W styczniu 2024 r. firma Merck zakończyła siedmioletni spór z ubezpieczycielami ugodą wartą 1,4 mld dol. – jedną z największych znanych wypłat z tytułu szkody cyber. Miesiąc później atak ransomware na Change Healthcare spowodował straty przekraczające 3 mld dol. Firma nie otrzyma z ubezpieczenia ani centa. Nie dlatego, że ubezpieczyciel odmówił. Dlatego, że polisy nie było.
Te dwa przypadki, rozdzielone zaledwie kilkoma tygodniami, pokazują granice ochrony ubezpieczeniowej lepiej niż jakiekolwiek teoretyczne rozważania.
Siedem lat wojny o klauzulę wojenną
Historia Merck zaczyna się 27 czerwca 2017 r., gdy malware NotPetya – oficjalnie wymierzony w ukraińską infrastrukturę – rozprzestrzenił się globalnie w ciągu kilku godzin. Koncern farmaceutyczny stracił 10 tys. komputerów w 90 sekund, w ciągu kilku minut liczba wzrosła do ponad 40 tys. Całkowite straty oszacowano na 1,4 mld dol.
Merck posiadał rozbudowany program ubezpieczeniowy: 26 polis majątkowych od ponad 30 ubezpieczycieli, z łącznym limitem 1,75 mld dol. Liderem był ACE American (Chubb). Wydawało się, że wypłata będzie formalnością.
Ubezpieczyciele odmówili, powołując się na klauzulę wojenną. Argumentacja była prosta: NotPetya to atak rosyjskich służb, a więc „akt wrogi lub wojenny” wyłączony z pokrycia. Sprawa trafiła do sądu w New Jersey.
Sędzia Thomas Walsh orzekł w styczniu 2022 r. na korzyść Merck. W uzasadnieniu napisał, że ubezpieczyciele „nie zrobili nic, by zmienić język wyłączenia tak, aby rozsądnie poinformować ubezpieczonego o zamiarze wyłączenia cyberataków”. Tradycyjna klauzula wojenna – argumentował sąd – wymaga działań militarnych, nie operacji w cyberprzestrzeni wymierzonych w firmę „całkowicie poza kontekstem jakiegokolwiek konfliktu zbrojnego”.
Sąd apelacyjny podtrzymał wyrok w maju 2023 r. Tuż przed rozprawą w Sądzie Najwyższym w styczniu 2024 strony zawarły ugodę. Precedens apelacyjny pozostał w mocy.
Bezpośrednim skutkiem tej sprawy były wytyczne Lloyd’s z sierpnia 2022 r.: od marca 2023 wszystkie samodzielne polisy cyber muszą zawierać wyraźne wyłączenia ataków wspieranych przez państwa. Rynek się przebudował, ale na podstawie przegranej ubezpieczycieli, nie ich zwycięstwa.
Trzy miliardy bez polisy
Change Healthcare przetwarza ok. 15 mld transakcji medycznych rocznie – to infrastruktura, przez którą przechodzi niemal połowa rozliczeń w amerykańskim systemie ochrony zdrowia. W lutym 2024 r. grupa ALPHV/BlackCat uzyskała dostęp do systemów firmy przez portal Citrix pozbawiony uwierzytelniania wieloskładnikowego (MFA – logowania wymagającego potwierdzenia tożsamości drugim kanałem, np. kodem z telefonu). Atakujący mieli dziewięć dni na skopiowanie danych, zanim zaszyfrowano systemy.
Bilans: wyciek danych 192,7 mln osób (58% populacji USA), paraliż płatności dla dziesiątek tysięcy podmiotów medycznych. UnitedHealth, właściciel Change Healthcare, zapłacił 22 mln dol. okupu. Atakujący wzięli pieniądze i zniknęli, nie przekazując klucza deszyfrującego.
Łączne koszty w 2024 r.: 3,09 mld dol.
CEO Andrew Witty zeznał przed Kongresem w maju 2024 r., że Change Healthcare było „samoubezpieczone” – świadomie zrezygnowało z polisy cyber. Nie jest to przypadek odosobniony: australijski Medibank po podobnym ataku w 2022 r. przyznał, że również nie posiadał ubezpieczenia, bo „koszty znacząco wzrosły, a dostępne polisy nie pokryłyby większości strat”.
Powstaje jednak pytanie: czy Change Healthcare otrzymałoby wypłatę, gdyby polisę posiadało?
MFA jako nowy warunek sine qua non
Odpowiedź sugerują dwa precedensy. W lipcu 2022 r. Travelers złożył pozew przeciwko International Control Services w sądzie federalnym w Illinois. Firma oświadczyła we wniosku ubezpieczeniowym, że stosuje uwierzytelnianie wieloskładnikowe. Po ataku ransomware przeprowadzona analiza ujawniła, że MFA działało tylko na firewallu, nie na serwerach. W sierpniu ICS zgodziło się na unieważnienie polisy w ugodzie, ubezpieczyciel nie musiał wypłacić ani dolara.
Bardziej wymowny jest przypadek miasta Hamilton w Ontario. Atak ransomware w lutym 2024 r. spowodował szkody rzędu 18 mln dol. kanadyjskich. Miasto zgłosiło roszczenie na ok. 5 mln, ale w lipcu 2025 r. ubezpieczyciel odmówił wypłaty – polisa wyłączała straty wynikające z braku MFA. Hamilton rozpoczęło wdrażanie MFA miesiąc przed atakiem. Implementacja była niekompletna.
Change Healthcare straciło 3 mld dol. przez brak podstawowego zabezpieczenia. Nawet gdyby firma miała polisę, ten sam brak MFA prawdopodobnie oznaczałby odmowę wypłaty.
Granice ochrony
Rynek ubezpieczeń cyber w 2024 r. osiągnął wartość 15–16 mld dol. globalnie. Wskaźnik szkodowości w USA wyniósł 49% – to pogorszenie względem rekordowo niskich 42% w 2023 r., ale wciąż poziom zapewniający rentowność. Munich Re prognozuje wzrost rynku do 32 mld dol. do 2030 r.
Tyle statystyka. W praktyce znacząca część roszczeń cyber spotyka się z odmową lub jedynie częściową wypłatą. Duże korporacje coraz częściej kalkulują, że samoubezpieczenie jest tańsze niż składka, i akceptują ryzyko, że w razie katastrofy poniosą pełne koszty.
W Europie regulacje DORA i NIS2 wymuszają wdrożenie MFA, ale spełnienie wymogów regulacyjnych nie gwarantuje ochrony ubezpieczeniowej – to dwie różne logiki oceny ryzyka.
Przypadki Merck i Change Healthcare pokazują dwie strony tej samej monety. Pierwszy dowodzi, że program ubezpieczeniowy może chronić przed stratami rzędu miliarda dolarów – jeśli ubezpieczony jest gotów walczyć przez siedem lat. Drugi pokazuje, że nawet najpotężniejsze korporacje mogą uznać, iż gra nie jest warta świeczki.
Mam wrażenie, że obie lekcje prowadzą do tego samego pytania: gdzie w tym układzie znajduje się przeciętna firma?
Zbigniew Rzepkowski
Product Owner, Project Manager, AI Manager
