Ай-да-новости: Петя лютует, а страховые рыдают. Почти полтора $-лярда на покрытие издержек.

Мальчики и девочки, давненько у нас не было материалов из рубрики «Ай-да-новости» — удивительное и невероятное в мире кибербезопасности или около него, а также что из этого следует, и какие пора готовиться делать выводы.

Кратко о новости: в США завершился судебный процесс по делу компании Merck, нехило пострадавшей от шифровальщика NotPetya (он же ExPetr, он же Petya). Ущерб от атаки оценили в 1.4 миллиарда(!!!) долларов США и присудили страховой компании компенсировать ущерб.

Краткое содержание предыдущих серий: в июне 2017 года на дикие интернет-прерии вырвался злобный и технологически продвинутый червь-шифровальщик NotPetya, который начал свою победоносную мировую экспансию с Украины, где атаковал жертв через популярное бухгалтерское ПО: пострадали банки, правительственные сайты, аэропорт Харькова, системы мониторинга Чернобыльской АЭС (!!!) и т.д. и т.п. Дальше эпидемия перекинулась на Россию, а потом по цепочке прокатилась по всему земному шару. Некоторые источники считают атаку NotPetya самой разрушительной за всю цифровую историю человечества. Количество пострадавших от атаки компаний огромно, десятки из них оценили свои потери в сотни миллионов долларов, а общий ущерб мировой экономике оценивается как минимум в десять миллиардов долларов!

Одной из самых значимых жертв атаки и была американская фармацевтическая Merck. Пишут, что первых 15 000 компьютеров они лишись за 90 (!) секунд от начала заражения, резервный дата-центр был подключён к основной сети, и его тоже сразу потеряли. Всего же по данным журналистов у Merck грохнуло более 30 000 рабочих станций и 7.5 тыс. серверов. Ушли месяцы на устранение последствий атаки, ущерб оценили в 1.4 миллиарда долларов. Из-за остановки производства компании пришлось одалживать вакцины из внешних источников на сумму $250 млн.

Так вот, переходим к самому интересному.

А именно: договор между Merck и страховой компанией Ace American покрывал все риски, включая выплаты по случаям потери данных, связанных с использованием ПО. Риски были застрахованы на сумму 1,75 миллиарда долларов. Страховщики из Ace American, однако, отказались признать нападение вируса-шифровальщика страховым случаем и не стали платить по страховке, мудро считая, что инцидент относится к форс-мажорным обстоятельствам. Мол, в созлании NotPetya виновата Россия, которая использовала его в качестве кибероружия в войне против Украины, а в случае военных действий страховщик не обязан возмещать ущерб страхователю. Страховщик, собственно, вторил «заявлениям партии» — Великобритания и США уже давно и вполне официально обвинили Россию в этой хакерской атаке.

Merck в 2019 году подала в суд на своего страховщика, заявив, что атака «не являлась официальным действием государства», поэтому инцидент нельзя относить к военным действиям или вооруженному конфликту. По словам адвокатов Merck, в разделе об исключениях из страхового покрытия кибератаки не упоминались. Суд встал на сторону истца, отметив, что Ace American знала о том, что кибератаки могут быть признаны военными действиями, но не прописала это в договоре страхования. Вуаля, извольте заплатить страховку по полной программе.

Думаю, что многие страховщики сейчас внимательно изучают данный случай и тщательно анализируют условия своих полисов, а жертвы многочисленных киберинцидентов пересматривают условия своих страховых контрактов с вопросом: «А что, так можно было?» — но при этом прекрасно понимают, что слишком смелые изменения в «правилах игры» неизбежно приведут к значительному росту страховых отчислений.

Я же делаю вывод, что страхование от киберрисков становится, мягко говоря, весьма нетривиальным бизнесом, даже на пределе горизонтов возможного: прямое проецирование традиционных страховых практик на киберпространство без гарантий секьюрити-вендоров может нанести страховому бизнесу значительный или даже непоправимый ущерб. Однако, как нам известно, большинство компаний по кибербезопасности гарантирует лишь приблизительный (50% и около) уровень защиты от шифровальщиков (а NotPetya, напоминаю, как раз этот случай).

Это как на дверях в офис вместо нормальной секюрити с камерами наблюдения развесить таблички «Врагам вход строго запрещён» (половина врагов устыдится и уйдёт, ага). Есть только одна компания (угадайте какая), которая готова дать 100% гарантию от этих шифрогадов.

То есть, риски от кибератак есть, и они огромные, что вынуждает компании страховать эти риски в числе всех остальных. В то же самое время любой нормальный страховщик в трезвом уме и здравой памяти, глядя на чек в $1.4 миллиарда, будет делать всё возможное, чтобы не вписывать киберриски в страховой контракт. Получается абсолютно революционная ситуация: верхи не хотят, а низы не могут.

Что же делать? Очевидно, необходимо снижать риски от атак на цифровую инфраструктуру. То есть, строить её таким образом, чтобы самые значимые и уязвимые сегменты были максимально иммунны к внешним и внутренним атакам, а всё остальное было защищено эшелонированными контурами безопасности гарантированной стойкости.

Фантастика? – Не думаю! «Но это уже совсем другая история» (с)