Της Λαλέλας Χρυσανθοπούλου
Crash test για το πώς χειρίζονται τις cyber επιθέσεις σε πελάτες τους οι ασφαλιστικές εταιρίες (ιδίως όταν δεν υπάρχει εξειδικευμένη cyber κάλυψη) αποτελεί η υπόθεση Mondelez(πρόκειται για τον αμερικανικό όμιλο τροφίμων που έχει μεταξύ άλλων τα μπισκότα Oreo και τις σοκολάτες Cadbury) και Zurich Insurance. Η Mondelez έχει καταθέσει αγωγή κατά της Zurich, λόγω της άρνησης της ελβετικής ασφαλιστικής να της καταβάλει αποζημίωση 100 εκατ. δολάρια για τις ζημίες που υπέστη συνεπεία της cyber επίθεσης NotPetya το καλοκαίρι του 2017, η οποία προκάλεσε εκτεταμένα προβλήματα στα συστήματα πληροφορικής πολλών πολυεθνικών, μεταξύ των οποίων οι Merck, Maersk και Reckitt Benckiser.
H Μondelez υποστηρίζει ότι δέχθηκε διπλό πλήγμα από το κακόβουλο λογισμικό, που «εξουδετέρωσε» 1.700 από τους διακομιστές της και 24.000 προσωπικούς υπολογιστές. ΗΠΑ και Μ. Βρετανία υποστήριξαν ότι πίσω από τον NotPetya βρίσκονται Ρώσοι χάκερ, με το Κρεμλίνο να αρνείται οποιαδήποτε εμπλοκή.
Ο αμερικανικός όμιλος είχε συμβόλαιο ασφάλισης περιουσίας με την Zurich το οποίο κάλυπτε «ζημίες σε ηλεκτρονικά δεδομένα, προγράμματα και λογισμικό λόγω της κακόβουλης εισαγωγής κώδικα». Ζήτησε λοιπόν αποζημίωση εκτιμώντας ότι η επίθεση NotPetya εμπίπτει στην κατηγορία αυτή. Σύμφωνα με την αγωγή της Mondelez, ενώ αρχικά η Ζurich δέχθηκε επί της αρχής το αίτημα αποζημίωσης και ξεκίνησε να το επεξεργάζεται –δεσμεύθηκε μάλιστα και για μεταβατική πληρωμή 10 εκατ. δολ.- στη συνέχεια αρνήθηκε να πληρώσει, βασισμένη σε μια ρήτρα του συμβολαίου που απέκλειε την αποζημίωση για «εχθρική ή πολεμική πράξη» από μια κυβέρνηση ή για άτομα που δρουν για λογαριασμό τους.
Όπως σημειώνεται σε δημοσίευμα των Financial Times, η Mondelez χαρακτήρισε ως «άνευ προηγουμένου» την άρνηση της Ζurich να καταβάλει αποζημίωση και απαιτεί 100 εκατ. δολ. . «Δεν έχω δει ποτέ ασφαλιστική εταιρεία να παίρνει αυτή την θέση», δήλωσε ο Robert Stines, νομικός εξειδικευμένος σε θέματα cyber στην δικηγορική εταιρεία των ΗΠΑ Freeborn. «Θα προκαλέσει αίσθηση στην ασφαλιστική βιομηχανία, καθώς πολλές εταιρείες θα επανεξετάσουν τους όρους των συμβολαίων τους». Για «πολύ τολμηρή κίνηση καθώς κανείς δεν έχει χρησιμοποιήσει αυτή την εξαίρεση μέχρι τώρα» έκανε λόγο η Sarah Stephens της μεσιτικής εταιρείας JLT, προσθέτοντας ότι «η ασφαλιστική πρέπει να αποδείξει ότι πρόκειται για εχθρική πράξη κυβέρνησης».
Σε κάθε περίπτωση, η διαμάχη φέρνει στο προσκήνιο έναν από τους μεγαλύτερους φόβους της ασφαλιστικής βιομηχανίας, το τι γίνεται όταν εταιρείες ζητούν αποζημίωση για cyber επιθέσεις όταν δεν έχουν συγκεκριμένη κάλυψη για τον εν λόγω κίνδυνο. Πρόκειται για τη λεγόμενη «σιωπηλή έκθεση σε cyber κινδύνους» (silent cyber exposure). Στο μέτρο αυτό, η υπόθεση μπορεί να έχει ευρύτερες συνέπειες για τον κλάδο, καθώς ανάλογα με την έκβασή της είτε θα υποχρεώσει τις εταιρείες να αγοράζουν cyber ασφάλιση είτε θα τις οδηγήσει να απαιτούν αυστηρότερους όρους για τις υπόλοιπες καλύψεις.