米国政府が 2017 年のウクライナに対するロシアのサイバー攻撃によって引き起こされたと述べた NotPetya の影響は、サイバー保険会社が補償の除外を変更し、「戦争行為」の定義を拡大しているため、引き続き感じられます。 実際、5 年前のサイバー攻撃は、サイバー保険市場をひっくり返しているようです。

Cadbury、Oreo、Ritz、Triscuit などの人気ブランドの親会社である Mondelez International は、NotPetya によって大きな打撃を受け、工場と生産が中断されました。 同社のスタッフがコンピュータ システムを制御できるようになるまでに数日かかりました。 同社は、損害保険会社であるチューリッヒ アメリカンに 100 億ドルの損害賠償請求を行いました。 クレームの一部を最初に承認した後 - 10万ドル - チューリッヒ 支払いを拒否した、攻撃は戦争行為であり、したがって報道から除外されたと述べています。 モンデレスは 訴訟.

先月下旬、モンデリーズとチューリッヒ・アメリカンが報じた 最初の100億ドルの請求に同意した、しかし、それはメルクが1.4億ドルを獲得するまではありませんでした 訴訟 2022 年 XNUMX 月、NotPetya 関連の損失を理由に Ace American Insurance Company を相手取った。 メルクの主張はまた、サイバー保険契約ではなく、損害保険契約に反するものでした。

2017 年当時、サイバー保険契約はまだ始まったばかりだったため、多くの大企業が NotPetya に関連する損害賠償請求を提出しました。 - 世界中で推定10億ドルの損害を引き起こした惨劇 - 企業の財産および死傷者に関するポリシーに反対します。

何が変更されましたか？

Forrester Research のシニア アナリストである Alla Valente 氏は、これらの和解の重要性は、サイバー保険市場の継続的な成熟を示していると述べています。

2020 年と COVID-19 のパンデミックが発生するまで、サイバー保険契約は、企業のサイバーセキュリティ プロファイル、ネットワークとデータを保護するために導入されたツール、またはその一般的なセキュリティ プロファイルをほとんど考慮せずに、従来の住宅保険や自動車保険と同様の方法で販売されていました。サイバー衛生。

ランサムウェア攻撃が大量に発生すると、 緩いサイバーセキュリティ 多くの組織が実証したように、保険会社は要件を変更し始め、 要件を厳しくする そのようなポリシーを取得するために、Valente は言います。

サイバー保険のビジネス モデルは他の契約とは劇的に異なり、2017 年のサイバー保険契約は時代遅れになっています。 サイバー保険は フラックスの状態、 2020 年以前に実施されていたものよりも、キャリア市場での離職率、提供される対象の制限の引き下げ、および除外を含むより積極的な条件が適用されます。

戦争行為の定義

戦争行為は一般的な保険の除外です。 伝統的に、除外には今日のウクライナで見られるような「熱い戦争」が必要でした。 しかし、裁判所はサイバー攻撃を次のように認識し始めています。 潜在的な戦争行為 宣戦布告なし、または陸上部隊または航空機の使用なし。 の 国家主導の攻撃そのもの 空母は、戦争の足場を構成すると主張している。

2023 年 XNUMX 月に、新しい文言が有効になります ロイズ オブ ロンドンのサイバー ポリシー これは、国家が支援するサイバー攻撃から生じる責任の損失を除外します。 で 市場速報 2022 年 XNUMX 月にリリースされたロイズ社のアンダーライティング ディレクターであるトニー ショードリー氏は次のように書いています。 適切に管理されない場合、シンジケートが管理に​​苦労する可能性のあるシステミック リスクに市場をさらす可能性があります。」

ロイズは出版を続けた 追加の補足要件とガイダンス NotPetya 攻撃の直前に、2016 年からルールを変更しました。

事実上、 フォレスター バレンテ氏は、大企業は、国家が支援する攻撃に見舞われた場合に備えて、大量の現金を確保しなければならない可能性があると指摘しています。 保険会社が、国家が支援する攻撃は定義上、戦争行為であると法廷で主張することに成功した場合、除外を排除するために契約でそれを具体的に交渉しない限り、どの会社も補償を受けられません.

サイバー保険を購入する場合、「ブローカーと詳細な会話をして、いわゆる「戦争除外」を比較し、より有利な条件を提供する保険会社があるかどうかを判断する価値があります」と、Insurance Recovery のパートナー兼共同議長である Scott Godes 氏は述べています。コロンビア特別区の法律事務所 Barnes & Thornburg でのカウンセリング業務とデータ セキュリティおよびプライバシー業務。 「残念ながら、この問題をめぐる訴訟は、通信事業者が保険料を取り、補償範囲を制限し、あいまいな条件をめぐって争うことで、自分たちに有利なように競争の場を傾けようとするもう XNUMX つの例です。」

国家が支援する攻撃に見舞われた中小企業 (SMB) にとって、それは「停電」になる可能性があると Valente 氏は言います。 さらに、SMB は、攻撃者が必要とする情報を提供する大企業の一次または二次サプライヤーである場合に、標的にされることが多いと彼女は強調します。 つまり、適切な保険が適用されていない中小企業に対する国家支援の攻撃は、攻撃者がサイバー犯罪者ではなく国家であるという理由だけで、廃業する可能性があるということです。

対象となるものを理解する

ヨーロッパと北米のサイバー保険市場は似ていますが、決して同じではありません。

「（アメリカの）すべての保険証券にロンドンの保険市場が推奨する文言があるわけではなく、それらの規則はアメリカの保険会社には適用されません。」 ゴデス 言う. 「ベストプラクティスとして、保険契約者は、推奨された変更が実施された後、ロンドン市場の保険会社が最も強力な補償を提供しているかどうかを検討する必要があります。」

Godes、その会社は 被保険者 キャリアやブローカーではなく、次のように述べています。 被保険者は、保険会社が除外が適用されることを証明しなければならないことを常に覚えておく必要があります。 そして時々、「被保険者は、自分が購入したと思っていた補償を得るために、キャリアと訴訟を起こす必要があります.」

Merck と Mondelez の事件からの帰結、および Lloyd の最近の発表は次のとおりです。

「多くの通信事業者は、国家が後援または支援したサイバー攻撃の現実に対処するために、戦争行為の除外を書き直す過程にあり、また、最近のいくつかの判決で示され、おそらくモンデレスの和解によって暗示されているように、裁判所が懐疑的に見ているためです。従来の銃と弾丸による戦争のために書かれた条項をサイバー攻撃に適用することです」と述べています。 Kenneth Rashbaum 氏、ニューヨークの法律事務所 Barton のパートナー. 「これは、モンデリーズと最近の裁判所の判決から得られた最も重要なポイントだと思います。 条項を更新する通信事業者は、国家が支援していると見なされる可能性のある攻撃の補償を拒否することに積極的になりますが、条項を更新しない通信事業者は、それらに依存する傾向が低くなる可能性があります。」

• コインスマート。 ヨーロッパで最高のビットコインと暗号通貨取引所。ここをクリック
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge-articles/amid-notpetya-fallout-cyber-insurers-define-state-sponsored-attacks-as-act-of-war