蘇黎世保險拒付1億美元索賠 稱NotPetya勒索軟件襲擊是戰爭行為
責編:gltian |2019-01-21 14:15:422018年10月,NotPetya勒索軟件受害索賠1億美元被拒付后,億滋國際集團以網絡保險違約為由,對蘇黎世美國保險公司提起訴訟。
億滋國際與蘇黎世保險公司簽訂的網絡保險合同中,承保人需覆蓋“物理損失或破壞的一切風險,包括電子數據、程序或軟件的物理損失或破壞,由惡意引入的機器代碼或指令造成的物理損失或破壞。”
2017年6月,億滋國際集團遭NotPetya襲擊,約1700臺服務器和2.4萬臺筆記本電腦被永久鎖定。億滋國際遭受的財產損失、商業供應及銷售中斷、客戶訂單未兌現、盈利縮減及其他保險覆蓋損失總計超過1億美元。
NotPetya是針對烏克蘭會計軟件公司M.E.Doc服務器的破壞性惡意軟件,感染使用M.E.Doc軟件的公司企業,并利用NSA泄露出去的永恒之藍漏洞傳播。在烏克蘭做生意的多家跨國公司均遭此攻擊鏈攻擊波及,并進一步影響到了億滋國際。
2018年3月,蘇黎世保險將NotPetya分類為勒索軟件,并以此為賣點兜售網絡保險。但2018年6月1日,蘇黎世保險書面告知億滋國際,稱NotPetya是“戰爭行為”,按通行保險理賠條款不予賠付。
蘇黎世的保險政策中特意排除了“和平或戰爭時期由(1)政府或主權;(2)海、陸、空軍;(3)1和2中所述任何一方指定的代理或機構導致的損失或破壞”。
時間線上看,似乎2018年3月到6月間蘇黎世保險修改了其對NotPetya的分類,將其從犯罪行為歸類到了戰爭行為。這就觸及立法核心和網絡安全上的兩個熱點問題了:
(1)如何確定性地溯源惡意軟件攻擊;
(2)網絡事件何時能定性為戰爭行為。
撇開意識形態不談,大多數人比較接受NotPetya是俄羅斯國家黑客所為的判定,認為這是俄羅斯對烏克蘭的網絡攻擊,只是沒控制好度,擴散到了全世界。但向法庭證明這一溯源結論就是另一碼事了。
俄羅斯明確否認過這一指控。但先是英國政府,然后是五眼聯盟中的其他國家——美國、加拿大、澳大利亞和新西蘭,站出來譴責俄羅斯。美國政府在2018年2月15日發布的聲明中稱:
2017年6月,俄羅斯軍方發動了史上最具破壞性、所致損失最大的網絡攻擊。這是俄羅斯政府持續攪亂烏克蘭的諸多動作中的一部分,更加清楚地表明俄羅斯在該持續沖突中的角色。
表面上,該聲明支持蘇黎世保險拒賠億滋的理由。但其中有兩個經不住推敲的地方:首先,情報機構幾乎不會提供其斷言的證據,本案中也未例外。這就留下了爭議的空間:會不會只是個政治性的聲明而非證據確鑿的事實呢?這種事并非沒發生過。薩達姆的核意圖和其他大規模殺傷性武器報告就是一例。
其次,準確歸因溯源中的失誤很常見。就在上周,之前被歸因到朝鮮身上的勒索軟件Ryuk,如今就被關聯到“俄語黑客”身上了。
或許,對待政府問責斷言的更保險的方法,是等到發布切實的起訴書。直到真正起訴,才說明政府對持有的證據有信心,愿意在公開法庭上做出這些斷言,無論作惡者是否被逮捕。
最近幾周,美國已就SamSam攻擊起訴了2名伊朗人。
這基本上就是個歸因溯源的問題,而這個問題至今尚未得到解決,將網絡攻擊鎖定到具體團隊、政府或組織身上歷來非常困難。
這種背景下,億滋/蘇黎世案就牽扯出有關網絡保險價值的問題了。如果蘇黎世保險公司勝訴,那是不是任何歸因到國家黑客頭上的惡意軟件攻擊都能以戰爭行為免于賠付?無論準確與否,如今越來越多的重大網絡攻擊都被歸因到俄羅斯、伊朗、朝鮮等國的黑客國家隊身上。一旦歸因被證實,或者至少被法庭接受,蘇黎世的免責條款就有效了。
億滋和蘇黎世的勝負可能起到判例的作用,牽動各大公司重新審視自己的保險政策,極有可能催生新的網絡攻擊保險市場。這起美國伊利諾伊州法院受理的訴訟因而受到各方密切關注。