“两个载体的故事–战争/恐怖主义排斥的不同观点”

一月份,我对苏黎世发表了看法’s invocation of an ‘act of war’拒绝否认对Mondelez International的承保’由NotPetya造成的损失。并在此过程中开了一个关于奥利奥的有趣笑话。您’重新欢迎。最近,我接受了Matt Fleischer-Black的采访 网络不安全新闻 在同一主题上,马特建议他的研究表明索尼’在2014年之后,美国国际集团(AIG)涵盖了‘The Interview’骇客。那让我思考– if 美国国际集团 covered Sony’的损失,索尼之间有区别吗’的AIG政策和Mondelez’s Zurich policy?

据报道,当索尼“Guardians of Peace” hacked into Sony’2014年11月的网络。共和党以非常恐怖的形象锁定了员工的计算机,并威胁要释放索尼’有关未发行电影和机密商业问题的数据。他们还威胁“9-11 style”索尼的电影院遭到袭击’s “The Interview,”一部有关两名记者的喜剧被送往暗杀朝鲜最高领导人金正恩。中央情报局将共和党确定为朝鲜国家行为者,奥巴马总统则加强了对朝鲜的制裁。

和平的监护人采访黑客的图像结果

我不’t have Sony’的实际AIG政策。但是,我确实找到了一个 sample 美国国际集团 CyberEdge policy 索尼本来会使用的’2014年4月-2015年4月的保单期限。像蒙多雷斯’根据苏黎世政策,‘战争排斥法。’AIG政策禁止覆盖“arising out of…战争,入侵,军事行动…政治骚乱,内乱,暴动,戒严,内战,叛变,民众或军事起义,暴动,叛乱,革命,军事或篡夺政权…”.

战争行为是否排除了报道的朝鲜网络攻击的威胁范围“9-11 style”暴力报复有关其最强大的政治领导人被暗杀的电影?不。索尼报告称AIG支付了索赔,有人估计这笔费用接近1亿美元。奥巴马总统同意,共和党黑客不是“act of war.”他告诉CNN:“我不认为这是战争行为。” “我认为这是一次网络破坏行为,代价很高,代价也很高。”

“Cyber vandalism.”新词。他们的意思是什么?还有什么’s之间的区别“cyber vandalism” 和 “cyber terrorism,”还是实际的恐怖主义?

苏黎世显然不相信有任何区别。 FBI认为,俄罗斯军方发动NotPetya是对乌克兰的侵略行为。它在半球上的传播以及随之而来的数十亿美元的全球性损失,是一次不幸的事故。当然,‘The Interview Act’ seems 更接近 就像我们的战争或恐怖行为’从历史上看,比起NotPetya事件,该语言比没有针对美国的政治动机或人身暴力威胁的语言更为了解。而如果“cyber vandalism”完全是一种新的风险,没有被传统的战争排除行为所禁止,NotPetya似乎是开始定义其范围的好地方。

美国国际集团’的覆盖位置可能不扎根 独自 用不同的解释排除。‘The Interview Hack’涉及一项索赔。 NotPetya影响了数千家美国公司。因此,至少部分地,经济分析可能会驱使苏黎世使用Mondelez作为测试案例。没有和解,该案将成为重要的先例。看看苏黎世,美国国际集团和其他航空公司在类似情况下如何解释可比的排除–从而建立一个“custom 和 usage” –应该是分析的重要部分。威瑞森 已报告 由国家推动的网络事件占2018年妥协的12%,而我’曾有据估计高达50%的违规行为归因于国家行为者。如果民族国家是威胁行为者,并且如果苏黎世被允许基于战争/恐怖排除行为拒绝承保,那么许多被保险人购买的有价值的承保金额将大大低于他们的预期。这恰恰是网络市场一直试图避免的叙述,因为保费估计达到每年50亿美元。

因此,正如德拉索尔曾经说过的那样,“stakes is high.”