2018年10月,Mondelez 国际公司起诉美国保险公司苏黎世 (Zurich) 。双方纠纷在于因 NotPetya 引发的1亿美元损害保险索赔。苏黎世美国保险公司拒绝这一索赔,而 Oreo、Cadbury、Milka 和 Toblerone品牌的所有者 Mondelez 公司起诉保险公司违反网络保险合同。
Mondelez 公司(以下简称“MDLZ”公司)和苏黎世保险签订了关于“因物理损失或损害造成的所有风险”的保单,包括“对电子数据、程序、或软件(包括因恶意机器代码或指令造成的物理损失或损害)造成的物理损失或损害”。
2017年,MDLZ 公司和其它很多公司一样遭受 NotPetya 勒索软件攻击,“导致MDLZ 公司约1700台服务器和2.4万台笔记本电脑永久性无法运转……为MDLZ 公司造成资产损失、商业供应链和经销损失,使得消费者订单未履行、利润缩减,以及造成其它损失,总计超过1亿美元。”
NotPetya 是由乌克兰会计软件公司 M.E.Doc 服务器遭受的破坏性恶意软件。它是一种供应链攻击,影响使用 M.E.Doc 软件的组织机构,然后经由 NSA “永恒之蓝”利用代码进行传播。由于它还影响在乌克兰运行的跨国公司,因此它也导致受影响的组织机构数量增多,包括 MDLZ 公司在内。
勒索软件?战争行为?
2018年3月,苏黎世保险将 NotPetya 公司归为“勒索软件”范畴,甚至将其作为赔付网络保险的一个原因。但2018年6月1日,苏黎世保险向 MDLZ 公司发函,以很多保单中提到的“战争行为”标准例外作为赔付原因。
具体而言,苏黎世保险的保单中排除了由任何“(i)政府或主权势力……;(ii)海陆空军事力量;或(iii)在 i 或 ii 中提及的代理方或权力机构”因“在和平或战时的敌对或类似战争”的行为造成的“损失或损害”的情况。
2018年3月至2018年6月期间,苏黎世保险似乎将 NotPetya 的归类从犯罪行为更改为战争行为。这是双方的纠纷所在,而且围绕的是网络安全圈子争论激烈的两个问题:如何确切地明确恶意软件攻击来源的归因问题;以及网络事件何时变为战争行为。
“相信”没有用。多数人认为 NotPetya 是由俄罗斯国家黑客发动的,而这是针对乌克兰但随后蔓延至全世界的战争行为。但向法庭成功地展示这一点就是另外一回事。
俄罗斯否认与 NotPetya 存在任何关联。但先是乌克兰,后是“五眼联盟”的其余国家都指责俄罗斯是罪魁祸首。美国在2018年2月15日发布声明称,“2017年6月,俄罗斯军方发动了历史上最具破坏力且最为昂贵的网络攻击……它是克里姆林宫搅动乌克兰稳定性的行动之一,并进一步使俄罗斯参与目前纠纷的情况更加清晰。”
归因定性难
从表面上看,这一声明支持苏黎世保险拒绝索赔。但仍然存在两个薄弱之处:首先,情报机构很少为自己的言论提供证据,而且在这个案例中也是如此。人们可以认为这是一种政治声明而非已经证实的事实。这种事情确实发生了,比如关于萨达姆的核意图和其它大规模杀伤性武器的言论就是一个例子。
第二,无法准确地进行归因也并非孤例。上周,勒索软件 (Ryuk) 被指由朝鲜发动,但目前又被指和“讲俄语的攻击者”有关。
或许,政府主张责任更安全的方法是等待实际的起诉。如果这种情况发生了,那么政府就可能对其所拥有的证据充满信心,而如果肇事者被捕,那么他们就愿意在公开法庭上做出这些主张。
最近,美国起诉两名伊朗人发动 SamSam 攻击等。
在此背景下,MDLZ 公司和苏黎世保险的案子就演变成更为宽泛的网络保险的价值问题。如果苏黎世保险胜诉,那么是否意味着被认为是国家黑客所为的恶意软件攻击能被定性为战争行为而被排除?不论准确与否,越来越多的重大网络攻击行为被指由国家黑客所为。如果这种情况至少被法庭所认可,那么苏黎世保险的排除条款将被证明有效。
第三种方法
这实际上是一个归因问题,而截止目前这个问题并未得到解决。然而,这一案例可能成为微软在其“规范”论文中提出的成立独立、国际专家组方案的理由。保险公司可能更愿意接受独立裁决而非政府裁决的结果。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
