是一場足球比賽�,法庭似乎會稱這是保險公司的“烏龍球”���。
為什么定義什么是戰(zhàn)爭很重要?
戰(zhàn)爭免責條款被認定不適用,法院用保險公司自己的話詳細說明了拒絕的“原因”����。在我這樣的外行看來,法官們似乎認為保險公司有充足的時間來調(diào)整他們的政策動態(tài)����,卻沒有抽出時間去做。
為此����,我特地聯(lián)系了紅點網(wǎng)絡安全公司(Redpoint Cybersecurity)負責客戶關(guān)系的副總裁、貝勒法學院(Baylor law School)網(wǎng)絡安全法兼職教授Violet Sullivan�,詢問了她的專業(yè)看法。她認為��,這項裁決很可能會上訴到新澤西州最高法院�。此外,她指出�����,保險公司負有舉證責任�����,法院和上訴法官裁定保險公司沒有盡到舉證責任���。
地面戰(zhàn)爭VS網(wǎng)絡戰(zhàn)爭
Sullivan認為�,這不是一個歸屬問題���,也不是一個確定攻擊與哪個外國政府有關(guān)的問題�����,整個2022年的初步?jīng)Q定取決于對物理/動態(tài)或網(wǎng)絡戰(zhàn)的任意區(qū)分。它的重點是襲擊的性質(zhì)以及戰(zhàn)爭在政策和法律先例中的意義��。
也就是說�����,當一個國家的情報機構(gòu)開展秘密行動時��,政府的目標是始終對任何非法行為保持合理的否認����。NotPetya的攻擊是否得到了俄羅斯聯(lián)邦的支持?這些保險公司的網(wǎng)絡咨詢公司克羅爾網(wǎng)絡安全公司(Kroll Cyber Security)在法庭上“非常有信心”地表示�,這次攻擊是“由為俄羅斯聯(lián)邦工作或代表俄羅斯聯(lián)邦的行為者精心策劃的”�����。然而�����,如果一個國家政府不打算將攻擊歸因于民族國家的贊助�,那么保險實體將很難在沒有明確的網(wǎng)絡安全排除條款的情況下在法庭上成功做到這一點。
