網絡保險和戰爭除外責任

俄羅斯與烏克蘭的戰爭，引發一位網絡安全領域律師的思考……

網絡保險單通常設置了“戰爭除外”或“敵對行為除外”的條款，也就是說保險公司無法為戰爭行為買單。今年第一季度，網絡保險市場已經收緊了戰爭排除條款，拒絕承保。鑒于俄烏之戰，以及預期的網絡后果，安全專業人員應審查其網絡保險覆蓋范圍，以確定覆蓋范圍盲點。

戰爭除外簡史

在探索俄羅斯對烏克蘭戰爭所帶來的網絡風險之前，了解網絡戰爭除外的歷史非常重要。

在2017年NotPetya勒索軟件針對烏克蘭發起的大規模行動中，許多公司受到了附帶損害。保險公司開始在保單中使用“戰爭除外”條款，試圖把NotPetya排除在保險范圍之外。理由是，NotPetya是由一個政府設計的，目的是以戰爭行為傷害另一個政府，因此保險公司不應承擔損害賠償責任。

新的戰爭排除條款

今年初，勞合社發布了四種新的網絡戰爭和網絡行動除外條款，每種條款對被保險人的承保范圍都有所不同。其他網絡保險運營商也紛紛效仿，網絡保險中的戰爭除外條款現在可以被視為更嚴格的合同語言。

這些除外責任規定，保險人將“不承保由戰爭或網絡行動直接或間接引起的，或因戰爭或網絡行動而發生的、或由此產生的任何損失、損害、責任”（見合社除外責任條款1）。這些術語中的每一個都有嚴格的定義，戰爭意味著“一個國家對另一個國家使用武力……無論是否宣戰。”“網絡行動”一詞的定義是“某國或代表某國使用計算機系統，破壞、拒絕、削弱、摧毀另一國家的信息或計算機系統中的信息。”

接下來的問題是：如何確定網絡行動或戰爭歸屬于另一個國家？勞合社的政策為此提供了一種方法，包括確定“一個國家的政府（包括其情報和安全部門）”是否將責任歸于“另一個國家”或代表另一個國家行事的人”。

因此，如果一個新的惡意軟件威脅是由政府造成的，而一家公司因為難以控制此類惡意軟件而受到打擊，網絡保險公司可能會拒絕承保。

以下是一些建議：

1. 不要猜測

在報告索賠時，注意只提交你知道的內容。例如，如果你的公司中了勒索軟件，不知道攻擊來源的情況下，不要猜測。在所有網絡保險中，用語都很重要，尤其是負責索賠的安全專業人員的用語。你的猜測、報告或推測可能會被用作拒絕承保的依據。

2. 自己聘請律師

自己單獨聘請律師。雖然保險公司指定的網絡保險律師也可代表你的公司，但該網絡保險律師在道德上不能對你的承保人提起訴訟，也不能輕易采取與你的承何人相反的立場。最好有獨立的法律顧問，當然一般情況下費用要自己承擔。

3. 不要想當然

有許多網絡保險公司做了正確的事情，希望為被保險人提供保險。然而，在收到承保人的保險函（不僅僅是保險經紀人的話）之前，不要認為你已經投保了全部。

4. 做好準備

俄羅斯與烏克蘭的戰爭造成的全球動蕩可能會引發許多保險糾紛。因此要遲早做好準備，比如與承保公司無關的獨立律師一起評估網絡保險合同。

結論

隨著俄羅斯與烏克蘭的戰爭進程，以及由此產生的全球對俄羅斯的制裁，網絡安全風險和相關利益風險比以往任何時候都要高。公司應仔細審查其網絡保險范圍，以確保其實際受到保護，而不應該事到臨頭時再做被動談判。