29
Пт, март

Кибервойна: проверьте свои исключения в полисах киберстрахования

agcs cyber risks 8 teaserРиск-менеджеры должны уделять особое внимание исключениям в своих страховых договорах на фоне растущей угрозы кибератак со стороны государств и недавних судебных разбирательств, считают эксперты по правовым вопросам, опрошенные Commersial Risk.

Предупреждение прозвучало после того, как Fitch Ratings заявило недавно, что предприятия, имеющие связи с Россией или Украиной, а также фирмы в странах, которые ввели санкции в отношении первых, подвергаются повышенному риску кибератак.

Fitch сообщило, что количество кибератак уже увеличилось с момента начала конфликта. Агентство считает, что существует риск более широкомасштабных побочных кибератак на другие, неосновные цели, как и в случае с кибератакой NotPetya 2017 года, которая началась как атака на украинское правительство и бизнес страны и быстро распространилась на остальной мир.

NotPetya, кибератака, которая затронула судоходную компанию Maersk, американскую фармацевтическую группу Merck и продовольственную группу Mondelez, по мнению Великобритании и США была осуществлена российскими военными. И Merck, и Mondelez стремились возместить часть своих убытков за счет своей страховки, что не было поддержано их страховщиками.

Спустя почти пять лет Merck недавно выиграла дело против своих страховщиков во главе с Chubb, которые пытались использовать исключение войны, чтобы отклонить иск американской фармацевтической компании в размере $1,4 млрд о возмещении физического ущерба и убытков, связанных с прерыванием бизнеса (BI), связанных с NotPetya. Спор Mondelez на $100 млн со страховой компанией Zurich продолжается.

Полис Merck в отношении имущества на все риски, в которой не было исключений в отношении кибербезопасности, включала покрытие убытков, возникших в результате уничтожения или повреждения программного обеспечения для компьютерных данных. Однако полис содержал исключение для войны и враждебных действий. Суд Нью-Джерси вынес решение в пользу Merck, заявив, что «разумное понимание» «враждебных или воинственных действий» применимо только к «традиционным формам ведения войны», и поэтому исключение войны не распространяется на кибератаку.

По словам Джулиана Миллера, партнера юридической фирмы DAC Beachcroft, это решение, которое еще может быть обжаловано, является важным сигналом для страховщиков и страхователей.

«Постановление, хотя и имеет лишь ограниченную прецедентную ценность, представляет большой интерес для рынка, поскольку оно является одним из первых, связанных с войной и кибербезопасностью. В нем подчеркивается, что страховщики должны быть обеспокоены применением военных исключений для кибератак, а также необходимостью введения конкретных положений о кибервойнах и терроризме», — сказал он.

По словам Майкла Бахара, партнера и соруководителя по глобальной кибербезопасности и конфиденциальности данных в Eversheds Sutherland, компании и их страховые компании заинтересованы в том, чтобы понять, как страховые полисы будут реагировать на растущую угрозу со стороны сложных киберугроз, спонсируемых государством.

«Обе стороны заинтересованы в уточнении покрытия, исключают они или включают. На данный момент я не верю, что двусмысленность полезна, поскольку теперь это событие с гораздо большей вероятностью, чем было. Несколько лет назад можно было сказать, что это вряд ли произойдет, теперь вопрос в том, когда это произойдет», — сказал Бахар.

Растущая геополитическая напряженность делает недавнее решение Merck более актуальным, по словам Ханса Оллнутта, партнера и главы группы DAC Beachcroft, занимающейся кибербезопасностью и рисками данных. «Страховщики должны проверить свои формулировки и убедиться, что пункты о [войне и терроризме] актуальны для кибератак. Угроза кибератак из-за конфликта в Украине показывает, что этот вопрос требует срочного решения», — сказал он.

По словам Бахара, со времен NotPetya страховщики вносили изменения в полисы, чтобы устранить двусмысленность в отношении кибератак на уровне государства и применения исключений для войны. Этот процесс, вероятно, ускорится после недавнего судебного дела Merck.

«С увеличением числа кибератак, спонсируемых государственными субъектами, вы увидите больше споров вокруг устаревших положений о форс -мажоре или положений о форc-мажоре, на которые люди не обращали внимания, когда согласовывали свой полис», — предупредил Бахар.

Он пояснил, что кибератаки обычно находятся чуть ниже порога вооруженного конфликта, который исключается в соответствии с положениями о форс - мажоре. Однако правительство государства может объявить кибератаку актом войны, добавил он.

«Повторяя NotPetya, многие застрахованные были бы удивлены, обнаружив, что они не застрахованы в соответствии с полисом киберстрахования из-за исключений», — сказал Бахар. «Те, кто потратил время на то, чтобы исключить кибератаки из пункта о форс - мажоре, должны быть рады обнаружить, что он охвачен. Это не означает, что не будет судебного разбирательства. Но чем больше ясности вы получите, тем лучше», — сказал он.

По словам Бахара, страховые компании тратят гораздо больше времени на обдумывание исключений, но страхователи также обязаны посмотреть, как их страховая компания определяет покрытие. «Важно прочитать покрытие и убедиться, что обе стороны знают, что покрывается, а что нет», — сказал он.

По словам Бахара, лучше с самого начала получить ясность и не ждать убытков, чтобы проверить полис.

«Устранение двусмысленности в отношении того, исключена ли кибератака национального государства, имеет преимущества для обеих сторон. Потенциально это может означать меньшее покрытие, но некоторые отрасли, такие как критическая инфраструктура, с большей вероятностью будут нуждаться в покрытии от кибератаки, спонсируемой государством», — сказал он.

«Повышенное внимание уделяется определению кибератак с точки зрения военных действий и террористических актов. Еще предстоит определить, существует ли последовательный подход к формулировкам, учитывая развивающийся характер угроз, правил и рынка киберстрахования», — добавил Бахар.

DAC Beachcroft недавно поддержала рыночную ассоциацию Ллойда (LMA) в ее стремлении обновить формулировки кибервойны и терроризма. «В ноябре LMA выпустило четыре пункта на современном языке, которые напрямую касаются проблемы кибервойны. Они еще не получили широкого распространения, но они положительно сказываются на рынке и показывают, что страховщики активно разрабатывают формулировки, а не просто реагируют на судебные решения», — сказал Бахар.

По словам Миллера, будущие события станут проверкой формулировок и положений полисов. «Сейчас мы переходим к эпохе проверки степени покрытия полисом киберстрахования».

Миллер считает, что есть ряд других серых зон, связанных с киберпокрытием. Области покрытия, которые могут привести к будущим спорам и судебным разбирательствам, включают двойное страхование, агрегирование киберпретензий и периоды ожидания для расчета потерь BI, связанных с кибербезопасностью. Так же он полагает, что еще предстоит увидеть, как существующие положения в этих областях будут транслироваться в киберпретензии и подходят ли они для киберубытков.

Подготовлено порталом Allinsurance.kz