Polityka i prawo
Ubezpieczyciel nie pokryje kosztów NotPetya? Precedensowa sprawa na wokandzie
Mondelez, amerykańska firma spożywcza będąca właścicielem marek Oreo i Cadbury, pozywa szwajcarską firmę ubezpieczeniową Zurych Insurance za odmowę wypłaty odszkodowania za straty spowodowane przez cyberataki NotPetya. Sprawa dotyczy 100 milionów dolarów.
Sprawa wszczęta przez Mondelez będzie pierwszym poważnym sporem prawnym, który może stanowić precedens dla branży ubezpieczeniowej. Podmioty świadczące tego typu usługi starają się ściśle określać swoje zobowiązania wobec klienta.
Ataki NotPetya w 2017 roku naruszyły systemy komputerowe firm na całym świecie. Wśród poszkodowanych znalazły się takie marki jak Merck, Reckitt Benckiser, Maersk oraz Mondelez. Incydent przyczynił się do strat w wysokości miliardów dolarów strat. Według licznych specjalistów przeprowadzili go rosyjscy hakerzy.
W pozwie sądowym władze Mondelez podkreślili, że systemy firmy zostały naruszone dwukrotnie przez kampanię NotPetya. Dla potwierdzenia słów przedstawiono dane liczbowe – 1700 serwerów i 24 000 laptopów zostało trwale uszkodzone.
Przedstawiciele firmy złożyli wniosek o pokrycie kosztów z polisy ubezpieczenia mienia. Odwołali się do zapisu mówiącego, że zapewnia ona ochronę przed „fizyczną utratą lub uszkodzeniem danych elektronicznych, programów lub oprogramowania, w tym strat fizycznych lub szkód spowodowanych złośliwym wprowadzeniem kodu maszynowego lub instrukcji”.
Zurych Insurance początkowo zdeklarowało się do dokonania wypłaty w wysokości 10 milionów dolarów. Jednak ostatecznie odmówiono pokrycia części kosztów, opierając się na stwierdzeniu, że ubezpieczenie nie dotyczy „wrogiego działania” podejmowanego przez rząd lub suwerenną władzę państwową lub innego aktora. Władze Mondelez uznały argumentację ubezpieczyciela za „bezprecedensową” , żądając 100 milionów odszkodowania.
Rzecznik największej na świecie firmy ubezpieczeniowej twierdzi, że sprawa wniesiona przez Mondelez może być daremna, ponieważ firma nigdy nie określiła w swojej polisie ubezpieczeniowej, iż pokryje straty spowodowane cyberatakami finansowanymi przez państwo.
Odnosząc się do całej sprawy Sarah Stephens, specjalista ds. cyberprzestrzeni, stwierdziła – „To dość odważne posunięcie polegające na wykluczeniu (przyp. red. z polisy ubezpieczenia) cyberataku sponsorowanego przez państwo. Nikt wcześniej tego nie zrobił”. Podkreśla również problem potwierdzenia stanu faktycznego przez zakład ubezpieczeń. Nie jest łatwo wykazać, że dany incydent był w pełni kontrolowany przez państwo, co skutkowałoby odmową wypłaty świadczenia.
Rob Smart, dyrektor w firmie doradztwa ubezpieczeniowego Mactavish, podkreśla, że obecnie wykluczenia w zakresie terroryzmu oraz szeroko rozumianej wojny są „częścią szarej strefy” w dziedzinie ubezpieczeń.
Dla firm ubezpieczeniowych roszczenia związane z wirtualnymi atakami są jednym z największych problemów. Sprawa Mondelez oraz jej rozstrzygnięcie będzie miała wpływ na sposób regulacji i definiowania „ochrony przed cyberatakami” przez wszystkich ubezpieczycieli.