最近,制药巨头默克公司赢得上诉,可能意味着其保险公司不得不支付2017年NotPetya网络攻击相关的14亿美元赔偿。听取上诉法官意见的新泽西州上诉庭法官指出,战争的明确定义适用于各种保单,针对未参与敌对行动的会计师事务所的网络攻击虽然是恶意犯罪行为,但并不等同于战争行为。

正如法官判决中详细说明的,很多原始被告都就其保险索赔的部分与默克公司达成了和解。另一起类似案件中,跨国食品饮料公司亿滋国际(Mondelez International)和苏黎世美国保险公司(Zurich American Insurance)也达成了和解,错失对未来如何处理网络保险产生明显影响和做出重大调整的机会。

劳合社的和解揭示了网络保险的未来

保险公司上诉被驳回,以及英国保险与再保险组织伦敦劳合社(Lloyd"s of London)在2023年3月采取的一系列动作,为我们了解未来如何处理网络保险给出了一些方向,即应该更加明确地定义网络安全除外条款。劳合社案中的保险法学者提交的法庭之友简报指出,初审法院的裁决应该得到肯定,因为“受战争除外条款起草历史的支持”,而保险公司“未能使用现成的保单条款排除或限制网络相关事件的保险范围”。

默克案法官判决书第23页的措辞更为直接:“此处能排除承保范围的情况仅限于我们将‘敌对’的含义外延到极限,将之应用于为各种平民客户提供会计软件更新的民用企业所遭到的,与任何武装冲突或军事目标完全无关的网络攻击。“法官们指出,这种做法与要求法院狭义解释保单除外条款的基本原则相冲突。“除外条款中一个词或短语的具体、简明、清晰、显著的意思,及其明确的含义和意图,并不等同于其尽可能广义的解释,而是其最狭义的解释。”

如果这是一场足球比赛,法庭似乎将之判定为保险公司的“乌龙球”。

战争的定义为什么那么重要?

战争除外条款被认定为不适用,且法院用保险公司自己的话详细阐释了驳回背后的“原因”。以外行的眼光看,法官们似乎认为保险公司有足够的时间调整自己的保单动态,却没抽出时间去做这件事。

Redpoint Cybersecurity客户参与副总裁、贝勒法学院(Baylor Law School)网络安全法副教授Violet Sullivan对此给出了自己的专业看法。她认为,该裁决很可能会被上诉到新泽西州最高法院。此外,她指出,保险公司负有举证责任,而法庭和上诉法官裁定保险公司未履行此项责任。

地面战争与网络空间战

Sullivan表示,这不是个追溯和确定攻击与哪个外国政府有关的问题,而是2022年的整个初审裁决就取决于实体战/热战和网络战之间的任意区分,关注的是攻击的性质和战争在保单和判例中的含义。

也就是说,如果某国的情报机构执行秘密行动,那当前政府的目标就是始终貌似合理地推诿任何违法行为。NotPetya攻击可能是俄罗斯联邦支持的吗?当然,事实上,保险公司的网络顾问Kroll Cyber Security在法庭上“很有信心”地表示,该攻击是“由为俄罗斯联邦工作或代表俄罗斯联邦的人策划的”。不过,应该注意到,美国司法部有机会也这么指认时,他们又提出了异议。

因此,如果一国政府不打算将攻击认定为民族国家支持的,那么如果网络安全除外条款中没有明确的措辞,保险实体将很难在法庭上成功认定。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。