Międzynarodowa firma farmaceutyczna Merck & Co. odniosła zwycięstwo w sporze prawnym z ubezpieczycielami o pokrycie 1,4 miliarda dolarów strat spowodowanych złośliwym oprogramowaniem znanym jako NotPetya.
Jak przypomina Bloomberg, koncern pozwał swoich ubezpieczycieli, którzy odmówili pokrycia wpływu NotPetya na jego systemy komputerowe, powołując się na wykluczenie z polisy za akty wojny. Atak złośliwego oprogramowania z 2017 r. został przypisany rosyjskiej agencji wywiadu wojskowego w ramach konfliktu z Ukrainą.
13 stycznia sędzia Sądu Najwyższego New Jersey Thomas J. Walsh orzekł, że ubezpieczyciele firmy Merck nie mogą powoływać się na wyłączenie dotyczące aktu wojny, ponieważ użyte w nim sformułowania odnoszą się do konfliktu zbrojnego. W orzeczeniu stwierdzono, że ubezpieczyciele nie zmienili języka, aby dać chronionym przedsiębiorstwom takim jak Merck „zawiadomienie”, że cyberataki nie będą objęte ochroną, pomimo tendencji ataków krajów takich jak Rosja na firmy z sektora prywatnego.
– To ważna wygrana dla ubezpieczających, zwłaszcza w obecnym krajobrazie cyberzagrożeń – powiedział Andrea DeField, partner w dziale ubezpieczeń w Hunton Andrews Kurth LLP.
Według Josephine Wolff, profesor nadzwyczajnej polityki bezpieczeństwa cybernetycznego na Uniwersytecie Tufts, pytanie, czy cyberatak liczy się jako akt wojny, jest jednym z elementów szerszego „rachunku” branży ubezpieczeniowej.
Według niedawnego raportu Marsh McLennan koszt ubezpieczeń cybernetycznych w USA wzrósł, ponieważ ataki ransomware zwiększają liczbę roszczeń. To sprawiło, że ubezpieczyciele nasilili kontrolę polityki w zakresie tego typu ryzyka i zawężają ochronę przed stratami związanymi z oprogramowaniem ransomware w firmach, które nie wykazują wystarczających zabezpieczeń cybernetycznych.
Innym podobnym przypadkiem jest sprawa Mondelez International Inc. Jej rozstrzygnięcie da odpowiedź, czy jego ubezpieczyciel Zurich Insurance Group Ltd. musi pokryć szkody spowodowane przez NotPetya. Sprawa Mondelez toczy się w sądzie okręgowym stanu Illinois dla hrabstwa Cook.
Według Johna Reeda Starka, konsultanta ds. cyberbezpieczeństwa, te dwa przypadki mogą mieć efekt domina nie tylko dla branży ubezpieczeniowej, ale także dla firm poszukujących ochrony przed cyberwłamaniami.
Stark ocenił, że firmy często nie wiedzą, co obejmuje ich ubezpieczenie, dopóki nie staną w obliczu incydentu cybernetycznego. – To musi się zmienić – powiedział, dodając, że firmy powinny dokładnie przejrzeć swoje polisy pod kątem planów reagowania na incydenty.
Ubezpieczyciele wymienieni w pozwie Merck obejmują jednostki Allianz SE i Zurich.
AM, news@gu.com.pl
(źródło: Bloomberg)