“戰爭行為” 條款可拒賠網絡保險

六名俄羅斯軍人因NotPetya勒索軟件攻擊遭起訴，企業由此意識到網絡保險并非“消災免難卡”。

網絡安全與保險專家表示，如果保險公司運用十分普遍的“戰爭行為”條款成功規避自身責任，公司企業想要靠業務中斷險和財產險覆蓋勒索軟件攻擊及其他網絡損失，就會冒遭遇重大攻擊時無法獲得賠付的風險。

十月底，美國起訴六名俄羅斯軍人從事各種網絡犯罪活動，包括破壞世界各地業務運營的NotPetya數據清除器攻擊。過程中，保險公司的論點占據了上風。這些攻擊造成的損失是保險公司所遭重大訴訟的核心問題，比如制藥巨頭默克公司對一系列保險商提出的13億美元法律訴訟，以及食品飲料集團億滋國際對蘇黎世保險提起的1億美元訴訟。

兩起訴訟案中，保險公司都主張NotPetya攻擊是主權國家發起的敵對行為，堅持不予賠付。

風險管理公司QOMPLX首席執行官Jason Crabtree表示：“訴訟凸顯出實際操作中的一個普遍原則，也就是保險并非消災免難卡，應該把保險當做自身財務風險計算的補充。”

企業投保網絡保險，是要防止現代網絡攻擊造成不可預見的業務中斷與盈利損失，但這些訴訟反映了網絡保險存在的一個基本問題：民族國家往往是這些攻擊行動的背后主使。朝鮮支持了許多金融犯罪，伊朗偏愛數據清除類惡意軟件，俄羅斯常利用前蘇聯屬國作為網絡攻擊的試驗臺，美國也參與了擴散到其他計算機的震網攻擊。

而且，大規模勒索事件并不是概率極小的黑天鵝事件。相反，可承保的單一攻擊和可致無法賠付的大范圍蠕蟲之間，可能也就是幾行代碼的差別。今年7月，金融評級公司AM Best警告稱，盡管2019年獨立保費有所上升，但索賠總額已翻一番。該公司指出，“勒索軟件攻擊的頻率和嚴重程度均已上升，醫療保健行業的數據泄露和勒索事件也有所升級。”

火上澆油

某種程度上，保險公司更加劇了問題的嚴重性。許多勒索軟件攻擊中，保險公司認為支付贖金是投保人避免更重損失最經濟的方式。然而，這些贖金也會支持敲詐勒索繁榮昌盛，繼續攻擊其他公司。

安全驗證公司AttackIQ首席信息安全官Chris Kennedy表示，如果重大網絡安全事件變得更加普遍，網絡保險業可能會受到巨大影響。

“這些黑天鵝事件代價高昂，而保險公司也是企業，也需要盈利。如果黑天鵝事件越來越多，保險公司又怎么承保這些保單呢？就像再也無法投保的佛羅里達海灘或得克薩斯洪水一樣，如果勒索軟件繼續如此猖獗，網絡保險公司將放棄承保此類損失。”

NotPetya對航運巨頭馬士基集團的影響生動闡釋了此類風險。NotPetya蠕蟲關停該公司辦公系統時，這家全球航運巨頭索賠3億多美元。然而，馬士基航運業務遭受的最大威脅，是蠕蟲感染似乎清除了公司全部150多個域控制器。一些人認為，如果無法訪問這些系統，馬士基就無法恢復。幸運的是，《連線》2018年的一篇報道稱，加納一家數據中心當時正好停電，那里的服務器沒有遭到感染，整個公司都使用此服務器上的數據得以恢復。

QOMPLX首席執行官Crabtree表示：“說到災難性風險，丟失成百上千人的信用卡數據不算什么大問題，馬士基蠕蟲事件才是。要不是意外停電，我們現在就看不到依然縱橫四海的馬士基了。他們的網絡恢復不了。事實上，這家公司就根本不會恢復了。”

Crabtree稱，不應將網絡保險當成網絡安全的替代品。正是因為會發生馬士基這樣的事件，公司企業才應該關注重要資產的安全控制，重視緩解低概率關鍵事件，也就是所謂具長尾效應的事件。

“無聲承保”

食品飲料公司億滋國際是依賴網絡保險有風險又一案例。該公司估算NotPetya造成了1億多美元的損失，包括大約1700臺服務器和2.4萬臺筆記本電腦報廢，但其保險公司蘇黎世保險以“戰爭行為”排除在外為由拒絕賠付。

據報道，雖然億滋國際的財險賠付“電子數據、程序或軟件的物理損失或損壞，包括惡意引入機器代碼或指令造成的物理損失或損壞”，但“戰爭行為”免于賠付的條款碾壓了些損失。

保單中寫道：

“不考慮任何其他原因或事件，無論是否本保單承保，不管同時導致還是以任意順序先后導致損失，本保單不包括由以下任何行為直接或間接造成的損失或損害：

2）（a）和平或戰爭時期的敵對或戰爭行為，包括攔截、對抗或防御任何（i）政府或主權力量（法律上或事實上）；（ii）陸軍、海軍或空軍；或（iii）上述i和ii項中任何一方指定的代理或當局發起的實際、即將或預期的攻擊。”

由于美國政府將攻擊歸因于俄羅斯軍事情報組織，理賠似乎適用此條款。網絡安全公司或威脅情報人員通常將該組織稱為“沙蟲”（Sandworm）、“黑色能量”（BlackEnergy）或“巫毒熊”（Voodoo Bear），認為該組織一手導演了多起網絡攻擊，比如2015年和2016年對烏克蘭電網的攻擊。

拒保還暴露出很多公司風險管理計劃中的缺陷：依賴并非專為此類風險而買的所謂“無聲承保”。許多保險公司已經在尋找可能提供此類無聲網絡保險的條款，將之從財產和業務中斷保險單中剔除。

Crabtree表示，公司企業可以預期保險公司未來將會堅決拒賠任何重大網絡事件。

他說：“因此，如果你想獲得網絡事件承保，別指望你的常規財險，也別指望一般性的業務中斷險，明確購買網絡保險。記住，只要保單沒以‘網絡’二字開頭，那你就不應該指望在你需要的時候能有保障。”

相反，公司應該尋求肯定的承保范圍，也就是針對網絡的保單，并創建大量文檔，列出公司希望承保的各種潛在災難性事件。

“受勒索軟件事件或重大數據泄露事件影響時，公司若想獲得期待的賠付，那在簽保單時就應選擇簡單的措辭、肯定的承保范圍，最好還剔除戰爭和恐怖主義之類免責條款。這些都是確保公司得到所購保障的非常積極的方式：在需要的時候能提供幫助，付款很快，無需太多爭辯。”