苏黎世保险拒付1亿美元索赔 称NotPetya勒索软件袭击是战争行为
2018年10月,NotPetya勒索软件受害索赔1亿美元被拒付后,亿滋国际集团以网络保险违约为由,对苏黎世美国保险公司提起诉讼。
亿滋国际与苏黎世保险公司签订的网络保险合同中,承保人需覆盖“物理损失或破坏的一切风险,包括电子数据、程序或软件的物理损失或破坏,由恶意引入的机器代码或指令造成的物理损失或破坏。”
2017年6月,亿滋国际集团遭NotPetya袭击,约1700台服务器和2.4万台笔记本电脑被永久锁定。亿滋国际遭受的财产损失、商业供应及销售中断、客户订单未兑现、盈利缩减及其他保险覆盖损失总计超过1亿美元。
NotPetya是针对乌克兰会计软件公司M.E.Doc服务器的破坏性恶意软件,感染使用M.E.Doc软件的公司企业,并利用NSA泄露出去的永恒之蓝漏洞传播。在乌克兰做生意的多家跨国公司均遭此攻击链攻击波及,并进一步影响到了亿滋国际。
2018年3月,苏黎世保险将NotPetya分类为勒索软件,并以此为卖点兜售网络保险。但2018年6月1日,苏黎世保险书面告知亿滋国际,称NotPetya是“战争行为”,按通行保险理赔条款不予赔付。
苏黎世的保险政策中特意排除了“和平或战争时期由(1)政府或主权;(2)海、陆、空军;(3)1和2中所述任何一方指定的代理或机构导致的损失或破坏”。
时间线上看,似乎2018年3月到6月间苏黎世保险修改了其对NotPetya的分类,将其从犯罪行为归类到了战争行为。这就触及立法核心和网络安全上的两个热点问题了:
(1)如何确定性地溯源恶意软件攻击;
(2)网络事件何时能定性为战争行为。
撇开意识形态不谈,大多数人比较接受NotPetya是俄罗斯国家黑客所为的判定,认为这是俄罗斯对乌克兰的网络攻击,只是没控制好度,扩散到了全世界。但向法庭证明这一溯源结论就是另一码事了。
俄罗斯明确否认过这一指控。但先是英国政府,然后是五眼联盟中的其他国家——美国、加拿大、澳大利亚和新西兰,站出来谴责俄罗斯。美国政府在2018年2月15日发布的声明中称:
2017年6月,俄罗斯军方发动了史上最具破坏性、所致损失最大的网络攻击。这是俄罗斯政府持续搅乱乌克兰的诸多动作中的一部分,更加清楚地表明俄罗斯在该持续冲突中的角色。
表面上,该声明支持苏黎世保险拒赔亿滋的理由。但其中有两个经不住推敲的地方:首先,情报机构几乎不会提供其断言的证据,本案中也未例外。这就留下了争议的空间:会不会只是个政治性的声明而非证据确凿的事实呢?这种事并非没发生过。萨达姆的核意图和其他大规模杀伤性武器报告就是一例。
其次,准确归因溯源中的失误很常见。就在上周,之前被归因到朝鲜身上的勒索软件Ryuk,如今就被关联到“俄语黑客”身上了。
或许,对待政府问责断言的更保险的方法,是等到发布切实的起诉书。直到真正起诉,才说明政府对持有的证据有信心,愿意在公开法庭上做出这些断言,无论作恶者是否被逮捕。
最近几周,美国已就SamSam攻击起诉了2名伊朗人。
这基本上就是个归因溯源的问题,而这个问题至今尚未得到解决,将网络攻击锁定到具体团队、政府或组织身上历来非常困难。
这种背景下,亿滋/苏黎世案就牵扯出有关网络保险价值的问题了。如果苏黎世保险公司胜诉,那是不是任何归因到国家黑客头上的恶意软件攻击都能以战争行为免于赔付?无论准确与否,如今越来越多的重大网络攻击都被归因到俄罗斯、伊朗、朝鲜等国的黑客国家队身上。一旦归因被证实,或者至少被法庭接受,苏黎世的免责条款就有效了。
亿滋和苏黎世的胜负可能起到判例的作用,牵动各大公司重新审视自己的保险政策,极有可能催生新的网络攻击保险市场。这起美国伊利诺伊州法院受理的诉讼因而受到各方密切关注。