保險公司拒賠 NotPetya,視為戰爭免賠惹議

作者 | 發布日期 2019 年 04 月 16 日 16:56 | 分類 資訊安全 follow us in feedly


2017 年遭到 NotPetya 攻擊的企業,遭到上百萬美元的損失。之後想要靠平常投保的產物險多多少少彌補損失,卻發現保險公司將攻擊歸類為戰爭因素,而申請理賠被拒。

食品工業大廠億滋國際 (Mondelēz International) 是其中一家受到 NotPetya 攻擊的公司,公司業務停擺一年,損失無數的訂單,還有受感染的電腦設備逐一替換。正當想到也許產險公司的保險理賠能夠彌補一些損失,蘇黎士產險卻拒賠,被很少會用到的條款──戰爭排除條款為由,拒絕理賠了。

如果有仔細看過保單,在密密麻麻的條文中可能有看過戰爭因素的排除條款。一般人要去有衝突的地方旅行,通常保險公司也不會讓旅遊保單成立,實際上因戰爭因素不理賠並不多見。億滋國際向承保的產險公司蘇黎士產險申請理賠,原因是 NotPetya 被視做資訊戰爭事件。

億滋國際並非唯一被用戰爭排除條款拒賠的公司,默克藥廠也被拒賠,總計 7 億美元的損失需要自行吸收。兩家公司都不滿保險公司的應對,而選擇分別在伊利諾和紐澤西打官司,爭論他們被 NotPetya 攻擊是否適用戰爭排除條款。

不只對於一般企業,網路攻擊事件帶給保險業相當大的衝擊,幾乎跟產險公司承保的各行各業公司行號,都會面臨網路攻擊的威脅。一次網路攻擊造成的損失往往難以估計,增加保險公司的風險,如果是國家級駭客所為,也不會因為是遠離真實的戰場而受影響的狀況較低。

2017 年 NotPetya 被發現在俄羅斯對烏克蘭的衝突中扮演要角,24 小時之內癱瘓全烏克蘭 10% 的電腦系統,銀行、加油站、醫院、機場、電力公司等無法正常運作。美國認定這是俄羅斯發動的網路戰爭,而最終 NotPetya 來到世界其他地方,影響像是億滋國際、默克製藥這類民生公司。

目前網路戰爭的定議模糊,至於還不能確認 NotPetya 真的背後是俄羅斯搞鬼。這就是政府不會輕易說某起網路攻擊事件是網路戰爭的原因,因為很容易就給保險公司拒賠的理由,採用戰爭免責條款來規避。時任美國總統歐巴美指控北韓網軍侵入 Sony,破壞 Sony 70% 的伺服器,也只有說是網路破壞者。目前保險公司有承保網路險,但理賠限於資料損失,不包括營運中斷造成的損失。

風險管理公司 Axio Global 的總裁 Scott Kannry 相當關注億滋國際和默克藥廠與保險公司的官司,因為保險條款制訂時,網路攻擊根本還是聽都沒聽過的事情。如今網路攻擊已經是迫在眉睫的危機了。

安怡集團的網路保險專家 Shannan Fort 說,她實在不想嚇人,但是假如有國家級攻擊針對特定的設施,像是國家的基礎骨幹,算是網路戰爭還是恐怖主義?目前處於灰色地帶。

AIG 的前任營運長 Ty Sagalow,在 20 年前就提出網路風險保險,則說他們有設想類似 NotPetya 的情境,不少受影響的企業是受到池魚之殃,並非攻擊方的目標,保險公司很可能濫用戰爭排除條款拒賠。未來受到池魚之映的企業只會越來越多,如果保險公司不與時具進,不加以因應,那不應該還在這一行。

(首圖來源:Pixabay)