28
Чт, март

Спор между компанией Zurich и ее клиентами подчеркивает опасность риска кибератак

Иск на 100 миллионов долларов, который компания» Mondelez», производитель шоколада Oreos и Cadbury, подала против компании Zurich Insurance Group, показывает, что правительства должны быть более осторожными в определении потенциальных виновников в предполагаемых кибервойнах. Такие претензии могут иметь непредвиденные последствия и вредить бизнесу.

В июне 2017 года вредоносная программа под названием «ExPetr» или «NotPetya» вызвала хаос в датском судоходном гиганте «Maersk», американской фармацевтической компании «Merck», российской государственной нефтяной компании «Роснефть» и ряде других крупных корпораций, включая «Mondelez». «NotPetya» использовал разработку, известную, как «EternalBlue», созданную Агентством национальной безопасности США и ставшей доступной в результате утечки данных в 2017 году.

В феврале 2018 года Великобритания официально обвинила Россию в необычайно мощной кибератаке. США, Канада и Австралия быстро последовали обвинению в рамках скоординированной дипломатической акции. Официальное заявление Белого дома назвало вредоносное ПО «частью продолжающихся усилий Кремля по дестабилизации Украины» и заявило, что оно «все яснее демонстрирует причастность России к продолжающемуся конфликту». Компании по кибербезопасности обнаружили, что атака была впервые совершена в Украине.

Официальное обвинение России правительствами западных стран в массированной кибератаке соответствует модели «обличения и осуждения», установившейся в последние годы. Они не чувствуют себя обязанными предоставлять какие-либо доказательства: в этом нет необходимости, поскольку идея заключается в том, чтобы сказать России: «Мы знаем, что вы делаете». Россия неизменно отрицает свою причастность, поэтому последствия обычно ограничиваются громкими заявлениями.

Но не в этом случае: спор между «Mondelex» и Zurich Insurance Group может создать неприятный прецедент, поднимая вопрос о том, нужно ли менять правила ведения бизнеса, чтобы учесть «Храбрый новый мир» кибератак.

Компания «Mondelez» потребовала 100 миллионов долларов в качестве компенсации по страховке, потому что полагала, что ущерб, нанесеный «NotPetya», 1700 ее серверам и 24 000 ноутбукам, плюс кража тысяч учетных данных пользователей, невыполненные заказы клиентов и другие убытки подпадают под действие страхового полиса, который покрывал «физическую потерю или повреждение электронных данных, программ или программного обеспечения», вызванное «злонамеренным введением машинного кода». В июне 2018 года Zurich Insurance Group возразил, что «NotPetya» попал под исключение в полисе, как «враждебные или военные действия во время мира или войны», что освобождало страховщика от исполнения обязательств по страховому договору.

Компания «Mondelez» подала в суд, утверждая, что применение страховщиком исключения и признание кибератаки средством ведения войны, было беспрецедентным. Бремя доказывания в таком случае лежит на страховой компании. Общеизвестно, что кибератаки трудно идентифицируемы и, даже доказательства, собранные компаниями, занимающимися кибербезопасностью, могут быть неубедительными в суде.

Однако в этом конкретном случае страховщик может сослаться на ряд официальных заявлений западных правительств, в которых «NotPetya» описывается как часть враждебных действий России против Украины. Но, как обычно в случае раскрытия информации от спецслужб, не было представлено никаких доказательств в поддержку обвинения. В иске поднимается вопрос о том, должны ли обвинения и претензии из официальных источников быть приемлемыми в качестве доказательств, даже если они не обоснованы.

США и другие правительства должны задуматься о том, стоят ли сомнительные выгоды, которые они получают от публичных обвинений, возможных последствий: что если суды и адвокаты действительно начнут верить сообщениям о кибервойне и действовать так, как если бы любой ущерб, нанесенный западным компаниям, был непоправимым военным ущербом? Действительно ли язык войны дает хорошее описание нынешнего соперничества в киберпространстве? Что будет со страховкой от киберрисков, если любая атака потенциально может быть объявлена частью войны?

Риторика о кибервойне является захватывающей, но также довольно бессмысленной. Возможно, пришло время снизить накал страстей или, хотя бы, дважды подумать, прежде чем использовать такие серьезные заявления.

Подготовлено порталом Allinsurance.kz