14億美元訴訟案，什么是戰爭竟然對網絡保險如此重要？

最近，制藥巨頭默克公司贏得上訴，可能意味著其保險公司不得不支付2017年NotPetya網絡攻擊相關的14億美元賠償。聽取上訴法官意見的新澤西州上訴庭法官指出，戰爭的明確定義適用于各種保單，針對未參與敵對行動的會計師事務所的網絡攻擊雖然是惡意犯罪行為，但并不等同于戰爭行為。

正如法官判決中詳細說明的，很多原始被告都就其保險索賠的部分與默克公司達成了和解。另一起類似案件中，跨國食品飲料公司億滋國際（Mondelez International）和蘇黎世美國保險公司（Zurich American Insurance）也達成了和解，錯失對未來如何處理網絡保險產生明顯影響和做出重大調整的機會。

勞合社的和解揭示了網絡保險的未來

保險公司上訴被駁回，以及英國保險與再保險組織倫敦勞合社（Lloyd's of London）在2023年3月采取的一系列動作，為我們了解未來如何處理網絡保險給出了一些方向，即應該更加明確地定義網絡安全除外條款。勞合社案中的保險法學者提交的法庭之友簡報指出，初審法院的裁決應該得到肯定，因為“受戰爭除外條款起草歷史的支持”，而保險公司“未能使用現成的保單條款排除或限制網絡相關事件的保險范圍”。

默克案法官判決書第23頁的措辭更為直接：“此處能排除承保范圍的情況僅限于我們將‘敵對’的含義外延到極限，將之應用于為各種平民客戶提供會計軟件更新的民用企業所遭到的，與任何武裝沖突或軍事目標完全無關的網絡攻擊。“法官們指出，這種做法與要求法院狹義解釋保單除外條款的基本原則相沖突。“除外條款中一個詞或短語的具體、簡明、清晰、顯著的意思，及其明確的含義和意圖，并不等同于其盡可能廣義的解釋，而是其最狹義的解釋。”

如果這是一場足球比賽，法庭似乎將之判定為保險公司的“烏龍球”。

戰爭的定義為什么那么重要？

戰爭除外條款被認定為不適用，且法院用保險公司自己的話詳細闡釋了駁回背后的“原因”。以外行的眼光看，法官們似乎認為保險公司有足夠的時間調整自己的保單動態，卻沒抽出時間去做這件事。

Redpoint Cybersecurity客戶參與副總裁、貝勒法學院（Baylor Law School）網絡安全法副教授Violet Sullivan對此給出了自己的專業看法。她認為，該裁決很可能會被上訴到新澤西州最高法院。此外，她指出，保險公司負有舉證責任，而法庭和上訴法官裁定保險公司未履行此項責任。

地面戰爭與網絡空間戰

Sullivan表示，這不是個追溯和確定攻擊與哪個外國政府有關的問題，而是2022年的整個初審裁決就取決于實體戰/熱戰和網絡戰之間的任意區分，關注的是攻擊的性質和戰爭在保單和判例中的含義。

也就是說，如果某國的情報機構執行秘密行動，那當前政府的目標就是始終貌似合理地推諉任何違法行為。NotPetya攻擊可能是俄羅斯聯邦支持的嗎？當然，事實上，保險公司的網絡顧問Kroll Cyber Security在法庭上“很有信心”地表示，該攻擊是“由為俄羅斯聯邦工作或代表俄羅斯聯邦的人策劃的”。不過，應該注意到，美國司法部有機會也這么指認時，他們又提出了異議。

因此，如果一國政府不打算將攻擊認定為民族國家支持的，那么如果網絡安全除外條款中沒有明確的措辭，保險實體將很難在法庭上成功認定。