作者:斯科特·安德森R.,艾伦·克莱恩
2019年10月1日
战场以外的地方都可以感觉到战争的影响。业务中断、财产损坏、人员伤亡,并且那些处于危险之中的人经常寻求通过保险公司保护自己。但是,保险公司收取的保费很少能说明现代军队的巨大破坏能力,这使得战时索赔对其财政偿付能力可能构成潜在威胁。因此,保险政策通常将“战争行为”排除在其范围之外,而由政府当局决定是否赔偿此类行为的受害者,同时将保险业的重心放在其他更常规的风险上。但是,当战场进入网络空间时会发生什么?
2017年,仅NotPetya网络攻击在全球造成了约100亿美元的损失,其中包括对全球食品集团Mondelez International造成的1亿美元损失。但是,当Mondelez要求赔偿这些损失时,其保险公司苏黎世国际(Zurich International)拒绝了这些赔偿,理由是NotPetya是“政府或主权国家”的“敌对或好战行动”,因此被排除在保单范围之外。蒙德雷斯回应起诉违反合同,然后将其提交给伊利诺伊州法院,以决定谁犯下了这一复杂的网络攻击以及为什么这样做。保持平衡不仅是Mondelez的主张,而且也是保险业可以并且将在多大程度上覆盖各种重大网络安全事件的问题-对整个美国经济而言,这一问题日益重要。
在9月11日袭击事件发生后,美国面临着类似的问题,因为保险业竭力应对灾难性恐怖主义造成的损失进行赔偿。两党代表大会最终介入,为面临此类索赔的保险公司提供了联邦支持,同时避免了使用战争行为和其他除外责任。该法律《恐怖主义风险保险法》(TRIA)确保了与恐怖主义有关的保险的适用范围,同时为私人保险业确定了其所承担的金融风险的外部限制。由于国会正在考虑续签TRIA,该协议将于2020年底到期,因此它应该认真考虑联邦政府是否应在稳定保险业应对网络攻击的方法中发挥类似作用,从而在重大网络攻击造成这一问题之前确保实质性覆盖范围。
战争风险排除
战争行为和相关事件的排除已成为保险合同超过一个世纪的特征,旨在保护保险提供者免受大规模军事行动造成的严重财务后果的影响。武装冲突造成的损失的爆发和规模可能是无法预测的,而且是严重的,这使得保险提供者难以设定弥补其最终损失的保费。许多常规保险单只排除了与战争有关的索赔。一些供应商提供了更为有限的补充“战争风险”政策,这些政策在特别令人关注的情况下(例如在航空和海事行业中)涵盖了这些风险。
早期的战争行为规定是在考虑常规的国家之间的战争的情况下编写的。但是,随着新形式的武装冲突的出现,关于哪些活动属于这些排除范围的新问题也出现了。排除战争行为是否涵盖未正式宣布的战争造成的损害?还是反叛活动采取的行动?由于联邦政府通常将保险业交由各州监管,因此,这些问题通常由政府机构,行业组织和其他各方的意见交由各州和联邦法院回答。这经常导致多样化和不可预测的结果,尤其是在短期内,因为法院彼此进行对话并努力就适当的方法达成共识。
在这些辩论中,保险提供者通常处于不利地位,因为他们通常承担举证责任,表明适用排除责任以及因歧义性引起的任何风险以保险单的条款而言,只要他们在起草过程中发挥了主导作用。结果,关注与战争有关的风险的保险提供者通过调整自己的规定以明确排除更多的突发事件,回应了有关战争排除行为的辩论。这导致了包容性条款,例如在Mondelez案中有争议的条款,其中排除了“任何……政府或主权力量(法律上或事实上的)……[或]代理人或当局在和平或战争中采取的敌对或类似战争的行动”。这样的广度可确保保险提供者不会无意中忽略他们不愿承担战争行为造成的风险。但是,它也适用于新颖的解释,这些解释又反过来促进了随着时间的推移越来越多样化的情况下引用这些异常情况的努力。
保险和网络战
网络活动是这一发展过程中可预测的下一步。随着其在全球经济中的作用不断增强,对相关保险的需求也不断增长:网络相关保险的直接承保保费在2018年达到20亿美元,是2015年承保金额的两倍。许多一般保险单现在都包括对某些损失的承保由某些网络安全事件(例如数据丢失)引起的。同时,政府越来越多地将网络措施用作国家政策的工具,包括作为军事行动的一部分。而且,“网络战争”和“网络攻击”等术语的普遍使用引发了一个疑问,即即使有争议的网络活动与任何常规武装冲突都没有关系,包括战争排除行为在内的战争规则是否可能适用。
虽然州的法律有时会施加某些要求,但战争排除行为没有标准格式。取而代之的是,法院会根据当事方的理解来解释其用语,并以常规用法和行业标准为依据。像孟德尔兹案中的排除条款一样,大多数人都将重点放在“政府或主权国家[。]的“敌对或战争行为”上。这确定了两个阈值,以确定给定的索赔是否属于排除条款的范围,两者其中在与网络相关的环境中提出了独特的挑战。
首先是损害赔偿是否可以归因于国家行为者。外国已经有几个针对网络攻击的私人公司的例子,包括朝鲜2014年对索尼影视娱乐公司(Sony Pictures Entertainment)的黑客攻击,以抗议其制作的一部讽刺北朝鲜领导人金正恩(Kim Jong-Un)。但是归因仍然是解决网络活动方面的一个标志性挑战。美国情报界已经注意到网络活动的归因通常“需要数周或数月的分析情报和取证分析”,并可能导致分析结果具有“准确性和信心”。由于无法获得机密信息和其他政府资源,保险提供商可能会遇到更大的困难。在许多情况下,这给责任方留下了分歧和不确定性的余地。
一种解决方案可能是在归因问题上服从政府当局,但这说起来容易做起来难。包括美国在内的任何主权国家都没有义务公开归因于所有网络攻击。当一个国家这样做时,它通常不仅反映出该国家对现有事实的评估,而且还反映了其他有关外交关系的关切。因此,依靠政府归因将使保险结果取决于国际政治的变幻莫测,这是与政策或所涉损失无关的不可预测因素。
其次,排除战争行为-同样是与网络相关的特定事件是否构成“敌对行为”或“战争行为”-也同样存在问题。如果没有在保险合同或相关国家法律法规中明确定义,则法院通常会根据当事方的意图和理解来解释此类合同条款,并应遵循常规用法和专业行业标准。一个最近的法院判决确定的术语“好战行动”和“类似战争行为”在保险范围内特定的含义,但这并包括cyberactivities ,尤其是国家在和平时期出于政治,经济或其他目的而可能追求的目标?
没有美国法院直接考虑这个问题。在评估其他类型的活动是否构成敌对行为时,法院通常 将重点放在所涉行为是否是“由于某种敌对行为,军事行动或作战战争危险直接造成的”,与受影响当事方可能遇到的风险不同于平时。邻近战区和战争时期的发生是相关的,政府参与者从事网络活动的动机及其与各国通过战争追求的战略利益的关系也很重要。总而言之,答案需要仔细的针对具体事实的分析,具体分析可能会因情况而异。
这将使网络战和战争排除行为留在何处?为使排除适用,法院很可能既需要归因于外国政府,又要与正在进行的国际武装冲突有联系,或者至少要求各国通常通过军事手段追求的战略利益。即使在国家支持的情况下,网络犯罪和网络空间中的许多其他活动也没有达到这些阈值。因此,举例来说,朝鲜怀疑2017年从孟加拉国中央银行盗窃8100万美元,因为它与武装冲突无关,因此可能不会受制于战争行为条款。
但是其他与网络相关的事件也可能发生,包括NotPetya。在美国和其他国家采取的公开指责部署NotPetya,为归因大力支持下,认定是俄罗斯采取的前所未有的步骤。大多数人认为,它最初是作为俄罗斯与乌克兰冲突的一部分而部署的,然后意外地传播给其他受害者,为武装冲突提供了联系。可以说,Mondelez和其他非乌克兰NotPetya受害者是攻击第三方的附带损害的网络等效物-这种要求通常包括在战争排除行为范围内。
这种可能性,加上围绕许多网络攻击的事实模糊性,在排除战争行为的适用性方面留下了很大的不确定性,从而损害了保险范围和价格。更清晰的法律标准可以缓解这种情况,但是由于问题的事实相关性,将要进行诉讼的司法管辖区以及高解决率,因此不太可能在短期内立即将其从法院提起。一些保险提供商可能会通过修改其政策以明确排除更多的大规模网络风险源来进一步应对这种不确定性和诸如NotPetya之类的大规模攻击风险,从而进一步限制了承保范围。有效的网络保险覆盖面(无论是真实的还是可感知的)所导致的短缺,可能会在不可避免的情况下抑制经济活动。而且,如果发生类似NotPetya的大规模网络攻击,结果可能是投保人在遭受灾难性财务损失的情况下意外离开而得不到保护。
灾难性网络攻击的支持
在9月11日的袭击之后,美国也采取了类似的行动。最初,人们普遍担心保险公司会试图使用排除战争的行为来避免涵盖个人因袭击造成的损失的索赔,但保险业迅速否认了任何此类意图。但是,随着保险政策的更新,提供者开始引入针对特定恐怖主义的新排除规则,因为人们担心会出现更多灾难性恐怖主义,并且有可能使保险业破产。同时,随着企业寻求减轻恐怖主义风险,对恐怖主义保险的需求急剧增加。结果就是市场失灵,换句话说时任美国财政部长保罗·奥尼尔(Paul O"Neil)认为,如果任其发展下去,“将危及[美国]经济稳定”,因此需要联邦政府作出回应。
政府的回应就是TRIA,该法案在2002年得到了两党的压倒性支持而成为法律。联邦政府通过TRIA承诺为保险提供者提供支持,以抵御恐怖主义行为造成的大规模灾难性损失,从而减少了这些提供者的责任范围要求。这种支持仅适用于达到一定损失阈值并符合针对恐怖袭击的法定定义(不包括“合法战争行为”)的索赔,并使财政部部长成为是否将恐怖主义从TRIA支持下排除的仲裁人保险是战争行为。作为交换,国会要求符合TRIA资格的保险提供者明确将恐怖主义纳入其政策范围,
TRIA最初被视为一种临时解决方案,由于人们持续担心保险市场尚未找到适当的价格来为灾难性恐怖主义提供足够的保险,因此该协议已被扩延期了 数次。这反映了似乎持久的政治共识,即联邦政府在提供支持以防止恐怖主义损失方面发挥作用。但是它也从未被使用过,甚至没有引起人们的关注,例如波士顿马拉松爆炸案-已被美国财政部部长认证为恐怖主义行为。尽管如此,通过保持法律的基本结构不变,国会继续减轻了与恐怖主义有关的潜在风险的外部领域,即使国会反复提高了联邦介入的门槛,从而将更多的风险转移回了私营部门。
TRIA可以作为为网络保险市场带来稳定性的宝贵模型。从保险的角度来看,网络攻击与恐怖主义有许多相似之处,包括不可预测性、关联性和潜在的大规模破坏性。像TRIA一样对付网络灾难性损失的对冲措施,可以帮助确保保险提供者即使在面对重大网络攻击时也仍然愿意承担网络活动造成的损失,这对于我们日益数字化的经济的稳定和增长至关重要。认证过程将使联邦政府承担确定网络攻击是否符合战争行为的资格,而该行为不在计划和相关保险政策的范围之内。
美国国会将于今年晚些时候开始就是否再次延长TRIA展开辩论。大多数人希望这样做。国会应该利用这个机会公开考虑类似地现代化防止网络战争的方法。尽管存在权衡取舍,包括增加联邦政府在通常留给各州的区域中的参与程度,给纳税人带来更大的财务风险,以及联邦政府的认证职责与它可能考虑的其他政策反应之间可能存在的紧张关系,但为有以下情况的保险公司提供了联邦支持:关于何时应提供保险的明确指导方针可以为网络保险市场提供结构和确定性,保险人和保单持有人可以依靠该结构,甚至可以面对像NotPetya这样的大型政府资助的网络攻击。在美国面对灾难性的网络攻击之前进行这场辩论并建立框架,这使我们走在了前面。我们可能无法预测下一次网络攻击的时间或地点,但是我们可以建立一个系统来确保美国人在网络攻击到来时得到足够的保护。
内参点评:NotPetya、永恒之蓝、索尼被攻击、震网病毒等国家级网络威胁或者攻击行动,其溯源、分析、处置都不容易,国际社会对此类攻击行为的规制也在探讨。但由于这类威胁触动的是国家、企业、个人等各方利益,国家是否买单、保险业如何介入、立法上是否认定为战争,等一系列问题涉及国家战略、国际地缘博弈、国际法、关键基础设施安全等,都摆在政府面前。美国凭借自身对网络战的研究和技术实力,这方面的探索实践也走在世界前列。
声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
