事件回顧
2017年,NotPetya網(wǎng)絡(luò)攻擊致使默克這家全球制藥商的30000多臺筆記本電腦和臺式計(jì)算機(jī)以及7500臺服務(wù)器癱瘓����,銷售���、制造和研究部門都受到打擊。默克公司初步估計(jì)該惡意軟件造成了8.7億美元的損失����。尤其是,NotPetya嚴(yán)重削弱了默克的生產(chǎn)設(shè)施�,以至于當(dāng)年無法滿足對人類乳頭瘤病毒(HPV)可能導(dǎo)致宮頸癌的領(lǐng)先疫苗Gardasil 9的需求。默克必須從國家儲備庫借出180萬劑藥物(美國的全部應(yīng)急物資)��。默克花了18個(gè)月的時(shí)間才補(bǔ)充了存貨����,花費(fèi)2.4億美元。
默克在遇到網(wǎng)絡(luò)攻擊時(shí)做了我們所有人都會做的事情:它轉(zhuǎn)向了保險(xiǎn)公司�。畢竟,通過其財(cái)產(chǎn)保險(xiǎn)�,該公司在自己承擔(dān)1.5億美元的免賠額之后,希望保險(xiǎn)公司承擔(dān)包括破壞計(jì)算機(jī)數(shù)據(jù)�,程序和軟件在內(nèi)的災(zāi)難性風(fēng)險(xiǎn),總計(jì)17.5億美元���。因此�����,當(dāng)其30家保險(xiǎn)公司和再保險(xiǎn)公司中的大多數(shù)都拒絕根據(jù)這些保單的承保范圍賠款給默克時(shí)�����,默克感到了震驚�。為什么?因?yàn)槟酥扑幍呢?cái)產(chǎn)保險(xiǎn)措辭明確排除了另一類風(fēng)險(xiǎn):戰(zhàn)爭行為。
(相關(guān)資料圖)
默克公司起訴其保險(xiǎn)公司���,包括安聯(lián)(Allianz SE)和美國國際集團(tuán)(American International Group Inc.)等行業(yè)巨頭違反保險(xiǎn)合同�����,最終要求賠償14億美元的損失����。
案件結(jié)果
最近����,默克制藥公司贏得了上訴�����,這可能意味著其保險(xiǎn)公司將不得不支付與2017年NotPetya網(wǎng)絡(luò)攻擊相關(guān)的14億美元判決。新澤西州上訴法院的法官在審理上訴時(shí)指出�����,“戰(zhàn)爭”的簡單定義適用于各種保險(xiǎn)政策����,針對一家沒有參與敵對行動的制藥公司的網(wǎng)絡(luò)攻擊,雖然是犯罪行為���,但并不等同于戰(zhàn)爭行為����。
正如法官判決書中詳述的那樣����,許多原被告都與默克公司達(dá)成了保險(xiǎn)索賠的和解。在另一起涉及跨國食品和飲料公司億滋國際(Mondelez International)和蘇黎世美國保險(xiǎn)(Zurich American Insurance)的案件中����,雙方也達(dá)成了和解。
Lloyd的和解為網(wǎng)絡(luò)保險(xiǎn)的未來提供了線索
保險(xiǎn)公司對上訴的拒絕以及倫敦Lloyd保險(xiǎn)公司在2023年3月采取的行動���,為我們理解未來可能如何處理網(wǎng)絡(luò)保險(xiǎn)提供了一些方向�����,即“網(wǎng)絡(luò)安全除外”(cybersecurity exclusions)將得到更明確的定義���。保險(xiǎn)法學(xué)者(Insurance Law Scholars)在Lloyd一案中提交的一份“amici 簡報(bào)”指出����,初審法院的裁決應(yīng)該得到肯定��,因?yàn)樗暗玫搅藨?zhàn)爭除外條款的起草歷史的支持”����,而且保險(xiǎn)公司“沒有使用現(xiàn)成的保險(xiǎn)單條款,這些條款本可以排除或限制網(wǎng)絡(luò)相關(guān)事件的承保范圍”���。
在默克案的法官判決書的第23頁��,措辭更為直接:“只有當(dāng)我們將‘?dāng)硨Α暮x擴(kuò)展到其外部極限�����,試圖將其應(yīng)用于對一家非戰(zhàn)斗公司——它為各種非戰(zhàn)斗人員客戶提供服務(wù),所有這些都完全不在任何武裝沖突或軍事目標(biāo)的范圍內(nèi)——的網(wǎng)絡(luò)攻擊時(shí)����,才適用于保險(xiǎn)范圍排除�����?!狈ü賯冎赋?���,這種做法將與要求法院狹隘地解釋保險(xiǎn)范圍排除的基本原則相沖突。排除法中一個(gè)詞或短語的具體�����、清楚��、明確和突出的含義�,以及其明確的含義和意圖,不等于其最廣泛的解釋�,而是最狹隘的解釋。
如果這是一場足球比賽�����,法庭似乎會稱這是保險(xiǎn)公司的“烏龍球”。
為什么定義什么是戰(zhàn)爭很重要?
戰(zhàn)爭免責(zé)條款被認(rèn)定不適用�����,法院用保險(xiǎn)公司自己的話詳細(xì)說明了拒絕的“原因”�����。在我這樣的外行看來���,法官們似乎認(rèn)為保險(xiǎn)公司有充足的時(shí)間來調(diào)整他們的政策動態(tài)����,卻沒有抽出時(shí)間去做��。
為此��,我特地聯(lián)系了紅點(diǎn)網(wǎng)絡(luò)安全公司(Redpoint Cybersecurity)負(fù)責(zé)客戶關(guān)系的副總裁�����、貝勒法學(xué)院(Baylor law School)網(wǎng)絡(luò)安全法兼職教授Violet Sullivan��,詢問了她的專業(yè)看法�����。她認(rèn)為�����,這項(xiàng)裁決很可能會上訴到新澤西州最高法院����。此外,她指出����,保險(xiǎn)公司負(fù)有舉證責(zé)任,法院和上訴法官裁定保險(xiǎn)公司沒有盡到舉證責(zé)任��。
地面戰(zhàn)爭VS網(wǎng)絡(luò)戰(zhàn)爭
Sullivan認(rèn)為�����,這不是一個(gè)歸屬問題�����,也不是一個(gè)確定攻擊與哪個(gè)外國政府有關(guān)的問題�,整個(gè)2022年的初步?jīng)Q定取決于對物理/動態(tài)或網(wǎng)絡(luò)戰(zhàn)的任意區(qū)分�。它的重點(diǎn)是襲擊的性質(zhì)以及戰(zhàn)爭在政策和法律先例中的意義��。
也就是說�����,當(dāng)一個(gè)國家的情報(bào)機(jī)構(gòu)開展秘密行動時(shí)�����,政府的目標(biāo)是始終對任何非法行為保持合理的否認(rèn)��。NotPetya的攻擊是否得到了俄羅斯聯(lián)邦的支持?這些保險(xiǎn)公司的網(wǎng)絡(luò)咨詢公司克羅爾網(wǎng)絡(luò)安全公司(Kroll Cyber Security)在法庭上“非常有信心”地表示���,這次攻擊是“由為俄羅斯聯(lián)邦工作或代表俄羅斯聯(lián)邦的行為者精心策劃的”�����。然而�,如果一個(gè)國家政府不打算將攻擊歸因于民族國家的贊助��,那么保險(xiǎn)實(shí)體將很難在沒有明確的網(wǎng)絡(luò)安全排除條款的情況下在法庭上成功做到這一點(diǎn)�����。
