2017年NotPetya恶意软件大爆发导致全球企业和机构大量业务中断,造成了巨大损失。大型企业及其保险商之间也打起了官司。其中最主要的案件有两起:亿滋国际向苏黎世美国保险公司索赔1亿美元;默克公司向Ace美国保险公司索赔14亿美元。

两家公司都投保了财产保险“综合险”,但两家公司都遭遇保险商以战争免责条款为由拒绝赔付。当然,两家公司均对其保险商提起了诉讼。

亿滋国际案尚在审理中,但默克公司寻求简易判决并于上周获得裁定。

诉讼案的焦点问题在于保险条款的解释:NotPetya爆发是否可以归类为“战争行为”。很多定义都说可以。NotPetya无疑源自俄罗斯政府特工对乌克兰的持续敌对行动。但事件并没有涉及武装士兵,两国间也不处于正式宣战状态(目前还没开打),而且默克公司和亿滋国际的损失与俄罗斯和乌克兰之间的局势完全没有关系。

网络保险诞生之初,完全是以“填补空白”的姿态登场的。保险商自问“我们提供的保险里还有没有什么空白?”,然后发现网络风险不同于物理风险,应该拥有自己独立的保单。站在保险商的立场,财产保险针对财产风险,而网络保险面向网络风险。

他们似乎忘记了网络攻击是可以造成财产损失的,而亿滋国际和默克公司正是基于财产遭受的物理损失而提出索赔。

2022年1月13日,新泽西州高等法院法官Thomas J. Walsh在做出默克案判决时裁定,战争免责条款所用措辞的普通词义至关重要。他认为,不能期望被保险人假定该条款将排除NotPetya造成的物理损害;也就是说,感染NotPetya所造成的损害不应自动视为战争行为。

他写道:“考虑到免责条款措辞的普通含义,法院毫不犹豫地认定免责条款不适用。”但他也补充道:“保险公司没有改变免责条款的措辞,从而没有合理提醒被保险人其意图排除网络攻击……所以默克有权预期该免责条款仅适用于传统战争形式。”

于是,现在是什么情况?几乎可以肯定的是,所有保险商都会重新审查具体的保单措辞,尤其是战争免责条款。其目的是排除财产保险承保任何涉网络风险的可能性——哪怕只是为了促使更多客户另外签下单独的网络风险保单。

Cowbell Cyber为中小企业提供网络保险,其创始人兼首席执行官Jack Kudale表示,这并不是保险公司的欺诈行为,而是这一最新险种磨合过程的一部分。“过去四五年来,网络保险长足发展。想要现代化这一保险方式并实现投保人与其保险公司之间达成完全一致,标准化承保范围、澄清条款、持续合理评估网络风险,以及透明化承保过程,是不可或缺的重要元素。”

Netenrich首席威胁猎手John Bambenek的看法与Kudale略有差异:“勒索软件的增长持续推动保险公司的业务边界,所以他们一直在找寻逃生出口。‘战争行为’条款在保险合同中很是普遍,但只有在网络安全领域才存在真正的战争行为风险。各组织不得不在其风险缓解计划中补上这一缺口,然而,网络安全的解决方案从来都不是‘增加投保’”。

本次裁定不可避免的另一个影响是保费将会进一步提高(尽管尚不清楚提高的是财产保险的保费,还是网络保险的保费,抑或二者兼而有之)。保险公司不会在不做出任何回应的情况下承受从利润中挖掉14亿美元的损失。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。