ماذا يعني بالنسبة لتغطية التأمين السيبراني؟
في عام 2017، كانت شركة ميرك من بين الشركات التي تعرضت للهجوم الإلكتروني NotPetya. البرمجيات الخبيثة, مرتبطة بروسيا وتسبب صراعها مع أوكرانيا في أضرار بمليارات الدولارات في جميع أنحاء العالم. وطالبت شركة الأدوية بتعويض قدره 1.4 مليار دولار. وسعت شركات التأمين الخاصة بها إلى تجنب تغطية الخسائر على أساس استثناءات الحرب، الأمر الذي أدى إلى اندلاع معركة قانونية طويلة. وبعد سبع سنوات، الشركة وشركات التأمين التابعة لها التوصل إلى تسوية سريةوفقا لقانون بلومبرج.
إذا تلقت القضية حكمًا من المحكمة، لكان من الممكن أن تشكل سابقة في مشهد التأمين السيبراني. ومع تزايد مخاطر الهجمات السيبرانية، فهل من الممكن أن يتبع قضية ميرك المزيد من النزاعات بين شركات التأمين وحاملي وثائق التأمين؟
قضية ميرك
البرمجيات الخبيثة NotPetya تعرضت للتلف أكثر من 40 ألف جهاز كمبيوتر خاص بشركة الأدوية، مما أدى إلى اضطراب تشغيلي كبير، وفقًا لـ Cybersecurity Dive. رفضت شركات التأمين الخاصة بها التغطية على أساس استثناءات الإجراءات العدائية/الحربية في سياساتها. وقضت محكمة الاستئناف بالولاية بأن الاستثناء لا ينطبق، وأنه يحق لشركة ميرك الحصول على ما يقرب من 700 مليون دولار، وفقًا لتقرير قانون بلومبرج.
“بالنظر إلى لغة الاستبعاد الواضحة وسياق وتاريخ تطبيقه، نستنتج أن شركات التأمين لم تثبت الاستبعاد المطبق في ظل ظروف هذه القضية، أي أن هذا الهجوم السيبراني كان “عدائيًا” أو “شبيهًا بالحرب”. الإجراء على النحو المتوخى في ظل الاستبعاد “، بحسب رأي المحكمة.
تم توجيه قضية الشركة ضد شركات التأمين الخاصة بها إلى المحكمة العليا في نيوجيرسي قبل التوصل إلى التسوية.
مع الهجمات السيبرانية المدعومة من الدولة القومية من غير المرجح أن يهدأ، كان من الممكن الإشارة إلى حكم المحكمة في خلافات تغطية التأمين السيبراني المستقبلية. لكن النتيجة التي انتهت إليها قضية ميرك لا توفر أي سوابق قضائية نهائية. “إنها تسوية سرية، لذلك من الصعب حقًا استخدامها كمؤشر،” إريك ستيرن، شريك في شركة محاماة وطنية كوفمان دولوفيتش“، يقول InformationWeek.
لكن هذه القضية ومليارات الدولارات من الأضرار التي لحقت بها تشير إلى أن صناعة التأمين السيبراني لم تنته بعد من التحديات التي يشكلها حاملو وثائق التأمين.
استثناءات الحرب
ميرك ليست الشركة الوحيدة التي تتعارض مع شركات التأمين الخاصة بها بشأن استثناءات الحرب. شركة الأغذية والمشروبات Mondelez International حسم دعوى قضائية ضد شركة التأمين التابعة لها شركة زيوريخ الأمريكية للتأمين في عام 2022، وفقا لشركة التأمين. كانت شركة مونديليز، مثل شركة ميرك، ضحية للهجوم الإلكتروني NotPetya عام 2017. ونفت زيوريخ مطالبة الشركة بمبلغ 100 مليون دولار، مشيرة إلى استبعاد الحرب في سياستها.
تثير هاتان الحالتان تساؤلات حول تغطية التأمين السيبراني، لكن الصناعة تغيرت بشكل كبير منذ الهجوم السيبراني NotPetya. يقول ستيرن: “نحن نتحدث عن هجوم عام 2017، وهي سياسات تمت كتابتها قبل عقد من الزمن تقريبًا”. “لقد تغير الفضاء الإلكتروني وتطور كثيرًا في ذلك الوقت.”
لقد تغيرت الطريقة التي تنظر بها الشركات إلى التأمين السيبراني وبيئة المخاطر بشكل كبير على مدى السنوات السبع الماضية. لقد زاد الوعي بالمخاطر السيبرانية بشكل كبير، و قيمة سوق التأمين السيبراني معها.
ومع تزايد المخاطر السيبرانية، تزداد أيضًا تعقيدات الاكتتاب في تلك المخاطر. يقول دارا جيبسون، كبير مديري التأمين السيبراني في شركة “الآن، أصبحت التطبيقات أكثر تعقيدًا بكثير، حيث تصل إلى استبيانات بدلاً من أن تتضمن 550 سؤالاً”. أوبتيف، شركة استشارات الأمن السيبراني.
تعتبر استثناءات الحرب جزءًا من التعقيد المتزايد لهذه الصناعة. تختلف الحرب السيبرانية عن الحرب التقليدية. ما يعنيه ذلك بالنسبة للتأمين السيبراني ليس واضحا تماما.
أصدرت سوق التأمين لويدز لندن أربعة بنود مختلفة ل استبعاد الحرب السيبرانية والعمليات السيبرانية. استثناءات الهجمات الإلكترونية المدعومة من الدولة دخل حيز التنفيذ في 31 مارس 2023 ولكن ليس بدون نقد. وفي حين قدمت لويدز بعض الوضوح بشأن الاستثناءات المتعلقة بالحرب، يشير جيبسون إلى أنه لا يزال هناك مجال كبير للتفسير.
“ما تحاول صناعة التأمين فعله حقًا هو معرفة أين [to] ارسم هذا الخط أو حدد تلك الحدود بقدر جزء أو شريحة من فطيرة المخاطر السيبرانية الإجمالية [they] يقول سكوت كانري، المؤسس المشارك والرئيس التنفيذي لشركة “إنها ببساطة لا تستطيع تحمل تكاليف التغطية كصناعة”. اكسيو، شركة إدارة المخاطر السيبرانية.
شراء التأمين السيبراني
كيف يبدو شراء التأمين السيبراني في المشهد الحالي؟ كيف يمكن لقيادة المؤسسة تقييم السياسات المحتملة وفهم كيفية تطبيق الاستثناءات؟
يوصي ستيرن بالعمل من خلال الاستثناءات عند شراء وثيقة التأمين، بدلاً من المخاطرة بمفاجأة عند تقديم مطالبة. “عندما تقوم بشراء وثيقة التأمين، الجميع يريد نفس الشيء. المؤمن يريد هذه السياسة. تريد شركة التأمين بيع البوليصة، و [they] ويوضح قائلاً: “إنهم يريدون التوصل إلى اتفاق بشأن ما يؤمنونه بالفعل حتى يتمكنوا من تحديد السعر وفقًا لذلك”.
يمكن لقادة المؤسسات الذين يتخذون قرارات شراء التأمين السيبراني أن يطرحوا أسئلة على شركات التأمين المحتملة لفهم كيفية تعريف وتفسير بنود استبعاد الحرب بشكل أفضل. ما الذي يعتبر عملا من أعمال الحرب؟ ماذا يحدث إذا تم إرجاع الهجوم السيبراني إلى جهة فاعلة في دولة قومية؟ هل يجب أن تكون الشركة المؤمن عليها هي الهدف المقصود حتى تحصل على التغطية؟
يقول جيبسون: “يجب على المؤسسات أن تنظر إلى وثائق تأمين متعددة وترى كيف تستخدم شركات التأمين المختلفة تلك الاستثناءات، ثم تنظر حقًا إلى المؤسسة وتقول: “ما الذي نحن على استعداد لقبوله في هذا الاستثناء؟””.
مستقبل التأمين السيبراني والحرب السيبرانية
ومن غير المرجح أن تكون قضيتا ميرك ومونديليز الأخيرة من نوعها. يمكن أن تنشأ في المستقبل المزيد من النزاعات القانونية بين شركات التأمين والمؤمن عليهم، سواء فيما يتعلق باستثناءات الحرب أو غيرها من القضايا. يقول ستيرن: “أعتقد أن التقاضي السيبراني قد بدأ للتو”.
المزيد من الحالات يمكن أن تؤدي إلى التغيير في الطريقة التي تتعامل بها شركات التأمين السيبراني مع المخاطر المرتبطة بالهجمات السيبرانية وما يعتبر حربًا سيبرانية. عندما تتحدى المخاطر الجديدة النهج الحالي للتغطية، فإنها تؤدي إلى تغيير الصناعة. يقول كانري: “ربما يتطلب الأمر نزاعًا ثانيًا أو ثالثًا للتوصل إلى نتيجة نهائية بشأن هذه المسألة بالذات”. “ثم، ما يمكن أن يحدث في كثير من الأحيان هو أن صناعة التأمين تقول: “أتعلمون، يجب فهم هذا النوع من الخسارة وتعريفه بشكل منفصل”.
بالمقارنة مع العديد من منتجات التأمين الأخرى، يعد التأمين السيبراني جديدًا نسبيًا. وهذا يعني أنه لا يزال هناك مجال كبير لتطوير طرق مبتكرة لتقديم تغطية التأمين السيبراني. لكن الطريق إلى الأمام على الأرجح لن يخلو من المطبات بالنسبة لشركات التأمين والمؤمن عليهم. “مع المنتجات الجديدة التي يتم طرحها في السوق، من المحتمل أن يحدث ذلك [disagree] يقول ستيرن: “حول كيفية تطبيق ذلك على أي مطالبة معينة، وما ستترتب على ذلك من دعاوى قضائية”.
في حين أن صناعة التأمين ستستغرق بعض الوقت للتغلب على تحديات تغطية المخاطر في عالم تشكل فيه الهجمات الإلكترونية عنصرًا لا مفر منه في الصراع بين الدول، إلا أن كانري واثق من أنها ستكون قادرة على القيام بذلك.
ويقول: “إنك تتحدث عن صناعة هدفها الأساسي هو فهم المخاطر وتسعيرها بشكل فعال والتوصل إلى منتجات لتغطية المخاطر وتكون على صواب أكثر من الخطأ على المدى الطويل”. “وأنا حقًا لا أتوقع شيئًا مختلفًا فيما يتعلق بالإنترنت، حتى في المناخ الحالي الذي نعيش فيه مع كل الارتباك والنقاش والذعر بشأن هذه الاستثناءات.”
ومن الممكن أن تساعد اللغة الأكثر توحيدًا حول التضمين والاستثناءات في إزالة بعض هذا الالتباس. يقول جيبسون: “هذا هو المكان الذي تحتاج فيه صناعة التأمين إلى تحسين أداء شركات التأمين لديها”. “وبعد ذلك يتعين على شركات التأمين أن تفعل ما هو أفضل وأن تقول: كيف يمكنني أن أكون أقل خطورة؟ كيف يمكنني وضع الضوابط السيبرانية للتأكد من أنني محمي؟