29.11.2023
1 хв
1478
Merck, фармацевтичний гігант із Нью-Джерсі, зіткнувся з масштабним збоєм, коли зловмисне програмне забезпечення NotPetya заразило понад 40 000 його комп’ютерів. Спочатку націлене на українське бухгалтерське програмне забезпечення, зловмисне програмне забезпечення поширилося по всьому світу, спричинивши значний параліч роботи. Вважається, що зловмисники, які стоять за цією нищівною кібератакою, пов’язані з російським урядом.
Цей випадок став ключовим у формуванні наративу навколо терміну «воєнний акт» у кіберконтексті. Страховики Merck спочатку відхилили претензію, посилаючись на положення про виключення війни, яке звільняє їх від сплати збитків, спричинених воєнними діями. Широкий вплив шкідливого програмного забезпечення та його передбачуваний зв’язок із фінансованою державою діяльністю поставили це виключення під сумнів.
На початку 2022 року суд штату Нью-Джерсі постановив, що виключення війни не застосовується в цьому сценарії. Як повідомляє Bloomberg Law, незважаючи на звернення страховиків, мирову угоду було досягнуто незадовго до того, як Верховний суд Нью-Джерсі мав заслухати усні аргументи. Ця судова битва пролила світло на розвиток інценденту та дедалі більшу участь державних суб’єктів у незаконній кібердіяльності.
У своєму початковому рішенні на користь Merck суд зазначив, що, незважаючи на зміни в кібернетичному середовищі та зростаючу участь держави в незаконній діяльності, «мова, яка використовується в цьому страховому полісі, мало змінилася за ці роки». Було зрозуміло, що обидві сторони знали про нестримні кібератаки, які відбуваються в різних формах, іноді з боку приватного сектору, а іноді з боку державних суб’єктів. Однак страховики не змінили формулювання полісу, щоб обґрунтовано повідомити страхувальника про свій намір виключити кібератаки.
Угода є орієнтиром у визначенні параметрів страхових претензій, пов’язаних з кібернетичними засобами. Після атаки NotPetya було вжито заходів для уточнення типів атак, які підпадають під виключення. У 2022 році лондонський страховий бегемот Lloyd’s оголосив, що страховики не будуть покривати фінансовані державою кібератаки, пов’язані з війною чи інцидентами, які суттєво погіршують функціонування держави, якщо вони прямо не виключені.
У пов’язаній справі харчовий конгломерат Mondelez у 2022 році погодився зі страховою компанією Zurich Insurance за претензію в розмірі 100 мільйонів доларів, яка була відхилена на тих же підставах, що й справа Merck.
Врегулювання між Merck та його страховиками щодо кібератаки NotPetya знаменує собою важливий момент у сфері управління кіберризиками та страхування, що розвивається. Цей прецедент свідчить про те, що страховій індустрії може знадобитися розробити більш детальну політику, яка враховуватиме складність сучасної кібервійни та її наслідки.
