大公司认为保险涵盖了网络攻击。他们可能错了。

亚当·萨塔里亚诺和妮可·珀尔罗斯

在网络攻击的几天内，休闲食品公司Mondelez International的仓库里堆满了积压的奥利奥饼干和丽兹饼干。

Mondelez是吉百利巧克力和费城奶油奶酪等数十个知名食品品牌的所有者，是受到Notpetya cyberstrike 2017年打击的数百家公司之一。当Mondelez员工在办公桌前工作时，笔记本电脑突然冻结。电子邮件不可用，对公司网络上文件的访问也不可用。协调交付和跟踪发票的物流软件崩溃了。

即使团队日以继夜地工作，Mondelez康复也已经过去了几周。根据法庭文件，一旦记录了丢失的订单并更换了计算机设备，其财务损失就超过了10000万美元。

在经历了磨难之后，该公司的高管们感到有些安慰，因为他们知道保险将有助于支付费用。大概他们是这么想的。

Mondelez的保险公司Zurich Insurance表示不会发送报销支票。它在保险合同中引用了一个常见但很少使用的条款: “战争排除”，该条款保护保险公司免于承担与战争损害相关的费用。

Mondelez在网络战争中被视为附带损害。

2017袭击是保险业的分水岭。此后，保险公司一直在应用战争豁免，以避免与数字攻击有关的索赔。除Mondelez外，制药巨头默克 (Merck) 表示，在Notpetya袭击袭击其销售研究，销售和制造业务后，保险公司否认了索赔，造成近7亿美元的损失。

当美国政府将Notpetya的责任分配给俄罗斯2018年时，为保险公司提供了拒绝赔偿损失的理由。就像在武装冲突期间炸弹炸毁公司大楼一样，他们也不承担责任，他们声称，当国家支持的黑客攻击计算机网络时，他们不承担责任。

争端正在法庭上进行。在一场备受关注的法律斗争中，Mondelez在伊利诺伊州法院起诉苏黎世保险2018年违反合同，默克公司8月在新泽西州提起了类似的诉讼。默克公司起诉了20多家拒绝与Notpetya袭击有关的索赔的保险公司，其中包括几家援引战争豁免的保险公司。这两个案件可能需要数年时间才能解决。

这场法律斗争将开创一个先例，即当企业受到归咎于外国政府的网络攻击时，谁来付钱。这些案件对政府官员具有更广泛的影响，他们越来越多地采取更大胆的方法来命名和羞辱网络攻击的国家赞助商，但现在有可能通过给保险公司提供拒绝索赔的理由而陷入公司纠纷。

卡内基国际和平基金会 (Carnegie Endowment for International peace) 高级研究员阿里尔·莱维特 (Ariel Levite) 说: “你面临着巨大的风险，未来的网络保险将一文不值。”但他表示，保险业对Notpetya的立场 “并不完全轻浮，因为人们普遍认为俄罗斯人是这次袭击的幕后黑手。”

Mondelez在一份声明中说，尽管其业务已从这次袭击中迅速恢复过来，但苏黎世保险公司负责履行一项明确涵盖网络事件的保险单。该公司补充说，它认为战争豁免条款不适合这种情况。

总部位于瑞士的苏黎世保险公司和默克公司因诉讼活跃而拒绝置评。但是法院文件，公开文件以及对熟悉案件的人的采访提供了有关纠纷的详细信息。

网络攻击给保险公司带来了独特的挑战。传统做法，例如不覆盖同一社区的多个建筑物以避免发生大火的风险，不适用。恶意软件快速且不可预测地移动，留下了昂贵的附带损害痕迹。

“它几乎涵盖了所有类型的商业活动，” 利维特说。他说，这种风险 “在这个相互联系的世界里再也无法控制。”

Notpetya-之所以选择这个奇怪的名字，是因为安全研究人员最初将其与名为petya的勒索软件混淆了-就是一个生动的例子。这也是对计算机网络的一次强大攻击，其中包含了被盗的国家安全局网络武器。

美国官员将这次袭击与俄罗斯及其与乌克兰的冲突联系在一起。最初的目标是乌克兰的税收软件制造商及其乌克兰客户。在短短24小时内，Notpetya清除了乌克兰所有计算机的10%，瘫痪了银行，加油站，医院，机场，电力公司和几乎每个政府机构的网络，并关闭了旧切尔诺贝利核电站的辐射监测器。

这次攻击蔓延到了这家软件制造商的全球客户，最终纠缠了Mondelez和Merck，以及丹麦航运集团马士基和联邦快递的欧洲子公司。甚至打击了俄罗斯国有石油巨头Rosneft。

在2018年的一份声明中，白宫将Notpetya描述为 “克里姆林宫正在进行的破坏乌克兰稳定的努力的一部分”，并表示 “更清楚地表明俄罗斯参与了正在进行的冲突”。

许多保险公司出售网络保险，但保单通常写得很窄，以支付与客户数据丢失相关的费用，例如帮助公司提供信用检查或支付法律费用。

卡夫食品 (Kraft Foods) 的前子公司Mondelez认为，其财产保险包应涵盖Notpetya袭击造成的损失。在法庭文件中，Mondelez表示其政策已2016年更新，以包括 “恶意引入机器代码或指令” 造成的损失。

该公司失去了1,700服务器和24,000笔记本电脑。员工只能通过WhatsApp进行交流，高管们在公司使用的社交网络Yammer上发布了最新消息。

来自Notpetya的损害一直蔓延到塔斯马尼亚州的霍巴特，吉百利工厂的计算机在那里显示了勒索软件消息，这些消息要求300美元的比特币。

法院经常裁定试图适用战时豁免的保险公司。劫机者摧毁了一架泛美航空公司的客机1970年后，美国法院驳回了安泰的企图，认为此举是犯罪行为，而不是战争行为。1983年，一名法官裁定假日酒店的保险单涵盖了黎巴嫩内战造成的损失。

在Mondelez和Merck诉讼中，核心问题是政府将Notpetya袭击归因于俄罗斯是否符合排除战争的标准。

风险行业专家表示，网络战在很大程度上仍未定义。当攻击来自与国家有非正式联系的团体，而被指责的政府否认参与时，归因可能很困难。

网络风险顾问BitSight Technologies副总裁杰克·奥尔科特 (Jake Olcott) 表示: “我们仍然不清楚网络战到底是什么样子。”“这是这种情况下的斗争之一。没有人说这是俄罗斯的一场全面的网络战。“

过去，美国官员不愿将网络攻击定性为网络战争，因为担心该术语会引起升级。例如，美国总统巴拉克·奥巴马 (Barack Obama) 谨慎地说，朝鲜对索尼娱乐公司 (Sony Entertainment 2014年) 的激进网络攻击是 “网络破坏行为”，该攻击摧毁了索尼的70% 多个计算机服务器。

该标签受到sens的严厉批评。约翰·麦凯恩 (R-Ariz) 和林赛·格雷厄姆 (Lindsey Graham)，R-S.C，他们称黑客攻击是一种 “新的战争形式” 和 “恐怖主义”。

当时司法部助理检察长约翰·卡林 (John Carlin) 说，对索尼袭击的描述是故意的。他在接受采访时说，奥巴马政府在某种程度上担心，使用 “网络战争” 会引发责任排除和细则，而Mondelez现在正在法庭上挑战。

风险评估公司Axio Global的首席执行官Scott Kannry表示，保险业正在密切关注Mondelez案，因为许多政策是在网络攻击成为如此紧急的风险之前制定的。

坎尼里说: “你有保险公司坐拥从未承保或理解为覆盖网络风险的保险单。”“苏黎世没有以网络事件会造成Mondelez遭受的那种损失的想法来支持这项政策。没有人与Mondelez交战。”

许多保险公司正在重新考虑其承保范围。自提起诉讼以来，专门为全球最大的保险经纪人之一的Aon从事网络保险的Shannan Fort一直在接听公司的电话，以确保如果受到攻击，它们将是安全的。

“我不想吓唬人，但如果一个国家或民族国家攻击一个非常具体的部分，比如国家基础设施，那是网络恐怖主义还是战争行为？”福特问道。“还有一点灰色地带。”

另请阅读，欧洲网络攻击的复杂性上升: 荷兰情报机构

保险巨头AIG的前首席运营官Ty Sagalow在近20年前帮助开拓了网络风险保险市场。他说，他的团队已经考虑到了 “网络珍珠港” 袭击，这与Notpetya袭击没有什么不同。

“网络战争和网络恐怖主义一直是一个棘手的领域，” 萨加洛说。他说，保险公司有可能通过不支付索赔来滥用战争排除，特别是当攻击 “可能打击那些不是最初暴力目标的公司” 时。

他补充说，失控的攻击造成的附带损害将变得越来越普遍。“这就是今天的网络，” 萨加洛说。“如果你不喜欢，你就不应该做生意。”