26 C
Ho Chi Minh City
Thứ Ba, Tháng Chín 28, 2021

Các công ty lớn nghĩ rằng bảo hiểm bao trùm một cuộc tấn công mạng. Họ có thể sai.


LONDON – Trong vài ngày sau một cuộc tấn công mạng, kho của công ty thực phẩm ăn nhẹ Mondelez International chứa đầy một hồ sơ tồn đọng của bánh quy Oreo và bánh quy Ritz.

Mondelez, chủ sở hữu của hàng chục thương hiệu thực phẩm nổi tiếng như sô cô la Cadbury và phô mai kem Philadelphia, là một trong hàng trăm công ty bị tấn công bởi cái gọi là NotPetya cyberstrike vào năm 2017. Máy tính xách tay bị đóng băng đột ngột khi nhân viên của Mondelez làm việc tại bàn của họ. Email không có sẵn, cũng như quyền truy cập vào các tệp trên mạng công ty. Phần mềm hậu cần phối hợp giao hàng và theo dõi hóa đơn bị hỏng.

Ngay cả với các đội làm việc suốt ngày đêm, đó là vài tuần trước khi Mondelez bình phục. Một khi các đơn đặt hàng bị mất đã được kiểm tra và thiết bị máy tính được thay thế, cú đánh tài chính của nó là hơn 100 triệu đô la, theo tài liệu của tòa án.

Sau khi thử thách, các giám đốc điều hành tại công ty đã có một chút an ủi khi biết rằng bảo hiểm sẽ giúp trang trải chi phí. Hoặc họ nghĩ vậy.

Công ty bảo hiểm Mondelez, Bảo hiểm Zurich, cho biết họ sẽ không gửi séc bồi hoàn. Nó đã trích dẫn một điều khoản phổ biến, nhưng hiếm khi được sử dụng trong các hợp đồng bảo hiểm: loại trừ chiến tranh trên mạng, bảo vệ các công ty bảo hiểm khỏi bị gánh chịu các chi phí liên quan đến thiệt hại từ chiến tranh.

Mondelez được coi là thiệt hại tài sản thế chấp trong một cuộc chiến tranh mạng.

Cuộc tấn công năm 2017 là một bước ngoặt cho ngành bảo hiểm. Kể từ đó, các công ty bảo hiểm đã áp dụng miễn trừ chiến tranh để tránh các khiếu nại liên quan đến các cuộc tấn công kỹ thuật số. Ngoài Mondelez, tập đoàn dược phẩm Merck cho biết các công ty bảo hiểm đã từ chối yêu cầu bồi thường sau khi cuộc tấn công NotPetya đánh vào hoạt động nghiên cứu bán hàng, bán hàng và sản xuất của họ, gây thiệt hại gần 700 triệu USD.

Khi chính phủ Hoa Kỳ giao trách nhiệm cho NotPetya cho Nga vào năm 2018, các công ty bảo hiểm đã được cung cấp một lời biện minh cho việc từ chối bảo hiểm thiệt hại. Giống như họ sẽ phải chịu trách nhiệm nếu một quả bom làm nổ tung tòa nhà của công ty trong một cuộc xung đột vũ trang, họ tuyên bố không chịu trách nhiệm khi một vụ tấn công do nhà nước hậu thuẫn tấn công mạng máy tính.

Các tranh chấp ares diễn ra tại tòa án. Trong một cuộc chiến pháp lý được theo dõi chặt chẽ, Mondelez đã kiện Bảo hiểm Zurich năm ngoái vì vi phạm hợp đồng tại tòa án Illinois và Merck đã đệ đơn kiện tương tự ở New Jersey vào tháng 8. Merck đã kiện hơn 20 công ty bảo hiểm từ chối các yêu cầu liên quan đến vụ tấn công NotPetya, trong đó có một số viện dẫn miễn trừ chiến tranh. Hai trường hợp có thể mất nhiều năm để giải quyết.

Các cuộc đấu tranh pháp lý sẽ tạo tiền lệ về việc ai sẽ trả tiền khi các doanh nghiệp bị tấn công bởi một cuộc tấn công mạng đổ lỗi cho chính phủ nước ngoài. Các vụ việc có ý nghĩa rộng hơn đối với các quan chức chính phủ, những người ngày càng có cách tiếp cận táo bạo hơn đối với các nhà tài trợ nhà nước đặt tên và xấu hổ về các cuộc tấn công mạng, nhưng giờ đây có nguy cơ bị tranh chấp bởi các công ty bảo hiểm.

Bạn có thể gặp rủi ro rất lớn rằng bảo hiểm không gian mạng trong tương lai sẽ vô giá trị, ông Ariel Levite, một thành viên cao cấp tại Carnegie Endowment vì Hòa bình Quốc tế, người đã viết về vụ án. Nhưng ông nói rằng vị trí của ngành bảo hiểm trên NotPetya là không hoàn toàn phù phiếm, bởi vì người ta tin rằng người Nga đã đứng sau vụ tấn công.

Mondelez cho biết trong một tuyên bố rằng trong khi hoạt động kinh doanh của họ đã phục hồi nhanh chóng sau vụ tấn công, Bảo hiểm Zurich có trách nhiệm tôn trọng một chính sách bảo hiểm bao gồm rõ ràng các sự kiện mạng. Công ty nói thêm rằng họ không tin rằng điều khoản miễn trừ chiến tranh phù hợp với hoàn cảnh.

Bảo hiểm Zurich, có trụ sở tại Thụy Sĩ và Merck từ chối bình luận vì vụ kiện đang hoạt động. Nhưng các tài liệu tòa án, hồ sơ công khai và các cuộc phỏng vấn với những người quen thuộc với các vụ án đã cung cấp chi tiết về các tranh chấp.

Các cuộc tấn công mạng đã tạo ra một thách thức độc đáo cho các công ty bảo hiểm. Các tập quán truyền thống, như không bao phủ nhiều tòa nhà trong cùng một khu phố để tránh rủi ro, giả sử, một đám cháy lớn được áp dụng. Phần mềm độc hại di chuyển nhanh và không thể đoán trước, để lại một dấu vết thiệt hại đắt tiền.

Thực tế, nó cắt ngang mọi loại hình hoạt động kinh doanh, ông Levite nói. Rủi ro, theo ông, không còn có thể tồn tại trong thế giới kết nối này.

NotPetya – đã chọn ra cái tên kỳ lạ bởi vì các nhà nghiên cứu bảo mật ban đầu nhầm lẫn nó với một phần được gọi là ransomware được gọi là Petya – là một ví dụ sinh động. Nó cũng là một cuộc tấn công mạnh mẽ vào các mạng máy tính kết hợp một cơ quan an ninh quốc gia bị đánh cắp.

Quan chức Mỹ buộc cuộc tấn công vào Nga và cuộc xung đột với Ukraine. Mục tiêu ban đầu là một nhà sản xuất phần mềm thuế Ukraine và khách hàng Ukraine. Chỉ trong 24 giờ, NotPetya xóa sạch 10 phần trăm của tất cả các máy tính ở Ukraine, làm tê liệt mạng lưới tại các ngân hàng, trạm xăng, bệnh viện, sân bay, công ty điện lực và gần như mọi cơ quan chính phủ, và tắt các máy theo dõi bức xạ tại nhà máy điện hạt nhân cũ của Chernobyl.

Cuộc tấn công đã đến tay nhà sản xuất phần mềm, khách hàng toàn cầu, cuối cùng vướng vào Mondelez và Merck, cũng như tập đoàn vận tải Đan Mạch Maersk và công ty con FedEx FedEx Châu Âu. Nó tấn công ngay cả người khổng lồ dầu mỏ Nga Nga, Rosneft.

Trong một tuyên bố Năm 2018, Nhà Trắng mô tả NotPetya là một phần của nỗ lực liên tục của Kremlin, nhằm gây bất ổn cho Ukraine và cho biết họ đã chứng minh rõ ràng hơn bao giờ hết sự tham gia của Nga vào cuộc xung đột đang diễn ra.

Nhiều công ty bảo hiểm bán bảo hiểm không gian mạng, nhưng các chính sách thường được viết hẹp để trang trải chi phí liên quan đến việc mất dữ liệu của khách hàng, chẳng hạn như giúp một công ty cung cấp séc tín dụng hoặc thanh toán hóa đơn pháp lý.

Mondelez, một đơn vị cũ của Thực phẩm Kraft, lập luận rằng gói bảo hiểm tài sản của mình sẽ bù đắp cho những tổn thất từ ​​cuộc tấn công NotPetya. Trong hồ sơ tòa án, Mondelez cho biết chính sách của họ đã được cập nhật vào năm 2016 để bao gồm những tổn thất gây ra bởi việc giới thiệu mã độc hoặc mã máy.

Công ty đã mất 1.700 máy chủ và 24.000 máy tính xách tay. Các nhân viên đã được giao tiếp thông qua WhatsApp và các giám đốc điều hành đã đăng các bản cập nhật trên Yammer, một mạng xã hội được sử dụng bởi các công ty.

Thiệt hại từ NotPetya lan rộng đến Hobart, Tasmania, nơi máy tính trong một nhà máy Cadbury hiển thị cái gọi là ransomware tin nhắn đã yêu cầu 300 đô la Bitcoin.

Các tòa án thường phán quyết chống lại các công ty bảo hiểm cố gắng áp dụng miễn trừ thời chiến. Sau khi những tên không tặc phá hủy một máy bay chở khách Pan Am vào năm 1970, một tòa án Hoa Kỳ đã từ chối nỗ lực của Aetna, xác định rằng hành động đó là tội phạm, không phải là một hành động chiến tranh. Năm 1983, một thẩm phán phán quyết rằng chính sách bảo hiểm của Holiday Inn lề thiệt hại được bảo hiểm từ cuộc nội chiến ở Lebanon

Trong các vụ kiện Mondelez và Merck, câu hỏi chính đặt ra là liệu chính phủ quy kết vụ tấn công NotPetya của Nga có đáp ứng được yêu cầu loại trừ chiến tranh hay không.

Các chuyên gia ngành rủi ro cho biết chiến tranh mạng vẫn chưa được xác định rõ ràng. Ghi công có thể khó khăn khi các cuộc tấn công đến từ các nhóm có liên kết không chính thức với một tiểu bang và chính phủ đổ lỗi phủ nhận sự liên quan.

Jake Chúng tôi vẫn không có ý tưởng rõ ràng về việc chiến tranh mạng thực sự trông như thế nào, ông Jake Olcott, phó chủ tịch của BitSight Technologies, một cố vấn rủi ro không gian mạng cho biết. Đây là một trong những cuộc đấu tranh trong trường hợp này. Không ai nói đây là một cuộc chiến toàn diện của Nga.

Trước đây, các quan chức Mỹ không ngần ngại đủ điều kiện tấn công mạng là chiến tranh mạng, vì sợ thuật ngữ này có thể gây ra sự leo thang. Chẳng hạn, Tổng thống Barack Obama đã thận trọng khi nói rằng cuộc tấn công mạng mạnh mẽ của Triều Tiên vào Sony Entertainment vào năm 2014, đã phá hủy hơn 70% máy chủ máy tính của Sony, là một hành động phá hoại mạng.

Nhãn hiệu đó đã bị chỉ trích mạnh mẽ bởi Thượng nghị sĩ John McCain và Lindsey Graham, người đã gọi vụ hack là một hình thức chiến tranh mới của Hồi giáo và khủng bố.

Mô tả về vụ tấn công của Sony là có chủ ý, John Carlin, trợ lý tổng chưởng lý tại Bộ Tư pháp lúc đó nói. Trong một cuộc phỏng vấn, ông nói rằng chính quyền Obama đã lo lắng, một phần, rằng việc sử dụng mạng cyberwar, có thể đã kích hoạt các loại trừ trách nhiệm pháp lý và bản in đẹp mà Mondelez hiện đang thách thức tại tòa án.

Scott Kannry, giám đốc điều hành của công ty đánh giá rủi ro Axio Global, cho biết ngành bảo hiểm đang theo dõi sát sao vụ kiện Mondelez vì nhiều chính sách được tạo ra trước khi các cuộc tấn công mạng là một rủi ro khẩn cấp như vậy.

Kannry cho biết, bạn có các công ty bảo hiểm đang ngồi trên các chính sách bảo hiểm không bao giờ được bảo lãnh hoặc hiểu để bảo hiểm rủi ro không gian mạng. Sau đó, Zurich Zurich đã thực hiện chính sách này với ý tưởng rằng một sự kiện mạng sẽ gây ra những tổn thất xảy ra với Mondelez. Không ai có chiến tranh với Mondelez.

Nhiều công ty bảo hiểm đang xem xét lại phạm vi bảo hiểm của họ. Kể từ khi các vụ kiện được đệ trình, Shannan Fort, người chuyên về bảo hiểm không gian mạng cho Aon, một trong những nhà môi giới bảo hiểm lớn nhất thế giới, đã nhận được các cuộc gọi từ các công ty tranh giành để đảm bảo họ sẽ an toàn nếu bị tấn công, cô nói.

Tôi không muốn làm mọi người sợ, nhưng nếu một quốc gia hoặc quốc gia tấn công một phân khúc rất cụ thể, như cơ sở hạ tầng quốc gia, đó có phải là khủng bố không gian mạng hay đó là một hành động chiến tranh? Vẫn còn một chút màu xám.

Ty Sagalow, cựu giám đốc điều hành của công ty bảo hiểm khổng lồ A.I.G., đã giúp tiên phong thị trường bảo hiểm rủi ro không gian mạng gần hai thập kỷ trước. Ông nói rằng nhóm của ông đã dự tính về một cuộc tấn công của Cyber ​​Cyber ​​Pearl Harbor, không giống như cuộc tấn công của NotPetya.

Ông Cyberal và khủng bố không gian mạng luôn là một lĩnh vực phức tạp, ông Sagalow nói. Các công ty bảo hiểm có nguy cơ lạm dụng loại trừ chiến tranh bằng cách không thanh toán các yêu cầu bồi thường, đặc biệt là khi một cuộc tấn công có thể tấn công các công ty không phải là mục tiêu bạo lực ban đầu.

Thiệt hại tài sản thế chấp từ các cuộc tấn công ngoài tầm kiểm soát sẽ ngày càng trở nên phổ biến, ông nói thêm. Đây là những gì mà ngày nay cyber, ông Sagalow nói. Và nếu bạn không thích như vậy, bạn không nên kinh doanh.



Nguồn The NewYork Times

Bài viết liên quan

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Bài viết mới nhất

Kết nối với chúng tôi

333Thành viênThích
203Người theo dõiTheo dõi

Quảng cáo