“战争行为”条款可拒赔网络保险

六名俄罗斯军人因NotPetya勒索软件攻击遭起诉，企业由此意识到网络保险并非“消灾免难卡”。

网络安全与保险专家表示，如果保险公司运用十分普遍的“战争行为”条款成功规避自身责任，公司企业想要靠业务中断险和财产险覆盖勒索软件攻击及其他网络损失，就会冒遭遇重大攻击时无法获得赔付的风险。

十月底，美国起诉六名俄罗斯军人从事各种网络犯罪活动，包括破坏世界各地业务运营的NotPetya数据清除器攻击。过程中，保险公司的论点占据了上风。这些攻击造成的损失是保险公司所遭重大诉讼的核心问题，比如制药巨头默克公司对一系列保险商提出的13亿美元法律诉讼，以及食品饮料集团亿滋国际对苏黎世保险提起的1亿美元诉讼。

两起诉讼案中，保险公司都主张NotPetya攻击是主权国家发起的敌对行为，坚持不予赔付。

风险管理公司QOMPLX首席执行官Jason Crabtree表示：“诉讼凸显出实际操作中的一个普遍原则，也就是保险并非消灾免难卡，应该把保险当做自身财务风险计算的补充。”

企业投保网络保险，是要防止现代网络攻击造成不可预见的业务中断与盈利损失，但这些诉讼反映了网络保险存在的一个基本问题：民族国家往往是这些攻击行动的背后主使。朝鲜支持了许多金融犯罪，伊朗偏爱数据清除类恶意软件，俄罗斯常利用前苏联属国作为网络攻击的试验台，美国也参与了扩散到其他计算机的震网攻击。

而且，大规模勒索事件并不是概率极小的黑天鹅事件。相反，可承保的单一攻击和可致无法赔付的大范围蠕虫之间，可能也就是几行代码的差别。今年7月，金融评级公司AM Best警告称，尽管2019年独立保费有所上升，但索赔总额已翻一番。该公司指出，“勒索软件攻击的频率和严重程度均已上升，医疗保健行业的数据泄露和勒索事件也有所升级。”

火上浇油

某种程度上，保险公司更加剧了问题的严重性。许多勒索软件攻击中，保险公司认为支付赎金是投保人避免更重损失最经济的方式。然而，这些赎金也会支持敲诈勒索繁荣昌盛，继续攻击其他公司。

安全验证公司AttackIQ首席信息安全官Chris Kennedy表示，如果重大网络安全事件变得更加普遍，网络保险业可能会受到巨大影响。

“这些黑天鹅事件代价高昂，而保险公司也是企业，也需要盈利。如果黑天鹅事件越来越多，保险公司又怎么承保这些保单呢？就像再也无法投保的佛罗里达海滩或得克萨斯洪水一样，如果勒索软件继续如此猖獗，网络保险公司将放弃承保此类损失。”

NotPetya对航运巨头马士基集团的影响生动阐释了此类风险。NotPetya蠕虫关停该公司办公系统时，这家全球航运巨头索赔3亿多美元。然而，马士基航运业务遭受的最大威胁，是蠕虫感染似乎清除了公司全部150多个域控制器。一些人认为，如果无法访问这些系统，马士基就无法恢复。幸运的是，《连线》2018年的一篇报道称，加纳一家数据中心当时正好停电，那里的服务器没有遭到感染，整个公司都使用此服务器上的数据得以恢复。

QOMPLX首席执行官Crabtree表示：“说到灾难性风险，丢失成百上千人的信用卡数据不算什么大问题，马士基蠕虫事件才是。要不是意外停电，我们现在就看不到依然纵横四海的马士基了。他们的网络恢复不了。事实上，这家公司就根本不会恢复了。”

Crabtree称，不应将网络保险当成网络安全的替代品。正是因为会发生马士基这样的事件，公司企业才应该关注重要资产的安全控制，重视缓解低概率关键事件，也就是所谓具长尾效应的事件。

“无声承保”

食品饮料公司亿滋国际是依赖网络保险有风险又一案例。该公司估算NotPetya造成了1亿多美元的损失，包括大约1700台服务器和2.4万台笔记本电脑报废，但其保险公司苏黎世保险以“战争行为”排除在外为由拒绝赔付。

据报道，虽然亿滋国际的财险赔付“电子数据、程序或软件的物理损失或损坏，包括恶意引入机器代码或指令造成的物理损失或损坏”，但“战争行为”免于赔付的条款碾压了些损失。

保单中写道：

“不考虑任何其他原因或事件，无论是否本保单承保，不管同时导致还是以任意顺序先后导致损失，本保单不包括由以下任何行为直接或间接造成的损失或损害：

2）（a）和平或战争时期的敌对或战争行为，包括拦截、对抗或防御任何（i）政府或主权力量（法律上或事实上）；（ii）陆军、海军或空军；或（iii）上述i和ii项中任何一方指定的代理或当局发起的实际、即将或预期的攻击。”

由于美国政府将攻击归因于俄罗斯军事情报组织，理赔似乎适用此条款。网络安全公司或威胁情报人员通常将该组织称为“沙虫”（Sandworm）、“黑色能量”（BlackEnergy）或“巫毒熊”（Voodoo Bear），认为该组织一手导演了多起网络攻击，比如2015年和2016年对乌克兰电网的攻击。

拒保还暴露出很多公司风险管理计划中的缺陷：依赖并非专为此类风险而买的所谓“无声承保”。许多保险公司已经在寻找可能提供此类无声网络保险的条款，将之从财产和业务中断保险单中剔除。

Crabtree表示，公司企业可以预期保险公司未来将会坚决拒赔任何重大网络事件。

他说：“因此，如果你想获得网络事件承保，别指望你的常规财险，也别指望一般性的业务中断险，明确购买网络保险。记住，只要保单没以‘网络’二字开头，那你就不应该指望在你需要的时候能有保障。”

相反，公司应该寻求肯定的承保范围，也就是针对网络的保单，并创建大量文档，列出公司希望承保的各种潜在灾难性事件。

“受勒索软件事件或重大数据泄露事件影响时，公司若想获得期待的赔付，那在签保单时就应选择简单的措辞、肯定的承保范围，最好还剔除战争和恐怖主义之类免责条款。这些都是确保公司得到所购保障的非常积极的方式：在需要的时候能提供帮助，付款很快，无需太多争辩。”  

关键词：网络保险；战争行为；免责条款

往期精彩回顾

购买网络保险前应考虑清楚这七个问题

网络安全保险的最大问题：正确平衡投保费和赔偿费用

本文始发于微信公众号（数世咨询）：“战争行为”条款可拒赔网络保险