事件回顧

2017年，NotPetya網(wǎng)絡(luò)攻擊致使默克這家全球制藥商的30000多臺筆記本電腦和臺式計算機以及7500臺服務(wù)器癱瘓，銷售、制造和研究部門都受到打擊。默克公司初步估計該惡意軟件造成了8.7億美元的損失。尤其是，NotPetya嚴(yán)重削弱了默克的生產(chǎn)設(shè)施，以至于當(dāng)年無法滿足對人類乳頭瘤病毒(HPV)可能導(dǎo)致宮頸癌的領(lǐng)先疫苗Gardasil 9的需求。默克必須從國家儲備庫借出180萬劑藥物(美國的全部應(yīng)急物資)。默克花了18個月的時間才補充了存貨，花費2.4億美元。

默克在遇到網(wǎng)絡(luò)攻擊時做了我們所有人都會做的事情：它轉(zhuǎn)向了保險公司。畢竟，通過其財產(chǎn)保險，該公司在自己承擔(dān)1.5億美元的免賠額之后，希望保險公司承擔(dān)包括破壞計算機數(shù)據(jù)，程序和軟件在內(nèi)的災(zāi)難性風(fēng)險，總計17.5億美元。因此，當(dāng)其30家保險公司和再保險公司中的大多數(shù)都拒絕根據(jù)這些保單的承保范圍賠款給默克時，默克感到了震驚。為什么?因為默克制藥的財產(chǎn)保險措辭明確排除了另一類風(fēng)險：戰(zhàn)爭行為。

默克公司起訴其保險公司，包括安聯(lián)(Allianz SE)和美國國際集團(American International Group Inc.)等行業(yè)巨頭違反保險合同，最終要求賠償14億美元的損失。

案件結(jié)果

最近，默克制藥公司贏得了上訴，這可能意味著其保險公司將不得不支付與2017年NotPetya網(wǎng)絡(luò)攻擊相關(guān)的14億美元判決。新澤西州上訴法院的法官在審理上訴時指出，“戰(zhàn)爭”的簡單定義適用于各種保險政策，針對一家沒有參與敵對行動的制藥公司的網(wǎng)絡(luò)攻擊，雖然是犯罪行為，但并不等同于戰(zhàn)爭行為。

正如法官判決書中詳述的那樣，許多原被告都與默克公司達成了保險索賠的和解。在另一起涉及跨國食品和飲料公司億滋國際(Mondelez International)和蘇黎世美國保險(Zurich American Insurance)的案件中，雙方也達成了和解。

Lloyd的和解為網(wǎng)絡(luò)保險的未來提供了線索

保險公司對上訴的拒絕以及倫敦Lloyd保險公司在2023年3月采取的行動，為我們理解未來可能如何處理網(wǎng)絡(luò)保險提供了一些方向，即“網(wǎng)絡(luò)安全除外”(cybersecurity exclusions)將得到更明確的定義。保險法學(xué)者(Insurance Law Scholars)在Lloyd一案中提交的一份“amici 簡報”指出，初審法院的裁決應(yīng)該得到肯定，因為它“得到了戰(zhàn)爭除外條款的起草歷史的支持”，而且保險公司“沒有使用現(xiàn)成的保險單條款，這些條款本可以排除或限制網(wǎng)絡(luò)相關(guān)事件的承保范圍”。

在默克案的法官判決書的第23頁，措辭更為直接：“只有當(dāng)我們將‘?dāng)硨Α暮x擴展到其外部極限，試圖將其應(yīng)用于對一家非戰(zhàn)斗公司——它為各種非戰(zhàn)斗人員客戶提供服務(wù)，所有這些都完全不在任何武裝沖突或軍事目標(biāo)的范圍內(nèi)——的網(wǎng)絡(luò)攻擊時，才適用于保險范圍排除?！狈ü賯冎赋?，這種做法將與要求法院狹隘地解釋保險范圍排除的基本原則相沖突。排除法中一個詞或短語的具體、清楚、明確和突出的含義，以及其明確的含義和意圖，不等于其最廣泛的解釋，而是最狹隘的解釋。

如果這是一場足球比賽，法庭似乎會稱這是保險公司的“烏龍球”。

為什么定義什么是戰(zhàn)爭很重要?

戰(zhàn)爭免責(zé)條款被認定不適用，法院用保險公司自己的話詳細說明了拒絕的“原因”。在我這樣的外行看來，法官們似乎認為保險公司有充足的時間來調(diào)整他們的政策動態(tài)，卻沒有抽出時間去做。

為此，我特地聯(lián)系了紅點網(wǎng)絡(luò)安全公司(Redpoint Cybersecurity)負責(zé)客戶關(guān)系的副總裁、貝勒法學(xué)院(Baylor law School)網(wǎng)絡(luò)安全法兼職教授Violet Sullivan，詢問了她的專業(yè)看法。她認為，這項裁決很可能會上訴到新澤西州最高法院。此外，她指出，保險公司負有舉證責(zé)任，法院和上訴法官裁定保險公司沒有盡到舉證責(zé)任。

地面戰(zhàn)爭VS網(wǎng)絡(luò)戰(zhàn)爭

Sullivan認為，這不是一個歸屬問題，也不是一個確定攻擊與哪個外國政府有關(guān)的問題，整個2022年的初步?jīng)Q定取決于對物理/動態(tài)或網(wǎng)絡(luò)戰(zhàn)的任意區(qū)分。它的重點是襲擊的性質(zhì)以及戰(zhàn)爭在政策和法律先例中的意義。

也就是說，當(dāng)一個國家的情報機構(gòu)開展秘密行動時，政府的目標(biāo)是始終對任何非法行為保持合理的否認。NotPetya的攻擊是否得到了俄羅斯聯(lián)邦的支持?這些保險公司的網(wǎng)絡(luò)咨詢公司克羅爾網(wǎng)絡(luò)安全公司(Kroll Cyber Security)在法庭上“非常有信心”地表示，這次攻擊是“由為俄羅斯聯(lián)邦工作或代表俄羅斯聯(lián)邦的行為者精心策劃的”。然而，如果一個國家政府不打算將攻擊歸因于民族國家的贊助，那么保險實體將很難在沒有明確的網(wǎng)絡(luò)安全排除條款的情況下在法庭上成功做到這一點。