Το κακόβουλο λογισμικό NotPetya εμφανίστηκε για πρώτη φορά σε υπολογιστές σε όλο τον κόσμο τον Ιούνιο του 2017, προκαλώντας ζημιές 10 δισεκατομμυρίων δολαρίων. Το NotPetya ξεκίνησε από την Ουκρανία, αλλά πολύ γρήγορα διείσδυσε σε συστήματα υπολογιστών σε όλο τον υπόλοιπο κόσμο. Μεταξύ άλλων έφτασε και στις ΗΠΑ, στα συστήματα της Mondelez International με έδρα το Σικάγο, μίας πολύ γνωστής πολυεθνικής εταιρείας τροφίμων η οποία μεταξύ άλλων φτιάχνει τα γνωστά σε όλους μπισκότα Oreos.
Αυτό που συνέβη είναι ότι το NotPetya διατάραξε τα email και την πρόσβαση σε αρχεία της Mondelez επί εβδομάδες. Αφού πέρασε το κύμα της επίθεσης, η Mondelez υπέβαλε αξίωση για αποζημίωση, η οποία απορρίφθηκε αμέσως στη βάση ότι ο ασφαλιστής δεν καλύπτει ζημιές που προκλήθηκαν από τον «πόλεμο» αυτό μεταξύ Ρωσίας και Ουκρανίας.
Η αλήθεια είναι ότι το NotPetya ήταν ένα από τα στοιχεία της συνεχιζόμενης σύγκρουσης μεταξύ Ρωσίας και Ουκρανίας και η δεύτερη όντως έσπευσε να κατηγορήσει την πρώτη για τις καταστροφικές κυβερνοεπιθέσεις, ωστόσο φυσικά αυτό δεν μπόρεσε να αποδειχθεί ποτέ. Η διαφωνία αυτή, σε συνδυασμό με την επίθεση του κακόβουλου λογισμικού είχε επιπτώσεις σε πολλά άλλα διαφορετικά επίπεδα και σε πολλές διαφορετικές αγορές. Ανάμεσα σε αυτές και η ασφαλιστική αγορά. Είναι άγνωστο τι μπορούν να περιμένουν από τον ασφαλιστή τους εταιρείες που κινδυνεύουν όλο και περισσότερο να υποστούν χακάρισμα από το συγκεκριμένο ιό.
Cookies υπό επίθεση
Η Mondelez δεν είχε πραγματικά καμία σχέση με τις εντάσεις μεταξύ Ρωσίας και Ουκρανίας, ωστόσο τα συστήματα υπολογιστών της εταιρείας εξακολουθούσαν να επηρεάζονται από το NotPetya καθώς εξαπλωνόταν σε όλο τον κόσμο. Για τη Mondelez, οι συνολικές ζημιές υπολογίστηκαν σε περισσότερα από 100 εκατομμύρια δολάρια.
Έτσι, η Mondelez υπέβαλε αξίωση στην ασφαλιστική της εταιρείας, Zurich, αξίωση η οποία ωστόσο απορρίφθηκε με το σκεπτικό ότι το NotPetya ήταν μια πολεμική ενέργεια και επομένως αποκλείστηκε από την ασφάλιση περιουσίας και ατυχημάτων της Mondelez.
Η αγωγή που ακολούθησε μεταξύ της Mondelez και της ασφαλιστικής σχετικά με το εάν το NotPetya ήταν πράγματι αρκετά… πολεμικό ώστε να προκαλέσει την εξαίρεση στην πολιτική της Mondelez, θα έχει εκτεταμένες συνέπειες τόσο για τους αγοραστές όσο και για τους πωλητές ασφαλιστηρίων συμβολαίων στον κυβερνοχώρο.
Ενώ η υπόθεση παραμένει ανοιχτή, οι ασφαλιστικοί φορείς και οι ασφαλισμένοι παραμένουν σε μια κατάσταση σχετικής αβεβαιότητας αναφορικά με τους τύπους κυβερνοεπιθέσεων για τους οποίους ισχύει και δεν ισχύει η κάλυψή τους, ενώ από τη μεριά τους οι αρχές χάραξης πολιτικής άργησαν να παράσχουν βοήθεια σε κάθε μια από τις δυο πλευρές.
Για παράδειγμα, να διευκρινίσουν τους τύπους βοήθειας που μπορεί να είναι διατεθειμένοι να παράσχουν ή τι περιμένουν από τους ασφαλιστές.
Δεδομένης της έκτασης της ζημιάς που προκάλεσε και της υποκίνησής του από ευρύτερα πολιτικά κίνητρα, το NotPetya είναι μια από τις πιο προσεκτικά μελετημένες κυβερνοεπιθέσεις στην ιστορία.
Ο Andy Greenberg στο Wired, για παράδειγμα, έχει εξερευνήσει το κακόβουλο λογισμικό με ιδιαίτερη λεπτομέρεια, οπότε όταν δήλωσε τον Αύγουστο του 2018 ότι «η κυκλοφορία του NotPetya ήταν μια πράξη κυβερνοπολέμου σχεδόν με κάθε δυνατό προσδιορισμό», περιέγραψε τη σκέψη των ασφαλιστικών εταιρειών όπως της Zurich.
Μόλις δύο μήνες νωρίτερα είχε αρνηθεί την αξίωση της Mondelez για αποζημίωση 100 εκατομμυρίων δολαρίων για αποζημιώσεις που σχετίζονται με το NotPetya στο πλαίσιο του ασφαλιστηρίου συμβολαίου περιουσίας παντός κινδύνου που είχε με την Zurich, επισημαίνοντας τον πολεμικό χαρακτήρα του NotPetya.
Η επιστολή της 1ης Ιουνίου 2018 προς τη Mondelez, υποδείκνυε την εξαίρεση στην πολιτική της εταιρείας που απέκλειε συγκεκριμένα την κάλυψη για τυχόν απώλειες ή ζημιές που προκύπτουν από «εχθρική ή πολεμική ενέργεια σε καιρό ειρήνης ή πολέμου, συμπεριλαμβανομένης της δράσης στην παρεμπόδιση, την καταπολέμηση ή την άμυνα έναντι μιας πραγματικής, επικείμενης ή αναμενόμενης επίθεσης από οποιαδήποτε… κυβέρνηση ή κυρίαρχη δύναμη». Ο κυβερνοπόλεμος, υποστήριξε η εταιρεία, δεν εμπίπτει στην αρμοδιότητα των ασφαλιστηρίων συμβολαίων της.
Ήταν όμως ο NotPetya πραγματικά πολεμικός; Σίγουρα διαπράχθηκε από μια κυβέρνηση, αλλά αυτό από μόνο του μπορεί να μην είναι αρκετό για να χαρακτηριστεί ως πράξη εχθρική. Μέχρι τη στιγμή που η Zurich έστειλε την απόρριψη της αξίωσης, αρκετές κυβερνήσεις, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, του Ηνωμένου Βασιλείου, του Καναδά και της Αυστραλίας, είχαν προβεί σε συντονισμένες δηλώσεις τον Φεβρουάριο του 2018, αποδίδοντας το NotPetya στη ρωσική κυβέρνηση.
Ήταν ίσως η κυβερνοεπίθεση που αποδόθηκε με τη μεγαλύτερη σιγουριά στην ιστορία, ειδικά στο πλαίσιο παραβιάσεων που συχνά προκαλούν διαφωνίες σχετικά με το ποιος ευθύνεται και το πόσο καθολικά μπορεί κάποιος να το ισχυριστεί.
Ωστόσο, πολλές κυβερνοεισβολές και παραβιάσεις διαπράττονται από κυβερνήσεις και εάν όλες αυτές θεωρηθούν ότι δεν εμπίπτουν στο πεδίο εφαρμογής της ασφαλιστικής κάλυψης στον κυβερνοχώρο, τότε η ασφάλεια στον κυβερνοχώρο θα μπορούσε να καταστεί σε μεγάλο βαθμό άχρηστη για πολλούς ασφαλισμένους που αντιμετωπίζουν ένα ευρύ φάσμα περιστατικών, από κατασκοπεία έως ransomware.
Γι’ αυτό η απόφαση στην υπόθεση Mondelez είναι τόσο κρίσιμης σημασίας, τόσο για τους ασφαλιστές όσο και για τους πελάτες τους.
Εάν η Mondelez κερδίσει, αυτό σημαίνει ότι οι ασφαλιστές θα πρέπει είτε να καλύψουν ένα πολύ ευρύτερο φάσμα κυβερνοεπιθέσεων είτε να προσδιορίσουν εκ νέου τα όρια της κάλυψή τους για να αποκλείσουν νέες κατηγορίες ζημιών που υπερβαίνουν τις πολεμικές ενέργειες.
Από την άλλη πλευρά, εάν η Zurich κερδίσει την υπόθεση, τότε οι ασφαλισμένοι μπορεί να αποφασίσουν ότι δεν έχει νόημα να αγοράσουν ασφάλεια στον κυβερνοχώρο, αναγκάζοντας τους ασφαλιστές να δημιουργήσουν νέα γλώσσα για τα συμβόλαιά τους για να καθησυχάσουν τους πελάτες ότι τουλάχιστον ορισμένες κυβερνοεπιθέσεις που προκαλούνται από κυβερνήσεις θα εξακολουθήσουν να καλύπτονται.
Το μέλλον της κυβερνοασφάλισης
Οι μεγάλες ασφαλιστικές εταιρείες αναδιαμορφώνουν ήδη τη γλώσσα στα συμβόλαιά τους για να προετοιμαστούν για τις συνέπειες που θα έχει μια επικράτηση για κάθε πλευρά της διαμάχης μεταξύ Mondelez και Zurich.
Για παράδειγμα, έρευνα των Daniel Woods και Jessica Weinkle έδειξε ότι οι ασφαλιστές ενσωματώνουν όλο και περισσότερο στα ασφαλιστήρια συμβόλαιά τους κάλυψη για την «κυβερνοτρομοκρατία», ενώ εξακολουθούν να αποκλείουν εχθρικές ή πολεμικές ενέργειες.
Η συμπερίληψη της κάλυψης της κυβερνοτρομοκρατίας προφανώς έχει σκοπό να καθησυχάσει τους ασφαλισμένους ότι θα μπορούν να υποβάλλουν αξιώσεις για μαζικές κυβερνοεπιθέσεις για τις οποίες ευθύνονται κυβερνήσεις, χωρίς να στοχεύουν σε αποκλεισμούς πολεμικών ενεργειών στις πολιτικές τους.
Αλλά ο προσδιορισμός της πολεμικής ενέργειας και της κυβερνοτρομοκρατίας είναι τόσο διφορούμενος – και σε πολλές περιπτώσεις και οι δύο είναι τόσο αλληλοεπικαλυπτόμενοι- που είναι δύσκολο να δούμε πώς αυτή η εξέλιξη κάνει κάτι άλλο από το να ανοίγει το δρόμο για πιο μακροχρόνιες νομικές μάχες όπως αυτή μεταξύ Mondelez και Zurich.
Οι υπεύθυνοι χάραξης πολιτικής σε πολλές πολιτείες και χώρες εκδήλωσαν ενεργό ενδιαφέρον για την ασφάλεια στον κυβερνοχώρο τα χρόνια που ακολούθησαν την κατάθεση της αγωγής της Mondelez κατά της Zurich, αλλά δεν έχουν κάνει πολλά για να επιλύσουν την επίμονη αβεβαιότητα σχετικά με το ποια είδη κυβερνοεπιθέσεων εμπίπτουν στις ασφαλιστικές εξαιρέσεις για πολεμικές ενέργειες.
Ούτε βοήθησαν να διευκρινιστεί ο βαθμός στον οποίο οι υπάρχουσες κρατικές ασφαλίσεις για την τρομοκρατία, όπως ορίζεται στον νόμο περί ασφάλισης κινδύνου τρομοκρατίας (TRIA) που ψηφίστηκε μετά τις επιθέσεις της 11ης Σεπτεμβρίου, ενδέχεται να ισχύουν για κυβερνοεπιθέσεις όπως το NotPetya, αν και το Υπουργείο Οικονομικών των ΗΠΑ έχει ξεκινήσει να ζητάει σχόλια για το πώς μπορεί να γίνει αυτό.
Αυτές οι διευκρινίσεις μπορεί να μην επιλύσουν όλη την ασάφεια στην υπάρχουσα γλώσσα του ασφαλιστηρίου συμβολαίου στον κυβερνοχώρο, αλλά θα μπορούσαν να χρησιμεύσουν ως ένα σημαντικό πρώτο βήμα στο πλαίσιο του τρόπου με τον οποίο η κυβέρνηση ορίζει την κυβερνοτρομοκρατία και τον κυβερνοπόλεμο.
Αυτοί οι ορισμοί θα έδιναν στους ασφαλιστές ένα σαφέστερο πρότυπο για να εργαστούν για τη σύνταξη των δικών τους συμβολαίων και για την παροχή επίσης στους αντισυμβαλλομένους κάποιας ορολογίας για να συγκρίνουν την κάλυψή τους.
Ιδανικά, υποθέτοντας ότι η κυβέρνηση είναι σε θέση να χαράξει ένα υποσύνολο κυβερνοεπιθέσεων που καλύπτονται από το TRIA, αυτό θα παρείχε επίσης ένα σαφές όριο εντός του οποίου θα πρέπει να ισχύει η ιδιωτική ασφαλιστική κάλυψη: συγκεκριμένα σε όλες τις περιπτώσεις όπου η κρατική κάλυψη δεν ισχύει.
Οι ρυθμιστικές αρχές μπορούν να κάνουν περισσότερα από το να παρέχουν σαφέστερους ορισμούς για τον πόλεμο στον κυβερνοχώρο και την κυβερνοτρομοκρατία: μπορούν επίσης να βοηθήσουν με το να είναι πιο προσεκτικοί στον τρόπο με τον οποίο μιλούν για κυβερνοεπιθέσεις γενικότερα για να βοηθήσουν στην αποφυγή τροφοδότησης παρόμοιων νομικών διαφορών.
Όταν ο γερουσιαστής Dick Durbin αναφέρθηκε πέρυσι στην εκστρατεία κατασκοπείας στον κυβερνοχώρο της SolarWinds ως «σχεδόν μια κήρυξη πολέμου», αυτό ακριβώς είναι το είδος της δήλωσης που εκμεταλλεύονται οι ασφαλιστές και οι δικηγόροι τους σε αγωγές σχετικά με το εάν περιστατικά όπως το Περλ Χάρμπορ ή οι αεροπειρατείες συμβαίνουν εκτός του πλαισίου των επίσημων, νομικών κηρύξεων πολέμου, μπορούν να θεωρηθούν πολεμικές ενέργειες για ασφαλιστικούς σκοπούς.
Τα αποτελέσματα αυτών των παλαιότερων νομικών διαφωνιών σχετικά με τις ασφαλιστικές εξαιρέσεις για επιθετικές ενέργειες εξακολουθούν να φαίνονται στη γλώσσα που ενσωματώνεται σε πολιτικές όπως αυτές του Mondelez σήμερα.
Ο ρητός προσδιορισμός στην πολιτική της Zurich για την εξαίρεση οποιασδήποτε «εχθρικής ή πολεμικής ενέργειας σε καιρό ειρήνης ή πολέμου», για παράδειγμα, αντανακλά τις αλλαγές που έγιναν στα ασφαλιστήρια συμβόλαια μετά το Περλ Χάρμπορ, όταν ορισμένοι ασφαλιστές αρνήθηκαν αξιώσεις ασφάλισης ζωής με βάση ότι αυτοί που πέθαναν στο Περλ Χάρμπορ, πέθαναν λόγω πολεμικής πράξης.
Οι οικογένειες αυτών των στρατιωτών στη συνέχεια αμφισβήτησαν αυτές τις απορριπτικές αποφάσεις με το σκεπτικό ότι οι Ηνωμένες Πολιτείες δεν κήρυξαν επίσημα τον πόλεμο στην Ιαπωνία μέχρι την επόμενη μέρα του Περλ Χάρμπορ.
Αντίστοιχα, οι ασφαλιστές άρχισαν να επεκτείνουν τις εξαιρέσεις για πολεμικές ενέργειες, σε γεγονότα που συνέβησαν «σε καιρό ειρήνης ή πολέμου», έτσι ώστε να μην περιορίζονται στον αποκλεισμό γεγονότων μόνο εντός των ορίων των επίσημων, νόμιμων κηρύξεων πολέμου.
Το NotPetya, όπως και το Pearl Harbor πριν πολλά χρόνια, αλλάζει ήδη τον τρόπο με τον οποίο αναγράφονται οι ασφαλιστικές εξαιρέσεις.
Αλλά αυτή τη φορά οι ασφαλιστές έρχονται αντιμέτωποι με τους αντικρουόμενους στόχους να προσπαθήσουν από τη μία να ξεφύγουν από την κάλυψη καταστροφικών επιθέσεων στον κυβερνοχώρο, την ώρα που θα εξακολουθούν να πείθουν τους πελάτες τους ότι οι περισσότερες εισβολές και παραβιάσεις εξακολουθήσουν να καλύπτονται.
Αυτές οι αντικρουόμενες πιέσεις οδήγησαν στην εισαγωγή ακόμη πιο συγκεχυμένης -και ενίοτε αντιφατικής- γλώσσας στα ασφαλιστήρια συμβόλαια κυβερνοασφάλισης με τρόπους που ελάχιστα βοηθούν στην επίλυση οποιουδήποτε από τα σημαντικά και πιεστικά ζητήματα που εγείρονται από την υπόθεση Mondelez.
Εάν οι υπεύθυνοι χάραξης πολιτικής εξακολουθούν να ελπίζουν ότι η ασφάλιση θα διαδραματίσει κρίσιμο ρόλο στη βοήθεια των οργανισμών στη διαχείριση του κινδύνου στον κυβερνοχώρο, θα πρέπει να συνεργάζονται ενεργά με τους φορείς σχετικά με τον τρόπο δημιουργίας σαφέστερων, καλύτερα τεκμηριωμένων προσδιορισμών για το ποιοι τύποι κυβερνοεπιθέσεων θα πρέπει να καλύπτονται από τους ασφαλιστές, ποιοι τύποι από κυβερνητικά προγράμματα στήριξης, και ποια από τα ίδια τα θύματα.
*Άρθρο της Τζόσεφιν Γουλφ, αναπληρώτριας καθηγήτριας της πολιτικής για την ασφάλεια στον κυβερνοχώρο στο The Fletcher School στο Πανεπιστήμιο Tufts από το 2019, στο TechStream του Brookings Institution.
No comment yet, add your voice below!