Cyberriskförsäkring täcker utbrott av skadlig kod men inte om det är en krigshandling 

Den amerikanska livsmedelsdistributören Mondelez, (t.ex. Oreos, samt ägare av Ritz och Nabisco), infekterades av krypteringsviruset NotPetya 2017 och betalningskrav i Bitcoins för att återfå åtkomst till sina filer. Attacken resulterade i bl.a. produktionsstopp [1], skada på 1700 servrar, 24000 bärbara datorer, samt läckt autentiseringsinformation för tusentals användare som följd av utbrottet av den skadliga koden [2]. I media beskrev t.ex. den brittiska regeringen att bakgrunden till NotPetya är ryska hackers attack mot Ukraina [3-4]. Ryssland dementerade inblandning och hänvisade till att även ryska företag drabbats hårt.

Mondelez försäkring för att hantera cyberrisker beskriver explicit: ”alla risker för fysisk förlust eller skada på egendom” tillika ”fysisk förlust eller skada avseende elektronik, program eller mjukvara, eller skada orsakat av skadlig introduktion av maskinkod eller instruktion”. Nåväl, det enda rimliga föreföll alltså för Mondelez att inkräva ersättning ifrån sitt försäkringsbolag, vilket var precis vad de gjorde. På 100 miljoner dollar [5].

Zürich American Insurance bestred kravet och Mondelez svarade med stämning. I Zürich redovisning av vad försäkringen de facto omfattar, hänvisar de till avtalsvillkoren av vilka följer att försäkringen ej gäller om gärningen omfattar en ”fientlig eller krigslik handling i fredstider av en myndighet eller självständig stat”. Även om part som äger bevisbörda kan förändras i försäkringstvister avgörs de ofta av praxis vilket i denna situation skulle innebära att det är upp till försäkringsbolaget att bevisa sina påståenden.

Rimligtvis kommer det då krävas substantiellt mer än indicier och synpunkter i media för att styrka ursprung för NotPetya. Att bevisa i rätten att ryska myndigheter har utfört attacken som krigshandling kommer dock, med tanke på hur ofta det misslyckats att leda i bevis att cyberattacker utförts av organisationer, grupper eller främmande makt, inte bli enkelt. Dessutom, är det rimligt att det är avgörande vem som utfört cyberattacker om försäkringen ska gälla, även om effekten är densamma för den som drabbas?

Rättsfallet blir spännande att följa. Oavsett utgång kommer det säkerligen påverka hur framtida försäkringar för att hantera cyberrisker kommer utformas, samt hur företagspolicys kommer att anpassas. Dock ersätter knappast en försäkring varken på kort eller lång sikt ett strukturerat säkerhetsarbete för att kunna vara förberedd och ta riskmedvetna beslut i skarpa lägen då verksamheten äventyras.

Referenser

[1] https://www.zdnet.com/article/ransomware-halts-production-at-cadburys-tasmanian-chocolate-factory/

[2] https://www.theregister.co.uk/2019/01/11/notpetya_insurance_claim/

[3]https://www.theregister.co.uk/2017/07/04/sbu_claims_russia_was_behind_notpetya/

[4] https://www.gov.uk/government/news/foreign-office-minister-condemns-russia-for-notpetya-attacks

[5] https://www.bloomberg.com/opinion/articles/2019-01-11/mondelez-lawsuit-shows-the-dangers-of-attributing-cyberattacks