事件回顾
2017年,NotPetya网络攻击致使默克这家全球制药商的30000多台笔记本电脑和台式计算机以及7500台服务器瘫痪,销售、制造和研究部门都受到打击。默克公司初步估计该恶意软件造成了8.7亿美元的损失。尤其是,NotPetya严重削弱了默克的生产设施,以至于当年无法满足对人类乳头瘤病毒(HPV)可能导致宫颈癌的领先疫苗Gardasil 9的需求。默克必须从国家储备库借出180万剂药物(美国的全部应急物资)。默克花了18个月的时间才补充了存货,花费2.4亿美元。
默克在遇到网络攻击时做了我们所有人都会做的事情:它转向了保险公司。毕竟,通过其财产保险,该公司在自己承担1.5亿美元的免赔额之后,希望保险公司承担包括破坏计算机数据,程序和软件在内的灾难性风险,总计17.5亿美元。因此,当其30家保险公司和再保险公司中的大多数都拒绝根据这些保单的承保范围赔款给默克时,默克感到了震惊。为什么?因为默克制药的财产保险措辞明确排除了另一类风险:战争行为。
默克公司起诉其保险公司,包括安联(Allianz SE)和美国国际集团(American International Group Inc.)等行业巨头违反保险合同,最终要求赔偿14亿美元的损失。
案件结果
最近,默克制药公司赢得了上诉,这可能意味着其保险公司将不得不支付与2017年NotPetya网络攻击相关的14亿美元判决。新泽西州上诉法院的法官在审理上诉时指出,“战争”的简单定义适用于各种保险政策,针对一家没有参与敌对行动的制药公司的网络攻击,虽然是犯罪行为,但并不等同于战争行为。
正如法官判决书中详述的那样,许多原被告都与默克公司达成了保险索赔的和解。在另一起涉及跨国食品和饮料公司亿滋国际(Mondelez International)和苏黎世美国保险(Zurich American Insurance)的案件中,双方也达成了和解。
Lloyd的和解为网络保险的未来提供了线索
保险公司对上诉的拒绝以及伦敦Lloyd保险公司在2023年3月采取的行动,为我们理解未来可能如何处理网络保险提供了一些方向,即“网络安全除外”(cybersecurity exclusions)将得到更明确的定义。保险法学者(Insurance Law Scholars)在Lloyd一案中提交的一份“amici 简报”指出,初审法院的裁决应该得到肯定,因为它“得到了战争除外条款的起草历史的支持”,而且保险公司“没有使用现成的保险单条款,这些条款本可以排除或限制网络相关事件的承保范围”。
在默克案的法官判决书的第23页,措辞更为直接:“只有当我们将‘敌对’的含义扩展到其外部极限,试图将其应用于对一家非战斗公司——它为各种非战斗人员客户提供服务,所有这些都完全不在任何武装冲突或军事目标的范围内——的网络攻击时,才适用于保险范围排除。”法官们指出,这种做法将与要求法院狭隘地解释保险范围排除的基本原则相冲突。排除法中一个词或短语的具体、清楚、明确和突出的含义,以及其明确的含义和意图,不等于其最广泛的解释,而是最狭隘的解释。
如果这是一场足球比赛,法庭似乎会称这是保险公司的“乌龙球”。
为什么定义什么是战争很重要?
战争免责条款被认定不适用,法院用保险公司自己的话详细说明了拒绝的“原因”。在我这样的外行看来,法官们似乎认为保险公司有充足的时间来调整他们的政策动态,却没有抽出时间去做。
为此,我特地联系了红点网络安全公司(Redpoint Cybersecurity)负责客户关系的副总裁、贝勒法学院(Baylor law School)网络安全法兼职教授Violet Sullivan,询问了她的专业看法。她认为,这项裁决很可能会上诉到新泽西州最高法院。此外,她指出,保险公司负有举证责任,法院和上诉法官裁定保险公司没有尽到举证责任。
地面战争VS网络战争
Sullivan认为,这不是一个归属问题,也不是一个确定攻击与哪个外国政府有关的问题,整个2022年的初步决定取决于对物理/动态或网络战的任意区分。它的重点是袭击的性质以及战争在政策和法律先例中的意义。
也就是说,当一个国家的情报机构开展秘密行动时,政府的目标是始终对任何非法行为保持合理的否认。NotPetya的攻击是否得到了俄罗斯联邦的支持?这些保险公司的网络咨询公司克罗尔网络安全公司(Kroll Cyber Security)在法庭上“非常有信心”地表示,这次攻击是“由为俄罗斯联邦工作或代表俄罗斯联邦的行为者精心策划的”。然而,如果一个国家政府不打算将攻击归因于民族国家的赞助,那么保险实体将很难在没有明确的网络安全排除条款的情况下在法庭上成功做到这一点。