誰將為網絡攻擊付出代價？——《華爾街日報》

Josephine Wolff

2022-09-08

1941年12月7日清晨，當日本海軍轟炸珍珠港造成2403人喪生時，美國尚未正式對日宣戰。國會直到次日（12月8日）才宣佈參戰。因此當亞瑟和弗雷達·羅森瑙為兒子霍華德申請1000美元人壽保險理賠時，他們驚訝地收到愛達荷互助保險公司的拒賠通知，理由是作為在珍珠港遇難的海軍水兵，霍華德屬於戰亡。

許多保險條款（不僅限於人壽保險）都將戰爭行為列為除外責任，理由是戰爭具有不可預測性和潛在災難性，保險公司既無法建模也無法承擔相應損失。投保人通常不太在意這些免責條款，因為他們認為戰爭不太可能影響自己。

但如何界定戰爭行為始終存在模糊地帶。自珍珠港事件後的數十年來，隨着保險公司不斷擴大免責條款的表述範圍，投保人已多次因恐怖襲擊和國內騷亂相關事件遭到拒賠。最近，保險公司開始將戰爭免責條款適用於國家支持的網絡攻擊，這可能導致最初針對偶發、不可預測危機制定的標準免責條款，如今將日益頻繁且影響深遠的破壞行為也排除在承保範圍之外。

其中涉及的財務風險相當可觀。目前法院正在審理保險公司與私營企業之間關於2017年俄羅斯"NotPetya"網絡攻擊損害賠償的法律糾紛。NotPetya系列案件的判決將界定由誰為下一代國家支持的網絡攻擊買單——無論這些攻擊來自俄羅斯、中國、朝鮮還是伊朗。爭議的核心在於保險合同中排除戰爭行為的標準條款，這些經過一個世紀演變的條款正反映出對戰爭日益寬泛的定義。

例如，在20世紀40年代，霍華德·羅森瑙的人壽保險單明確聲明不承保"在任何參戰國陸海空服役期間發生的死亡、傷殘或其他損失"。羅森瑙家族是珍珠港事件後因這類免責條款將保險公司告上法庭的多個家庭之一。他們最終勝訴，因為愛達荷州最高法院於1944年裁定，由於美國在法律上直到12月8日才正式對日宣戰，羅森瑙在前一天（即珍珠港事件當日）的死亡不屬於"參戰國服役期間"。

在珍珠港相關訴訟後，許多保險公司修改了保單條款，將所謂"戰爭免責"的適用範圍擴大至"無論和平或戰爭時期"發生的事件。後續訴訟促使這些免責條款被進一步拓寬。

1970年9月6日，解放巴勒斯坦人民陣線成員劫持了泛美航空093號航班，迫降開羅後疏散乘客並炸燬飛機。泛美航空向承保商安泰保險索賠24,288,759美元飛機損失，但遭拒賠，因其保單條款免除"無論是否宣戰的戰爭、入侵、內戰、革命、叛亂或軍事行動"的賠償責任。泛美最終勝訴，部分原因是法院認定人陣並非主權政府代表。

1970年9月6日，泛美航空被劫持的飛機停在埃及開羅照片：Gamma-Keystone/Getty Images1975年12月6日，當貝魯特一家假日酒店在黎巴嫩內戰中毀於戰火時，安泰保險也是連鎖酒店假日酒店的承保方。安泰援引戰爭除外條款，拒絕了該連鎖酒店1100萬美元的賠償要求——保險公司再次在法庭上敗訴，1983年法官裁定貝魯特的衝突實際上是"一系列愈演愈烈的派系’內亂’"，而非戰爭，因為相關各方並非"主權或半主權國家"。

到2017年夏天俄羅斯發動NotPetya網絡攻擊時（該攻擊導致全球多家公司計算機癱瘓和運營中斷，損失超過100億美元），保險公司已從泛美航空和假日酒店等案例的敗訴中吸取教訓，進一步擴大了戰爭除外條款的範圍。部分NotPetya事件受害企業持有的財產和意外傷害保單中，將"和平或戰爭時期由任何政府或主權力量實施的敵對或戰爭行為"排除在承保範圍外，同時還將任何"陸海空三軍"或政府及軍隊的"權力代理人"行為也納入除外條款。

與泛美航空或假日酒店案例不同的是，這次顯然有政府作為攻擊幕後黑手，且直接針對私營企業。NotPetya事件發生後不到一年，截至2018年2月，國際社會已普遍認定俄羅斯軍方應對該惡意軟件負責——多國政府甚至就此發佈了協調一致的正版溯源聲明。

或許受到這一明確歸因的鼓舞，幾家保險公司拒絕了至少兩家在NotPetya事件中遭受重大損失的公司的索賠：跨國食品公司億滋（Mondelez）向其保險公司蘇黎世提交了超過1億美元損失的索賠，以及製藥公司默克（Merck）向其20多家保險公司提交了14億美元的索賠。

兩家公司均起訴了各自的保險公司。億滋的案件尚未裁決，但默克在12月取得了一場重大勝利，當時新澤西州一家法院裁定，該公司保單中的戰爭除外條款不適用於NotPetya，因為這次網絡攻擊並未涉及暴力、武裝部隊的使用或任何“傳統形式的戰爭”。

默克的裁決只是眾多將決定保險是否涵蓋國家支持的網絡攻擊影響的裁決之一。保險公司已經在採取行動擴大其戰爭除外條款的語言，以涵蓋這些事件。8月，勞合社發佈了一份關於國家支持網絡攻擊除外條款的市場公告，敦促承保人考慮排除對某些“發生在涉及物理力量的戰爭之外”的國家支持網絡攻擊的承保。

自珍珠港事件以來，保險公司一直在擴大和修改戰爭除外條款。但網絡攻擊的演變速度超過了這些努力。過去幾年中，高調的國家支持的對私營公司的攻擊包括俄羅斯2020年的SolarWinds黑客攻擊、中國2021年的微軟Exchange服務器入侵、伊朗2021年對波士頓兒童醫院的攻擊以及朝鮮2022年竊取6.2億美元加密貨幣的行為。

這類由國家支持的網絡攻擊正變得日益猖獗且常態化，其發生頻率遠超戰爭、恐怖襲擊或革命。因此，保險公司試圖將網絡攻擊排除在承保範圍外的舉措，可能比以往任何擴大"戰爭"定義的行為都對企業造成更深遠——且代價更高昂——的影響。

沃爾夫女士是塔夫茨大學弗萊徹學院副教授，著有《網絡安全保險政策：在勒索軟件、計算機欺詐、數據泄露和網絡攻擊時代重新思考風險》一書。

本文發表於2022年9月10日印刷版，原標題為《誰將為網絡攻擊買單？》。